Ho conlcluso una interessante attività relativa a configurazioni diciamo non proprio standard di Kerberos.

Per questa attività ho registrato come appunti personali un piccolo video per memoria che ho deciso di condividere.

L'attività si può sintetizzare con queste belle paroline:

PROTOCOL TRANSITION AND CONSTRAINED DELEGATION con l'ausilio di Microsoft ISA Server 2006 SP1.

Si tratta di una nuova caratteristica presente dal WIndows Server 2003.

In due parole riusciamo a prelvare una autenticazione proveniente dal mondo Internet tipo "basic" e convertirla tramite particolari configurazioni in KERBEROS tenendo d'occhio la parte Security grazie alla "Constrained Delegation" che sinteticamente permette di rilasciare ticket kerberos solo ed esclusivamente per l'accesso a determinati serivizi, anche se ti "logghi" con super credenziali che dall'interno del domino potrebbero fare tutto.

Per ora vi posto questo link che rappresenta un review della configurazione:

http://www.securityarchitect.it/ARTSTE/protocoltransition/ProtocolTransition.wmv

(la qualità del video è scarsa... non pensavo poi di condividerlo :-) )

Appena avrò un pò di libertà completerò l'articolo più dettagliatamente.

Schema del laboratorio di test:

- DC 2k3

- SQL SERVER 2005

- WEB SERVER + REPORTING SERVICES

- ISA SERVER 2006 SP1

- CLIENT ESTERNO AL DOMINIO

Stefano Fio - Security Architect Srl