fly87 10 Geschrieben 1. März 2013 Melden Teilen Geschrieben 1. März 2013 Hallo Zusammen, kann mir jemand sagen, wie sich das Recht: "Benutzer bei Delegierung aller Dienste vertrauen (nur Kerberos)" tatsächlich auswirkt, wenn es einem Benutzer zugeiwesen wurde. Wie stark wird die Sicherheit des AD durch die Zuweisung dieses Rechtes beeinträchtigt? LG Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 1. März 2013 Melden Teilen Geschrieben 1. März 2013 Bei Delegierung kann sich ein User im Namen eines anderen Users authentifizieren. Was möchtest du denn delegieren? Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 1. März 2013 Autor Melden Teilen Geschrieben 1. März 2013 Es geht dabei um die Anbindung von SSO eines SAP BO Systems. Nach Auskunft der Doku, die mir vorgelegt wurde ist dieses Recht für den Service User unbedingt erforderlich. Bisher musste ich dieses Recht noch nie erteilen und habe mich nicht so ganz genau mit dem Thema beschäftigt. Deshalb wollte ich das jetzt nach holen um genau zu wissen, was da eigentlich passiert und was die Risiken sind, wenn man dem Service Benutzer dieses Recht einräumt. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 1. März 2013 Melden Teilen Geschrieben 1. März 2013 Evtl. kannst du die Delegierung auf bestimmte Services einschränken und nicht für alle Kerberos Services vergeben. Hier findest du noch Infos darüber: http://www.msxfaq.de/verschiedenes/kerberosconstraint.htm http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_04_004.htm (vor allem gibt's beim ersten Link noch weitere Links) 1 Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 1. März 2013 Autor Melden Teilen Geschrieben 1. März 2013 Evtl. kannst du die Delegierung auf bestimmte Services einschränken und nicht für alle Kerberos Services vergeben. Hier findest du noch Infos darüber: http://www.msxfaq.de/verschiedenes/kerberosconstraint.htm http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_04_004.htm (vor allem gibt's beim ersten Link noch weitere Links) Danke für die Links, die werde ich mir mal anschauen. Ich habe schon mal geschaut, ob ich das auf den Service einschränken kann. Blöderweise taucht der Service in der Liste nicht auf, also wird das etwas problematischer rein gefühlt. Aber ich schau erst mal auf die Links. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 1. März 2013 Melden Teilen Geschrieben 1. März 2013 Du musst den Service eintragen. Auf hinzufügen klicken, nach dem Rechner suchen, den Service auswählen (Wichtig) und mit Ok (wenn ich es noch richtig weiß) übernehmen. Dann taucht er auch in der Liste auf. Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 1. März 2013 Autor Melden Teilen Geschrieben 1. März 2013 Ja, das Verfahren an sich habe ich schon so durchgeführt. Mit Liste meinte ich dem Fall, wenn ich den entsprechenden Server ausgewählt habe. Dann taucht eine riesige Liste auf. Aber genau der Service von der SAP ist nicht dabei. -.- Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 1. März 2013 Melden Teilen Geschrieben 1. März 2013 Hast du einen SPN erstellt? Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 1. März 2013 Autor Melden Teilen Geschrieben 1. März 2013 (bearbeitet) Jawohl. Ach, wenn man selbst der Esel ist, dann kann das ja nix werden. Ich hab den SPN natürlich für den Benutzer erstellt und nicht für den Server. Wenn ich aber den Dienst basierend auf dem Server suche.... Naja. Könnten wir einfach so tun, als wäre das nie passiert... :p :D bearbeitet 1. März 2013 von fly87 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.