fly87 10 Geschrieben 1. März 2013 Melden Geschrieben 1. März 2013 Hallo Zusammen, kann mir jemand sagen, wie sich das Recht: "Benutzer bei Delegierung aller Dienste vertrauen (nur Kerberos)" tatsächlich auswirkt, wenn es einem Benutzer zugeiwesen wurde. Wie stark wird die Sicherheit des AD durch die Zuweisung dieses Rechtes beeinträchtigt? LG
Dukel 468 Geschrieben 1. März 2013 Melden Geschrieben 1. März 2013 Bei Delegierung kann sich ein User im Namen eines anderen Users authentifizieren. Was möchtest du denn delegieren?
fly87 10 Geschrieben 1. März 2013 Autor Melden Geschrieben 1. März 2013 Es geht dabei um die Anbindung von SSO eines SAP BO Systems. Nach Auskunft der Doku, die mir vorgelegt wurde ist dieses Recht für den Service User unbedingt erforderlich. Bisher musste ich dieses Recht noch nie erteilen und habe mich nicht so ganz genau mit dem Thema beschäftigt. Deshalb wollte ich das jetzt nach holen um genau zu wissen, was da eigentlich passiert und was die Risiken sind, wenn man dem Service Benutzer dieses Recht einräumt.
Dukel 468 Geschrieben 1. März 2013 Melden Geschrieben 1. März 2013 Evtl. kannst du die Delegierung auf bestimmte Services einschränken und nicht für alle Kerberos Services vergeben. Hier findest du noch Infos darüber: http://www.msxfaq.de/verschiedenes/kerberosconstraint.htm http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_04_004.htm (vor allem gibt's beim ersten Link noch weitere Links) 1
fly87 10 Geschrieben 1. März 2013 Autor Melden Geschrieben 1. März 2013 Evtl. kannst du die Delegierung auf bestimmte Services einschränken und nicht für alle Kerberos Services vergeben. Hier findest du noch Infos darüber: http://www.msxfaq.de/verschiedenes/kerberosconstraint.htm http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_04_004.htm (vor allem gibt's beim ersten Link noch weitere Links) Danke für die Links, die werde ich mir mal anschauen. Ich habe schon mal geschaut, ob ich das auf den Service einschränken kann. Blöderweise taucht der Service in der Liste nicht auf, also wird das etwas problematischer rein gefühlt. Aber ich schau erst mal auf die Links.
Dukel 468 Geschrieben 1. März 2013 Melden Geschrieben 1. März 2013 Du musst den Service eintragen. Auf hinzufügen klicken, nach dem Rechner suchen, den Service auswählen (Wichtig) und mit Ok (wenn ich es noch richtig weiß) übernehmen. Dann taucht er auch in der Liste auf.
fly87 10 Geschrieben 1. März 2013 Autor Melden Geschrieben 1. März 2013 Ja, das Verfahren an sich habe ich schon so durchgeführt. Mit Liste meinte ich dem Fall, wenn ich den entsprechenden Server ausgewählt habe. Dann taucht eine riesige Liste auf. Aber genau der Service von der SAP ist nicht dabei. -.-
fly87 10 Geschrieben 1. März 2013 Autor Melden Geschrieben 1. März 2013 (bearbeitet) Jawohl. Ach, wenn man selbst der Esel ist, dann kann das ja nix werden. Ich hab den SPN natürlich für den Benutzer erstellt und nicht für den Server. Wenn ich aber den Dienst basierend auf dem Server suche.... Naja. Könnten wir einfach so tun, als wäre das nie passiert... :p :D bearbeitet 1. März 2013 von fly87
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden