Konfigurace Excel Services v SharePoint Serveru 2010 pro ověřování protokolem Kerberos

Úvod

Tento článek popisuje, jak nakonfigurovat Excel Services v Microsoft SharePoint Serveru 2010 pro ověřování protokolem Kerberos.

Další informace

Další informace o tom, jak nakonfigurovat omezené delegování protokolu Kerberos, aby služba mohla aktualizovat data na listu z externího SQL Server zdroje dat, postupujte takto:

1. Vytvořte účet služby Excel Services.

   Osvědčeným postupem je Excel Services spouštět pod vlastní identitou domény. Pokud chcete nakonfigurovat aplikaci služby Excel, musíte vytvořit účet služby Active Directory. Můžete například vytvořit následující účty:

   Služba SharePoint Serveru	Identita fondu aplikací SLUŽBY IIS
   Služba SharePoint Serveru	Identita fondu aplikací SLUŽBY IIS
   Excel Services	vmlab\svcExcel

2. Nakonfigurujte hlavní název služby (SPN) na Excel Services účtu služby.

   Omezené delegování protokolu Kerberos je nutné nakonfigurovat, pokud Excel Services deleguje identitu klienta na back-endový zdroj dat. Pokud například Excel Services dotazuje data z transakční databáze SQL, musíte mít delegování protokolu Kerberos.

   Modul snap-in Uživatelé a počítače služby Active Directory MMC se obvykle používá ke konfiguraci delegování protokolu Kerberos. Ke konfiguraci nastavení delegování v modulu snap-in musí být u konfigurovaného objektu služby Active Directory použitý hlavní název služby (SPN). V opačném případě se karta delegování objektu nezobrazí v dialogovém okně vlastností objektu. I když Excel Services k fungování nevyžaduje hlavní název služby (SPN), musíte ho pro tento účel nakonfigurovat.

   Uděláte to tak, že na příkazovém řádku zadáte následující příkaz a stisknete klávesu Enter:

   SETSPN -S SP/ExcelServices
   

   Poznámka

   Tento hlavní název služby (SPN) není platný hlavní název služby (SPN). Použije se na zadaný účet služby, aby se zobrazily možnosti delegování v doplňku Uživatelé a počítače služby Active Directory. Existují další podporované metody pro určení nastavení delegování (konkrétně atribut msDS-AllowedToDelegateTo Active Directory). Tento článek však tyto metody nepopisuje.

3. Nakonfigurujte omezené delegování protokolu Kerberos pro Excel Services.

   Pokud chcete Excel Services umožnit delegování identity klientů, musíte nakonfigurovat omezené delegování protokolu Kerberos. Abyste mohli převést tokeny deklarací identity na tokeny Windows pomocí wif C2WTS, musíte nakonfigurovat omezené delegování s přechodem protokolu.

   Každý server, na kterém běží Excel Services, musí být důvěryhodný pro delegování přihlašovacích údajů na každou back-endovou službu, na kterou excel ověřuje. Kromě toho musíte nakonfigurovat účet služby Excel Services tak, aby umožňoval delegování do stejných back-endových služeb.

   Například definujete následující cesty delegování:

   Typ objektu zabezpečení	Hlavní název	Delegáti do služby
   User	svcExcel	MSSQLSVC/MySqlCluster.vmlab.local:1433
   *Uživatele	svcC2WTS	MSSQLSVC/MySqlCluster.vmlab.local:1433
   **Počítače	VMSP10APP01 MSSQLSVC/	MySqlCluster.vmlab.local:1433

   * Nakonfigurováno později v tomto scénáři

   ** Vyžaduje se pouze v případě, že je C2WTS spuštěný jako místní systém.

   Pokud chcete nakonfigurovat omezené delegování, postupujte takto:

   1. Otevřete vlastnosti objektu Active Directory v Uživatelé a počítače služby Active Directory.

   2. Přejděte na kartu Delegování.

   3. Vyberte Důvěřovat tomuto uživateli pro delegování pouze do zadaných služeb.

   4. Vyberte Použít libovolný ověřovací protokol. Tato akce umožňuje přechod protokolu a vyžaduje se, aby účet služby používal C2WTS.

   5. Klikněte na tlačítko Přidat a vyberte instanční objekt, na který se smí delegovat.

   6. Vyberte Uživatel a počítače.

   7. Vyberte účet služby, na který běží služba, na kterou chcete delegovat. V předchozím příkladu je to účet služby pro službu SQL.

      Poznámka

      Vybraný účet služby musí mít použitý hlavní název služby (SPN). V předchozím příkladu byl hlavní název služby (SPN) pro tento účet nakonfigurovaný v dřívějším kroku.

   8. Klikněte na OK. Na následující obrazovce se zobrazí výzva, abyste vybrali hlavní názvy služeb, na které chcete delegovat.

   9. Vyberte služby pro cluster SQL a klikněte na OK.

   10. Vybrané hlavní názvy služby (SPN) by se teď měly zobrazit v seznamu Služby, kterým může tento účet předložit delegovaná pověření.

   11. Tento postup opakujte pro každou cestu delegování definovanou na začátku této části.

4. Na serveru Excel Services spusťte instanci služby Excel Services.

   Před vytvořením aplikace služby Excel Services spusťte službu Excel Services na určených serverech farmy. Postupujte takto:

   1. Otevřete Centrální správu.
   2. V části Služby vyberte Spravovat služby na serveru.
   3. V poli pro výběr serveru v pravém horním rohu vyberte servery, na kterých běží Excel Services. V předchozím příkladu je server VMSP10APP01.
   4. Spusťte službu Excel Calculation Services.

5. Vytvořte aplikaci služby Excel Services a proxy aplikací, které webovým aplikacím umožní zpracovávat Excel Services. Postupujte takto:

   1. Otevřete Centrální správu.
   2. V části Správa aplikací aplikací vyberte Spravovat aplikace služeb.
   3. Vyberte Nový a potom klikněte na Excel Services aplikace.
   4. Nakonfigurujte novou aplikaci služby. Ujistěte se, že jste vybrali správný účet služby (pokud účet služby Excel Není v seznamu, vytvořte nový spravovaný účet).

6. Nakonfigurujte umístění Excel Services důvěryhodného souboru a nastavení ověřování.

   Po vytvoření aplikace Excel Services je nutné nakonfigurovat vlastnosti nové aplikace služby tak, aby určily důvěryhodné umístění hostitele a nastavení ověřování. Postupujte takto:

   1. Otevřete Centrální správu.

   2. V části Správa aplikací aplikací vyberte Spravovat aplikace služeb.

   3. Klikněte na odkaz pro novou aplikaci služby. V předchozím příkladu klikněte na Excel Services.

   4. Na stránce správy Excel Services klikněte na Důvěryhodná umístění souborů.

   5. Přidejte nové důvěryhodné umístění souboru.

   6. Nastavte umístění důvěryhodného souboru do testovací knihovny.

      Poznámka

      V předchozím příkladu jsou adresa URL kořenové webové aplikace a všechny podřízené položky důvěryhodné. V produkčním prostředí můžete zvolit omezení úrovně důvěryhodnosti.

   7. V části Externí data vyberte Důvěryhodné knihovny datových připojení a vložené.

      Poznámka

      Předchozí příklad používá pro připojení k SQL Server vložené připojení. Ve svém prostředí můžete vytvořit samostatný soubor připojení a uložit ho do důvěryhodné knihovny datových připojení. V takovém případě vyberte Pouze důvěryhodné knihovny datových připojení.

   8. Změňte životnost mezipaměti externích dat. Pro účely testování je vhodné změnit životnost mezipaměti externích dat, abyste měli jistotu, že aktualizace dat pocházejí ze zdroje dat, a ne z mezipaměti. V části Externí data změňte následující nastavení:

      Automatická aktualizace (periodická / při otevření) = 0

      Ruční aktualizace = 0

      Poznámka

      V produkčním prostředí musíte nakonfigurovat nastavení mezipaměti, které je větší než 0. Nastavení mezipaměti na hodnotu 0 je určené pouze pro testování.

7. Udělte účtu služby Excel Services oprávnění k databázi obsahu webové aplikace.

   Účet služby webové aplikace musí povolit přístup k databázím obsahu pro danou webovou aplikaci, aby bylo možné nakonfigurovat webové aplikace Systému Office serveru SharePoint Server 2010. Například pomocí Windows PowerShell udělte účtu služby Excel Services přístup k databázi obsahu webové aplikace "portál".

   Uděláte to tak, že v prostředí SharePoint 2010 Management Shell spustíte následující příkaz:

   $w = Get-SPWebApplication -Identity https://portal
   
   $w.GrantAccessToProcessIdentity("vmlab\svcExcel")
   

Delegování identity pro Excel Services (SharePoint Server 2010)

Stále potřebujete pomoc? Přejděte na Komunita SharePointu.