Ich habe stundenlang versucht, Windows-Authentifizierung, Kerberos, SPNs und eingeschränkte Delegierung in IIS 7.5 zu lernen und zu verstehen. Eine Sache, die ich einfach nicht verstehe, ist, warum es "riskant" ist, die Delegierung für Administratoren, CEOs usw. aktiviert zu lassen (dh die Delegierung für vertrauliche Konten nicht zu deaktivieren). Kann mir dies bitte jemand in einfachen Worten erklären? Bitte formulieren Sie Ihre Antwort in Bezug auf eine Intranetumgebung.
Ich bin der Meinung, dass dies kein Problem sein sollte, da die Delegierung es einem Front-End-Webserver beispielsweise einfach ermöglicht, bei der Kommunikation mit anderen Servern im Namen der Windows-authentifizierten Person zu handeln. Wenn die Person Zugang hat, hat sie Zugang, ich verstehe nicht, warum dies ein Problem sein sollte.
Bitte vergib mir meine Unwissenheit. Ich bin in erster Linie ein Entwickler, aber meine Firma läuft heutzutage sehr schlank und ich bin gezwungen, auch den Serveradministratorhut zu tragen ... leider passt er immer noch nicht sehr gut, lol.
allow
/deny
Autorisierungs-Tags.Ich habe Tausende von Kunden mit Delegation eingerichtet, die meisten davon ohne Einschränkungen. Ich denke, es ist wichtig zu beachten, dass eine eingeschränkte Delegierung wahrscheinlich eine gute Idee ist, wenn Sie Ihrer Anwendung nicht vertrauen (z. B. auf IIS bereitgestellt) oder wenn Sie unsere Anmeldeinformationen für Ihr delegiertes Dienstkonto zur freien Verwendung an andere weitergeben. Wenn Sie jedoch nicht erwarten, dass jemand Ihre Anwendung neu schreiben kann, bewahren Sie die Anmeldeinformationen Ihres Dienstkontos sicher auf und vertrauen darauf, dass Ihre Apps nur an die Dienste delegiert werden, für die sie entwickelt wurden ist normalerweise kein Grund zur Sorge. Ich habe gesehen, dass sich einige "sicherheitsbewusste" Kunden sehr stark auf solche Themen konzentrieren, während ihre Ressourcen besser für echte Sicherheitsbedrohungen eingesetzt werden könnten ...
quelle