Cómo configurar un servidor virtual de Windows SharePoint Services para utilizar autenticación Kerberos y cómo volver a la autenticación NTLM desde la autenticación Kerberos

Seleccione idioma Seleccione idioma
Id. de artículo: 832769 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Este artículo contiene información acerca de cómo configurar un servidor virtual Microsoft Windows SharePoint Services para utilizar la autenticación Kerberos. Además, contiene información sobre cómo volver de la autenticación Kerberos a la autenticación NTLM.

Nota: la versión 3 de Microsoft Windows SharePoint Services para Microsoft Office 2007 utiliza la autenticación NTLM de forma predeterminada. Kerberos se sigue admitiendo.

Más información

A partir de Microsoft Windows SharePoint Services 2.0 Service Pack 2 (SP2), puede crear el servidor virtual de Administración central de SharePoint o extender un servidor virtual de contenido para utilizarlo con la autenticación Kerberos o la autenticación NTLM. Ya no tiene que modificar directamente la metabase de IIS.

La autenticación integrada de Microsoft Windows admite los dos protocolos siguientes que proporcionan un método de autenticación de tipo desafío-respuesta:
  • NTLM

    NTLM es un protocolo seguro que se basa en el cifrado de los nombres de usuario y las contraseñas antes de enviarlos a través de la red. La autenticación NTLM se requiere en las redes en las que el servidor recibe las solicitudes de clientes que no admiten la autenticación Kerberos.
  • Kerberos

    El protocolo Kerberos se basa en el uso de vales. En este esquema, un usuario debe proporcionar primero un nombre de usuario y contraseña válidos a un servidor de autenticación. A continuación, el servidor de autenticación concede un vale al usuario. El vale se puede utilizar en la red para solicitar otros recursos de red. Para utilizar este esquema, el cliente y el servidor deben tener una conexión de confianza con el Centro de distribución de claves (KDC, Key Distribution Center) del dominio. Además, tanto el cliente como el servidor deben ser compatibles con el servicio de directorio Active Directory.
Nota: casi siempre debería elegir la autenticación NTLM. Si no tiene una necesidad concreta que le obligue a usar la autenticación Kerberos o si no puede configurar el nombre principal de servicio (SPN), elija la autenticación NTLM. Si elige la autenticación Kerberos y no puede configurar el SPN, sólo los administradores del servidor podrán autenticar el sitio web de SharePoint.

Tanto Windows SharePoint Services 3.0 como Microsoft Office SharePoint Server 2007 contienen una funcionalidad integrada para volver a la autenticación NTLM o configurar la autenticación. La autenticación NTLM es el método preferido. Para configurar la autenticación NTLM en la aplicación web, use uno de los métodos siguientes:
  • Configure la autenticación NTLM en la aplicación web desde Administración Central de SharePoint 3.0.
    1. Haga clic en Inicio, en Herramientas administrativas y, a continuación, haga doble clic en Administración central de SharePoint.
    2. Haga clic en la ficha Administración de aplicaciones y, a continuación, haga clic en Proveedores de autenticación.
    3. En la lista Aplicación web, seleccione la aplicación web que tiene que actualizar.
    4. Haga clic en la Zona que desee.
    5. En la página Modificar autenticación para Configuración de autenticación IIS, Autenticación integrada de Windows, haga clic en NTLM.
    6. Para aplicar el cambio, haga clic en Aceptar.
  • Configure la autenticación NTLM en la aplicación web desde la utilidad de la línea de comandos Stsadm.exe.
    1. En un símbolo del sistema, cambie el directorio por el siguiente:
      <unidad del sistema>:\Archivos de programa\Archivos comunes\Microsoft Shared\web server extensions\12\BIN
    2. Ejecute el comando siguiente:
      stsadm -o authentication -url http://urlofthewebapplication -type windows -exclusivelyusentlm
      Nota: para ver otras opciones de la operación, ejecute el comando siguiente:
      stsadm -help authentication

Configurar Windows SharePoint Services 2.0 para utilizar la autenticación Kerberos o la autenticación NTLM

A partir de Windows SharePoint Services 2.0 Service Pack 2 (SP2), puede utilizar la interfaz de usuario de SharePoint o comandos en un símbolo del sistema para configurar el servidor virtual de Administración central de SharePoint y servidores virtuales de contenido. El servidor virtual de Administración central de SharePoint se configura al crear la Administración central de SharePoint, y los servidores virtuales de contenido se configuran al extender el servidor virtual de contenido. Cuando crea el servidor virtual de Administración central de SharePoint o extiende un nuevo servidor virtual, hay una nueva sección Configuración de seguridad donde puede especificar si desea utilizar la autenticación NTLM o la autenticación Kerberos. Para revisar todas las opciones de configuración administrativas para establecer la configuración de la autenticación, consulte la guía de administrador de Windows SharePoint Services (Windows SharePoint Services Administrator's Guide). Para ver el Manual del administrador de Windows SharePoint Services, visite el siguiente sitio web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en
Si ejecuta servidores virtuales de SharePoint que se extendieron o se crearon en versiones de Windows SharePoint Services 2.0 anteriores a Windows SharePoint Services 2.0 Service Pack 2 y tiene que configurarlos para la autenticación Kerberos, debe configurar esta autenticación manualmente para el servidor virtual si se requiere.

Para usar un script que habilite la autenticación Kerberos en el servidor virtual, siga estos pasos:
  1. En el servidor que está ejecutando IIS, haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar.
  2. Cambie a la carpeta Inetpub\Adminscripts.
  3. Escriba el comando siguiente y presione ENTRAR:
    cd Unidad:\inetpub\adminscripts
    Nota: en este comando, Unidad es la unidad donde está instalado Microsoft Windows.
  4. Escriba el comando siguiente y presione ENTRAR:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Nota: en este comando, ## es el número de Id. del servidor virtual. El número del identificador del servidor virtual del sitio web predeterminado en IIS es 1.
  5. Para habilitar la autenticación Kerberos en el servidor virtual, escriba el comando siguiente y presione ENTRAR:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
    Nota: en este comando, ## es el número de Id. del servidor virtual.
  6. Reinicie IIS. Para ello, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar.
    2. En el símbolo del sistema, escriba iisreset y presione ENTRAR.
    3. Escriba exit y presione ENTRAR para cerrar la ventana del símbolo del sistema.
Si elige la autenticación Kerberos cuando crea los servidores virtuales de contenido o Administración central de SharePoint, pero tiene que volver a la autenticación NTLM, puede utilizar un script para habilitar esta autenticación en el servidor virtual.

Para usar un script que habilite la autenticación NTLM en el servidor virtual, siga estos pasos:
  1. En el servidor que está ejecutando IIS, haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar.
  2. Cambie a la carpeta Inetpub\Adminscripts.
  3. Escriba el comando siguiente y presione ENTRAR:
    cd Unidad:\inetpub\adminscripts
    Nota: en este comando, Unidad es la unidad donde está instalado Windows.
  4. Escriba el comando siguiente y presione ENTRAR:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Nota: en este comando, ## es el número de Id. del servidor virtual. El número del identificador del servidor virtual del sitio web predeterminado en IIS es 1.
  5. Para habilitar la autenticación NTLM en el servidor virtual, escriba el comando siguiente y presione ENTRAR:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
    Nota: en este comando, ## es el número de Id. del servidor virtual.
  6. Reinicie IIS. Para ello, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar.
    2. En el símbolo del sistema, escriba iisreset y presione ENTRAR.
    3. Escriba exit y presione ENTRAR para cerrar la ventana del símbolo del sistema.

Configurar un nombre principal de servicio para la cuenta de usuario de dominio

Si la identidad del grupo de aplicaciones para el sitio de Windows SharePoint Services 2.0 se ha configurado para usar una entidad de seguridad integrada (como NT Authority\Network Service o NT Authority\Local System), no tiene que realizar este paso. Las cuentas integradas están configuradas automáticamente para funcionar con autenticación Kerberos.

Si utiliza un servidor remoto de Microsoft SQL Server 2000 y desea utilizar NT Authority\Network Service como cuenta de dominio, tiene que agregar la entrada dominio\nombreDeEquipo$ y configurarla con los permisos Creadores de base de datos y Administradores de seguridad. De este modo, Windows SharePoint Services 2.0 puede conectar con el equipo SQL Server remoto para crear las bases de datos de contenido y configuración.

Si la identidad del grupo de aplicaciones es una cuenta de usuario de dominio, debe configurar un SPN para esa cuenta. Para configurar un SPN para la cuenta de usuario de dominio, siga estos pasos:
  1. Descargue e instale la herramienta Setspn.exe de la línea de comandos. Para ello, visite uno de los siguientes sitios web de Microsoft.

    Para Microsoft Windows 2000 Server:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&amp;DisplayLang=en
    Para Microsoft Windows Server 2003:
    892777 Herramientas de soporte técnico del Service Pack 1 de Windows Server 2003
  2. Use la herramienta Setspn.exe para agregar un SPN para la cuenta de dominio. Para ello, escriba la línea siguiente en el símbolo del sistema y presione ENTRAR, donde nombreDeServidor es el nombre de dominio completo (FQDN) del servidor, dominio es el nombre del dominio y nombreDeUsuario es el nombre de la cuenta de usuario de dominio:
    setspn -A HTTP/nombreDeServidor dominio\nombreDeUsuario

Configurar la confianza para la delegación para los elementos web

Para configurar el servidor de IIS para que se confíe en él para la delegación, siga estos pasos:
  1. Inicie Usuarios y equipos de Active Directory.
  2. En el panel de la izquierda, haga clic en Equipos.
  3. En el panel derecho, haga clic con el botón secundario del mouse en el nombre del servidor de IIS y, después, haga clic en Propiedades.
  4. Haga clic en la ficha General, active la casilla Confiar en este equipo para delegación y haga clic en Aceptar.
  5. Cierre Usuarios y equipos de Active Directory.
Si la identidad del grupo de aplicaciones está configurada para usar una cuenta de usuario de dominio, se confiará en la cuenta de usuario para delegación antes de poder usar la autenticación Kerberos. Para configurar la cuenta de dominio de manera que se confíe en ella para la delegación, siga estos pasos:
  1. En el controlador de dominio, inicie Usuarios y equipos de Active Directory.
  2. En el panel de la izquierda, haga clic en Usuarios.
  3. En el panel derecho, haga clic con el botón secundario del mouse en el nombre de la cuenta de usuario y, después, haga clic en Propiedades.
  4. Haga clic en la ficha General, bajo Opciones de la cuenta active la casilla Se confía en la cuenta para su delegación y, a continuación, haga clic en Aceptar.
  5. Cierre Usuarios y equipos de Active Directory.
Si la identidad del grupo de aplicaciones es una cuenta de usuario de dominio, debe configurar un SPN para esa cuenta. Para configurar un SPN para la cuenta de usuario de dominio, siga estos pasos:
  1. Descargue e instale la herramienta Setspn.exe de la línea de comandos. Para ello, visite el siguiente sitio web de Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
  2. Use la herramienta Setspn.exe para agregar un SPN para la cuenta de dominio. Para ello, escriba la línea siguiente en el símbolo del sistema y presione ENTRAR, donde nombreDeServidor es el nombre de dominio completo (FQDN) del servidor, dominio es el nombre del dominio y nombreDeUsuario es el nombre de la cuenta de usuario de dominio:
    Setspn -A HTTP/ServerName Domain\UserName

Referencias

Para obtener más información acerca de Windows SharePoint Services, visite el siguiente sitio web de Microsoft:
http://technet.microsoft.com/windowsserver/sharepoint/default.aspx

Propiedades

Id. de artículo: 832769 - Última revisión: viernes, 12 de julio de 2013 - Versión: 10.5
La información de este artículo se refiere a:
  • Microsoft Windows SharePoint Services 3.0
  • Microsoft Windows SharePoint Services
Palabras clave: 
kbaccounts kbwebservices kbauthentication kbconfig kbhowto KB832769

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com