Nedávno jsem tu psal o precizním nastavení Kerberos delegace pro PerformancePoint Services a Excel Services. Tedy přesněji řečeno v okamžiku, kdy chcete přistupovat do nějakého externího zdroje (což v případě PPS děláte nejspíš vždycky, v případě Excel Services ne úplně tak nutně).
Vzhledem k tomu, že tyhle problémy jsou dneska horké zboží, tak jsem si řekl, že tu přidám nějaké screenshoty těch delegačních nastavení. Řekněme, aby se to dalo lépe googlovat a bylo to vidět na první pohled.
Obrázky ukazují Kerberos Constrained Delegation with Protocol Transition pro Excel Services a technologii Kerberos S4USelf pro Claims to Windows Token Service (C2WTS) tak, jak je to minimálně nutné. Tohle je to nejbezpečnější a skutečně minimální nastavení, které musíte mít. Jestli tam máte cokoliv dalšího, zbytečně to otevíráte a nebude to už tak bezpečné.
Ostatní detaily, které jsou nutné splnit jsou v tom originálním článku.
V obrázcích je vidět, že C2WTS deleguje jen sám na sebe. Ta služba se jmenuje Kerberos S4USelf (nebo S4U2Self) - Service for User to Self. To vlastně není žádná skutečná delegace, jen je to Kerberosová služba, která mu dá uživatelův tiket se všemi skupinami.
Na druhém obrázku je servisní účet pro Excel Services, který už potom skutečně deleguje pomocí Kerberos Contrained Delegation with Protocol Transition (služba S4U2Proxy, neboli S4UProxy). Což je přesně ta "strašlivě nebezpečná" delegace co jsem onehdy popisoval zde.
Pro pořádek uveďme, že tabulku Delegation v jeho vlastnostech neuvidíte, dokud mu nedáte nějaké jeho vlastní SPN (service principal name). Dávám tam něco jako excel/server.domain.fqdn nebo tak. Na nic jiného se nepoužívá, než na to, aby byla vidět ta tabulka Delegation :-)