Comment faire pour configurer un serveur virtuel Windows SharePoint Services pour utiliser l'authentification Kerberos et comment faire pour revenir ensuite à l'authentification NTLM

Traductions disponibles Traductions disponibles
Numéro d'article: 832769 - Voir les produits auxquels s'applique cet article
Si vous êtes un client Small Business, découvrez des ressources supplémentaires d'information et de résolution de problèmes sur le site de Support pour Small Business
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article contient des informations sur la façon de configurer un serveur virtuel Microsoft Windows SharePoint Services pour utiliser l'authentification Kerberos. Il contient également des informations sur la façon de revenir à l'authentification NTLM.

Remarque La version 3 de Microsoft Windows SharePoint Services pour Micrsosoft Office 2007 utilise l'authentification NTLM par défaut. Kerberos est toujours pris en charge.

Plus d'informations

À compter de Microsoft Windows SharePoint Services Service Pack 2 (SP2), vous pouvez créer le serveur virtuel Administration centrale de SharePoint ou étendre un serveur virtuel de contenu à utiliser avec l'authentification Kerberos ou l'authentification NTLM. Vous n'êtes plus obligé de modifier directement la métabase IIS.

L'authentification intégrée de Microsoft Windows prend en charge les deux protocoles suivants qui fournissent une authentification stimulation/réponse :
  • NTLM

    Le protocole NTLM est un protocole sécurisé basé sur le chiffrement des noms d'utilisateurs et des mots de passe avant leur envoi sur le réseau. L'authentification NTLM est requise sur les réseaux où le serveur reçoit des demandes de clients qui ne prennent pas en charge l'authentification Kerberos.
  • Kerberos

    Le protocole Kerberos est basé sur l'attribution de tickets. Selon cette méthode, un utilisateur doit d'abord fournir un nom d'utilisateur et un mot de passe valides à un serveur d'authentification. Ensuite, celui-ci accorde un ticket à l'utilisateur. Le ticket peut être utilisé sur le réseau pour demander d'autres ressources réseau. Pour utiliser cette méthode, le client et le serveur doivent tous deux avoir une connexion approuvée au centre de distribution de clés de domaine. En outre, le client et le serveur doivent être compatibles avec le service d'annuaire Active Directory.
RemarqueLa plupart du temps, vous devez choisir l'authentification NTLM. Si vous n'avez pas un besoin spécifique d'utiliser l'authentification Kerberos ou si vous ne pouvez pas configurer le nom principal du service, choisissez l'authentification NTLM. Si vous choisissez l'authentification Kerberos et que vous ne pouvez pas configurer le nom principal du service, seuls les administrateurs du serveur seront capables de s'authentifier sur le site SharePoint.

Configuration de Windows SharePoint Services pour utiliser l'authentification Kerberos ou l'authentification NTLM

À compter de Windows SharePoint Services Service Pack 2 (SP2), vous pouvez utiliser l'interface utilisateur SharePoint ou des commandes à une invite de commandes pour configurer le serveur virtuel Administration centrale de SharePoint et des serveurs virtuels de contenu. Vous configurez le serveur virtuel Administration centrale de SharePoint lorsque vous créez l'Administration centrale de SharePoint et vous configurez les serveurs virtuels de contenu lorsque vous étendez le serveur virtuel de contenu. Lorsque vous créez le serveur virtuel Administration centrale de SharePoint ou que vous étendez un nouveau serveur virtuel, une nouvelle section Configuration de la sécurité vous permet de spécifier si vous souhaitez utiliser l'authentification NTLM ou l'authentification Kerberos. Pour examiner tous les paramètres administratifs de configuration des paramètres d'authentification, consultez le Guide de l'administrateur de Windows SharePoint Services. Pour obtenir le Guide de l'administrateur de Windows SharePoint Services, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en
Si vous exécutez des serveurs virtuels SharePoint qui ont été étendus ou créés dans des versions de Windows SharePoint Services antérieures à Windows SharePoint Services SP2 et si vous devez configurer les serveurs virtuels pour l'authentification Kerberos, vous devez configurer manuellement l'authentification Kerberos pour le serveur virtuel si elle est requise.

Pour utiliser un script pour activer l'authentification Kerberos sur le serveur virtuel, procédez comme suit :
  1. Sur le serveur des services Internet (IIS), cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. Accédez au dossier Inetpub\Adminscripts.
  3. Tapez la commande suivante, puis appuyez sur ENTRÉE :
    cd Lecteur:\inetpub\adminscripts
    Remarque Dans cette commande, Lecteur représente le lecteur sur lequel Microsoft Windows est installé.
  4. Tapez la commande suivante et appuyez sur la touche ENTRÉE :
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Remarque Dans cette commande, ## est le numéro d'identification du serveur virtuel. Le numéro d'identification du serveur virtuel du site Web par défaut dans IIS est 1.
  5. Pour activer l'authentification Kerberos sur le serveur virtuel, tapez la commande suivante, puis appuyez sur ENTRÉE :
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
    Remarque Dans cette commande, ## est le numéro d'identification du serveur virtuel.
  6. Redémarrez IIS. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
    2. À l'invite de commandes, tapez iisreset, puis appuyez sur ENTRÉE.
    3. Tapez exit, puis appuyez sur ENTRÉE pour fermer l'invite de commandes.
Si vous avez choisi l'authentification Kerberos lorsque vous avez créé l'Administration centrale de SharePoint ou les serveurs virtuels de contenu, mais que vous devez réactiver l'authentification NTLM, vous pouvez utiliser un script pour activer l'authentification NTLM sur le serveur virtuel.

Pour utiliser un script pour activer l'authentification NTLM sur le serveur virtuel, procédez comme suit :
  1. Sur le serveur des services Internet (IIS), cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. Accédez au dossier Inetpub\Adminscripts.
  3. Tapez la commande suivante, puis appuyez sur ENTRÉE :
    cd Lecteur:\inetpub\adminscripts
    Remarque Dans cette commande, Lecteur représente le lecteur sur lequel Windows est installé.
  4. Tapez la commande suivante et appuyez sur la touche ENTRÉE :
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Remarque Dans cette commande, ## est le numéro d'identification du serveur virtuel. Le numéro d'identification du serveur virtuel du site Web par défaut dans IIS est 1.
  5. Pour activer l'authentification NTLM sur le serveur virtuel, tapez la commande suivante, puis appuyez sur ENTRÉE :
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
    Remarque Dans cette commande, ## est le numéro d'identification du serveur virtuel.
  6. Redémarrez IIS. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
    2. À l'invite de commandes, tapez iisreset, puis appuyez sur ENTRÉE.
    3. Tapez exit, puis appuyez sur ENTRÉE pour fermer l'invite de commandes.

Configuration d'un nom principal de service pour le compte d'utilisateur de domaine

Si l'identité du pool d'applications du site Windows SharePoint Services est configurée de façon à utiliser une entité de sécurité intégrée (telle que Autorité NT\Service réseau ou Autorité NT\Système local), vous pouvez ignorer cette étape. Les comptes intégrés sont configurés automatiquement de façon à utiliser l'authentification Kerberos.

Si vous utilisez un serveur Microsoft SQL Server 2000 distant et que vous souhaitez utiliser Autorité NT\Service réseau en tant que compte de domaine, vous devez ajouter l'entrée domaine\nom_ordinateur$ et lui accorder les autorisations Créateurs de bases de données et Administrateurs de la sécurité. Ainsi, Windows SharePoint Services peut se connecter à l'ordinateur SQL Server distant pour créer les bases de données de configuration et de contenu.

Si l'identité du pool d'applications est un compte d'utilisateur de domaine, vous devez configurer un nom principal de service pour ce compte. Pour configurer un nom principal de service pour le compte d'utilisateur de domaine, procédez comme suit :
  1. Téléchargez et installez l'utilitaire de ligne de commande Setspn.exe. Pour cela, reportez-vous au site Web de Microsoft à l'une des adresses suivantes (en anglais).

    Microsoft Windows NT 2000 Server :
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
    Microsoft Windows Server 2003 :
    892777 Outils de support de Windows Server 2003 Service Pack 1
  2. Utilisez l'outil Setspn.exe pour ajouter un nom principal de service pour le compte de domaine. Pour cela, tapez la ligne suivante à l'invite de commandes, puis appuyez sur ENTRÉE, où Nom_Serveur est le nom de domaine complet du serveur, Domaine est le nom du domaine et Nom_Utilisateur est le nom du compte d'utilisateur de domaine :
    setspn -A HTTP/Nom_Serveur Domaine\Nom_Utilisateur

Configuration de l'approbation pour la délégation de sorte que les composants WebPart puissent accéder aux ressources distantes

Si vous développez des composants WebPart pour SharePoint qui doivent accéder à des ressources distantes, vous devez appliquer la procédure décrite à la section « Configuration d'un nom principal de service pour le compte d'utilisateur de domaine » et configurer à la fois l'ordinateur et le compte du pool d'applications pour qu'ils soient approuvés pour la délégation en effectuant les étapes suivantes.

RemarqueVous n'êtes pas obligé d'effectuer ces étapes supplémentaires si vous n'avez pas de composants WebPart qui accèdent à des ressources distantes.

Pour approuver le serveur IIS pour la délégation, procédez comme suit :
  1. Démarrez le composant Utilisateurs et ordinateurs Active Directory.
  2. Dans le volet gauche, cliquez sur Ordinateurs.
  3. Dans le volet droit, cliquez avec le bouton droit sur le nom du serveur IIS, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Général, activez la case à cocher Approuver l'ordinateur pour la délégation, puis cliquez sur OK.
  5. Quittez la fenêtre Utilisateurs et ordinateurs Active Directory.
Si l'identité du pool d'applications est configurée de façon à utiliser un compte d'utilisateur de domaine, le compte d'utilisateur doit être approuvé pour la délégation pour que vous puissiez utiliser l'authentification Kerberos. Pour approuver le compte de domaine pour la délégation, procédez comme suit :
  1. Sur le contrôleur de domaine, démarrez Utilisateurs et ordinateurs Active Directory.
  2. Dans le volet gauche, cliquez sur Utilisateurs.
  3. Dans le volet droit, cliquez avec le bouton droit sur le nom du compte d'utilisateur, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Compte, sous Options de compte, activez la case à cocher Le compte est approuvé pour la délégation, puis cliquez sur OK.
  5. Quittez la fenêtre Utilisateurs et ordinateurs Active Directory.
Si l'identité du pool d'applications est un compte d'utilisateur de domaine, vous devez configurer un nom principal de service pour ce compte. Pour configurer un nom principal de service pour le compte d'utilisateur de domaine, procédez comme suit :
  1. Téléchargez et installez l'utilitaire de ligne de commande Setspn.exe. Pour cela, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
  2. Utilisez l'outil Setspn.exe pour ajouter un nom principal de service pour le compte de domaine. Pour cela, tapez la ligne suivante à l'invite de commandes, puis appuyez sur ENTRÉE, où Nom_Serveur est le nom de domaine complet du serveur, Domaine est le nom du domaine et Nom_Utilisateur est le nom du compte d'utilisateur de domaine :
    Setspn -A HTTP/ServerName Domain\UserName

Références

Pour plus d'informations sur Windows SharePoint Services, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais):
http://www.microsoft.com/windowsserver2003/technologies/sharepoint/default.mspx

Propriétés

Numéro d'article: 832769 - Dernière mise à jour: lundi 11 juin 2012 - Version: 8.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows SharePoint Services
  • Microsoft Windows SharePoint Services 3.0
Mots-clés : 
kbaccounts kbwebservices kbauthentication kbconfig kbhowto KB832769
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com