Kerberos 인증을 위해 SharePoint Server 2010에서 Excel Services 구성하는 방법

  • 아티클
  • 적용 대상:
    Excel Services in SharePoint Server 2010

소개

이 문서에서는 Kerberos 인증을 위해 Microsoft SharePoint Server 2010에서 Excel Services 구성하는 방법을 설명합니다.

추가 정보

서비스가 외부 SQL Server 데이터 원본에서 워크시트의 데이터를 업데이트할 수 있도록 Kerberos 제한 위임을 구성하는 방법에 대한 자세한 내용은 다음 단계를 수행합니다.

  1. Excel Services 서비스 계정을 만듭니다.

    모범 사례로 Excel Services 자체 도메인 ID로 실행해야 합니다. Excel 서비스 애플리케이션을 구성하려면 Active Directory 계정을 만들어야 합니다. 예를 들어 다음 계정을 만듭니다.

    SharePoint Server 서비스 IIS 응용 프로그램 풀 ID
    SharePoint Server 서비스 IIS 응용 프로그램 풀 ID
    Excel Services vmlab\svcExcel

  2. Excel Services 서비스 계정에서 SPN(서비스 사용자 이름)을 구성합니다.

    Excel Services 클라이언트의 ID를 백 엔드 데이터 원본에 위임하는 경우 Kerberos 제한 위임을 구성해야 합니다. 예를 들어 Excel Services SQL 트랜잭션 데이터베이스의 데이터를 쿼리하는 경우 Kerberos 위임이 있어야 합니다.

    Active Directory 사용자 및 컴퓨터 MMC 스냅인은 일반적으로 Kerberos 위임을 구성하는 데 사용됩니다. 스냅인 내에서 위임 설정을 구성하려면 구성 중인 Active Directory 개체에 SPN이 적용되어 있어야 합니다. 그렇지 않으면 개체의 위임 탭이 개체의 속성 대화 상자에 표시되지 않습니다. Excel Services SPN이 작동할 필요는 없지만 이 목적을 위해 구성해야 합니다.

    이렇게 하려면 명령줄에 다음 명령을 입력한 다음 Enter 키를 누릅니다.

    SETSPN -S SP/ExcelServices

    참고

    이 SPN은 유효한 SPN이 아닙니다. 지정된 서비스 계정에 적용되어 Active Directory 사용자 및 컴퓨터 추가 기능의 위임 옵션을 표시합니다. 위임 설정을 지정하는 다른 지원되는 메서드(특히 msDS-AllowedToDelegateTo Active Directory 특성)가 있습니다. 그러나 이 문서에서는 이러한 메서드를 설명하지 않습니다.

  3. Excel Services Kerberos 제한 위임을 구성합니다.

    Excel Services 클라이언트의 ID를 위임할 수 있도록 하려면 Kerberos 제한 위임을 구성해야 합니다. WIF C2WTS를 사용하여 클레임 토큰을 windows 토큰으로 변환하려면 프로토콜 전환으로 제한된 위임을 구성해야 합니다.

    excel에서 인증하는 각 백 엔드 서비스에 자격 증명을 위임하려면 Excel Services 실행하는 각 서버를 신뢰할 수 있어야 합니다. 또한 동일한 백 엔드 서비스에 대한 위임을 허용하도록 Excel Services 서비스 계정을 구성해야 합니다.

    예를 들어 다음 위임 경로를 정의합니다.

    사용자 유형 사용자 이름 위임 대상 서비스
    사용자 svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *사용자 svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **컴퓨터 VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * 이 시나리오 뒷부분에서 구성합니다.

    ** C2WTS가 로컬 시스템으로 실행되는 경우에만 필요

    제한된 위임을 구성하려면 다음 단계를 수행합니다.

    1. Active Directory 사용자 및 컴퓨터에서 Active Directory 개체의 속성을 엽니다.

    2. 위임 탭으로 이동합니다.

    3. 지정한 서비스에 대한 위임용으로만 이 사용자 트러스트를 선택합니다.

    4. 모든 인증 프로토콜 사용을 선택합니다. 이 작업을 수행하면 프로토콜 전환이 가능하며 서비스 계정이 C2WTS를 사용하는 데 필요합니다.

    5. 추가 단추를 클릭하여 서비스를 위임할 수 있는 서비스 사용자를 선택합니다.

    6. 사용자 및 컴퓨터를 선택합니다.

    7. 위임하려는 서비스를 실행하는 서비스 계정을 선택합니다. 이전 예제에서는 SQL 서비스의 서비스 계정입니다.

      참고

      선택한 서비스 계정에 SPN이 적용되어 있어야 합니다. 이전 예제에서는 이 계정에 대한 SPN이 이전 단계에서 구성되었습니다.

    8. 확인을 클릭합니다. 다음 화면에서 위임할 SPN을 선택하라는 메시지가 표시됩니다.

    9. SQL 클러스터에 대한 서비스를 선택한 다음 확인을 클릭합니다.

    10. 이제 이 계정이 위임된 자격 증명 목록을 표시할 수 있는 서비스에 선택한 SPNS가 표시됩니다.

    11. 이 섹션의 시작 부분에 정의된 각 위임 경로에 대해 이러한 단계를 반복합니다.

  4. Excel Services 서버에서 Excel Services 서비스 instance 시작합니다.

    Excel Services 서비스 애플리케이션을 만들기 전에 지정된 팜 서버에서 Excel Services 서비스를 시작합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 중앙 관리를 엽니다.
    2. 서비스 아래에서 서버의 서비스 관리를 선택합니다.
    3. 오른쪽 위 모서리에 있는 서버 선택 상자에서 Excel Services 실행 중인 서버를 선택합니다. 이전 예제에서는 서버가 VMSP10APP01.
    4. Excel 계산 서비스 서비스를 시작합니다.

  5. 웹 애플리케이션이 Excel Services 처리할 수 있도록 Excel Services 서비스 애플리케이션 및 애플리케이션 프록시를 만듭니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 중앙 관리를 엽니다.
    2. 프로그램 관리 아래에서 서비스 응용 프로그램 관리를 선택합니다.
    3. 새로 만들기를 선택한 다음 Excel Services 애플리케이션을 클릭합니다.
    4. 새 서비스 응용 프로그램을 구성합니다. 올바른 서비스 계정을 선택해야 합니다(Excel 서비스 계정이 목록에 없는 경우 새 관리 계정을 만듭니다).

  6. Excel Services 신뢰할 수 있는 파일의 위치 및 인증 설정을 구성합니다.

    Excel Services 애플리케이션을 만든 후에는 신뢰할 수 있는 호스트 위치 및 인증 설정을 지정하도록 새 서비스 애플리케이션의 속성을 구성해야 합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 중앙 관리를 엽니다.

    2. 프로그램 관리 아래에서 서비스 응용 프로그램 관리를 선택합니다.

    3. 새 서비스 애플리케이션에 대한 링크를 클릭합니다. 이전 예제에서 Excel Services 클릭합니다.

    4. Excel Services 관리 페이지에서 신뢰할 수 있는 파일 위치를 클릭합니다.

    5. 신뢰할 수 있는 새 파일 위치를 추가합니다.

    6. 신뢰할 수 있는 파일의 위치를 테스트 라이브러리로 설정합니다.

      참고

      이전 예제에서는 루트 웹 애플리케이션 URL 및 모든 자식이 신뢰할 수 있습니다. 프로덕션 환경에서 신뢰 수준을 제한하도록 선택할 수 있습니다.

    7. 외부 데이터에서 신뢰할 수 있는 데이터 연결 라이브러리 및 포함을 선택합니다.

      참고

      이전 예제에서는 포함된 연결을 사용하여 SQL Server 연결합니다. 사용자 환경에서 별도의 연결 파일을 만들고 신뢰할 수 있는 데이터 연결 라이브러리에 저장하도록 선택할 수 있습니다. 이 경우 신뢰할 수 있는 데이터 연결 라이브러리만 선택합니다.

    8. 외부 데이터 캐시 수명을 변경합니다. 테스트를 위해 외부 데이터 캐시 수명을 변경하여 데이터 업데이트가 캐시가 아닌 데이터 원본에서 제공되는지 확인하는 것이 편리합니다. 외부 데이터에서 다음 설정을 변경합니다.

      자동 새로 고침(정기/켜기) = 0

      수동 새로 고침 = 0

      참고

      프로덕션 환경에서는 0보다 큰 캐시 설정을 구성해야 합니다. 캐시를 0으로 설정하는 것은 테스트 전용입니다.

  7. 웹 애플리케이션 콘텐츠 데이터베이스에 Excel Services 서비스 계정 권한을 부여합니다.

    SharePoint Server 2010 Office 웹 애플리케이션을 구성하려면 지정된 웹 애플리케이션에 대한 콘텐츠 데이터베이스에 대한 웹 애플리케이션의 서비스 계정 액세스를 사용하도록 설정해야 합니다. 예를 들어 Windows PowerShell 사용하여 Excel Services 서비스 계정에 "포털" 웹 애플리케이션의 콘텐츠 데이터베이스에 대한 액세스 권한을 부여합니다.

    이렇게 하려면 SharePoint 2010 관리 셸에서 다음 명령을 실행합니다.

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

참고

Excel Services 대한 ID 위임에 대한 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 참조하세요.

Excel Services용 ID 위임(SharePoint Server 2010)

아직 해결되지 않았습니까? SharePoint 커뮤니티로 이동합니다.