Crear aplicaciones ASP.

NET
seguras
Autenticacin, autorizacin y comunicacin
segura
Consulte la Pgina de entrada como punto de partida y para obtener una descripcin
completa del documento Crear aplicaciones ASP.NET seguras.
Resumen
La delegacin Kerberos le permite pasar una identidad autenticada a travs de varios
niveles fsicos de una aplicacin para admitir autenticacin y autorizacin en los niveles
inferiores. En este artculo se muestran los pasos de configuracin necesarios para su
funcionamiento.
Cmo: Implementar la delegacin Kerberos en
Windows 2000
e forma predeterminada! el sistema operativo "icrosoft# $indo%s# &''' utiliza el
protocolo Kerberos para la autenticacin. En este artculo se describe cmo configurar la
delegacin Kerberos! una caracterstica eficaz (ue permite a un servidor (ue suplanta a
un cliente tener acceso a los recursos remotos en nombre del cliente.
Importante: la delegacin es una caracterstica muy eficaz y no tiene restricciones en
$indo%s &'''. ebe utilizarse con precaucin. El acceso a los e(uipos configurados
para admitir la delegacin debe estar controlado para impedir el uso indebido de esta
caracterstica.
En $indo%s )erver &''* se admitir una caracterstica de delegacin restringida.
Cuando un servidor suplanta a un cliente! la autenticacin Kerberos genera un testigo de
delegacin +(ue se puede utilizar para responder a los desafos de autenticacin de red
de e(uipos remotos, si se cumplen las condiciones siguientes-
.. La cuenta de cliente (ue se suplanta no est marcada como importante y no se
puede delegar en el servicio de directorio "icrosoft /ctive irectory#.
&. La cuenta de proceso del servidor +la cuenta de usuario con la (ue se e0ecuta el
proceso del servidor o la cuenta de e(uipo si el proceso se e0ecuta con la cuenta
)1)2E"/ local, tiene la marca de confianza para la delegacin en /ctive irectory.

Notas
Para (ue la delegacin Kerberos se realice correctamente! todos los e(uipos +clientes
y servidores, deben formar parte de un 3nico bos(ue de /ctive irectory.
)i lleva a cabo una suplantacin dentro de componentes revisados y desea pasar el
conte4to de llamadores a travs de una aplicacin de )ervicios Empresariales! el
servidor de aplicaciones en el (ue se alo0an los )ervicios Empresariales debe
tener instalado 5otfi4 6ollup .7.. o posterior.
Para obtener ms informacin! consulte 189:- /vailability of $indo%s &''' Post;
)ervice Pac< & C:"= 5otfi4 6ollup Pac<age .7.. +en ingls,.

Requisitos
/ continuacin se describen las recomendaciones de >ard%are! soft%are! infraestructura
de red! conocimientos y )ervice Pac< (ue se necesitan- $indo%s &''' )erver con
/ctive irectory.

Resumen
En este artculo se incluyen los siguientes procedimientos-
.. Confirmar (ue la cuenta de cliente est configurada para la delegacin
&. Confirmar (ue se confa en la cuenta de proceso del servidor para la delegacin

1. Conirmar que la cuenta de cliente est! conigurada para
la delegacin
En este procedimiento se asegura (ue la cuenta de cliente admite la delegacin.
"ara conirmar que la cuenta de cliente est! conigurada para la delegacin
.. 1nicie sesin en el controlador de dominio con una cuenta de administrador.
&. En la barra de tareas! >aga clic en el botn Inicio! eli0a "rogramas! #erramientas
administrati$as y! despus! >aga clic en %suarios & equipos de 'cti$e
(irector&.
*. eba0o del dominio! >aga clic en la carpeta %suarios.
?. 5aga clic con el botn secundario del mouse +ratn, en la cuenta de usuario (ue
se va a delegar y! a continuacin! >aga clic en "ropiedades.
@. 5aga clic en la fic>a Cuenta.
A. En la lista )pciones de cuenta! aseg3rese de (ue la opcin *a cuenta es
importante & no se puede delegar no est seleccionada.
B. 5aga clic en 'ceptar para cerrar el cuadro de dilogo "ropiedades.

2. Conirmar que se con+a en la cuenta de proceso del
ser$idor para la delegacin
En este procedimiento se asegura (ue la cuenta utilizada para e0ecutar el proceso del
servidor +el proceso (ue lleva a cabo la suplantacin, tiene permiso para delegar cuentas
de cliente. ebe configurar la cuenta de usuario con la (ue se e0ecuta el proceso de
servidor o! si el proceso se e0ecuta con la cuenta )1)2E"/ local! debe configurar la
cuenta de e(uipo. Lleve a cabo el procedimiento apropiado de los (ue se indican a
continuacin en funcin de si el proceso del servidor se e0ecuta con una cuenta de
$indo%s o una cuenta )1)2E"/ local.
"ara conirmar que se con+a en la cuenta de proceso del ser$idor para la
delegacin si el proceso del ser$idor se e,ecuta con una cuenta de usuario
de Windows
.. En la carpeta %suarios de %suarios & equipos de 'cti$e (irector&! >aga clic
con el botn secundario en la cuenta de usuario (ue se utiliza para e0ecutar el
proceso del servidor (ue suplantar al cliente y! despus! >aga clic en
"ropiedades.
&. 5aga clic en la fic>a Cuenta.
*. En la lista )pciones de cuenta! >aga clic en -e con+a en la cuenta para su
delegacin.

"ara conirmar que se con+a en la cuenta de proceso del ser$idor para la
delegacin si el proceso del ser$idor se e,ecuta con la cuenta -I-./0' local
.. En %suarios & equipos de 'cti$e (irector&! >aga clic con el botn secundario
en la carpeta /quipos y! a continuacin! >aga clic en "ropiedades.
&. 5aga clic con el botn secundario en el servidor +donde se e0ecutar el proceso
(ue suplanta al cliente, y! a continuacin! >aga clic en "ropiedades.
*. En la pgina 1eneral! >aga clic en Coniar en el equipo para la delegacin.

Reerencias
Para obtener una lista de los arc>ivos a los (ue afecta la versin .7.. del pa(uete de
revisiones C:"= posterior al )ervice Pac< & +)P&, de $indo%s &'''! consulte el
artculo C*.*@7&! D189:- /vailability of $indo%s &''' Post;)ervice Pac< & C:"=
5otfi4 6ollup Pac<age .7..D +en ingls, en "icrosoft Kno%ledge Ease.
Para ver cmo configurar una situacin completa de delegacin (ue incluye /)P.8E2!
la aplicacin de )ervicios Empresariales y )CL )erver! consulte D2ransmitir el
llamador original a la base de datosD en el captulo @! D)eguridad de intranetD.