在跨域AD账户中配置授权的问题。
问题描述 投票:0回答:1
在我们的测试环境中,有2个域。设置了单向信任,然后我们改成了双向信任,但还是不行。
我想在domainAuserA上设置授权。在 Delegation选项卡,我选择 Trust this user for delegation to specificed services only. 然后在 Services to which this account can present delegated credentials 我试图找到domainBssrs(SQL报表服务的服务账户),但我在domainB下找不到任何用户。但是我可以在 domainBuserB 和 domainBssrs 之间设置授权。
我没有授权或kerberos的经验。你能告诉我跨域授权是否可行吗?如果可以,我应该怎么做?
1个回答
2
投票
投票
标准约束的授权不能跨域进行。你需要的是 基于资源的约束性委托. 它的要旨是,谁被允许委托给谁的决定是相反的,所以授予特权的人实际上是被委托的服务,而不是试图进行委托的服务得到决定。
你不能从用户界面上做这件事。必须通过PowerShell来完成。
$frontEndService = Get-ADUser -Identity "web01$"
Set-ADUser "backend01$" -PrincipalsAllowedToDelegateToAccount $frontEndService
通过常规的约束性授权 web01$ 可以决定它可以委托给...。backend01$ 和 backend01$ 没有发言权。这对于某些环境来说是根本性的奇怪,所以基于资源约束的委托就把它翻过来了,所以 backend01$ 可谓 web01$ 被允许委托给我。
这样做的副作用是,现在你可以跨越域边界进行窥视,允许服务委托。
最新问题
- 由于 pytest-json-report 插件导致的 Pytestpluggy._manager.PluginValidationError
- 如何在Flutter中渲染特定行数的Wrap?
- HMR 尚未针对模块块格式实现
- 断开通话后麦克风无法工作的问题
- 通过切割2条边来分割图
- Android studio 覆盖率测试缺失(灰色)
- OpenXML 用实际图像替换图像占位符会替换所有占位符
- 如何解决图像/视频文件的Playstore警告
- 如何删除Linux文本中的所有特殊字符
- 如何将 pandas.series 结果转换为整数?
- SurveyJS 错误?问题名称=“0”导致选项不显示在逻辑中
- ConcurrentDictionary.GetOrAdd - 仅在不为空时添加
- 如何在选中文本时实现复制、查找、翻译、搜索网络和共享?
- 为什么 Windows 上的 cmake 指定重复的 SWIG python 语言指示?
- 如何将此 pandas.series 结果转换为整数?
- 检查类型名是否可以与元素类型一起复制构造
- 为什么对 cv wait 和 pop() 使用单独的锁会导致分段错误?
- Alembic 在自动生成期间不断删除和重新创建外键
- API 和 Web 工具之间的 Pagespeed 结果不同
- MAUI - 更改 iOS 的 AppIcon 和 SplashScreen
© www.soinside.com 2019 - 2024. All rights reserved.