Configurazione di un server virtuale Windows SharePoint Services per l'utilizzo dell'autenticazione Kerberos e passaggio dall'autenticazione Kerberos all'autenticazione NTLM

Traduzione articoli Traduzione articoli
Identificativo articolo: 832769 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo sono contenute informazioni sulla configurazione di un server virtuale Microsoft Windows SharePoint Services per l'utilizzo dell'autenticazione Kerberos, nonchÚ informazioni sul passaggio dall'autenticazione Kerberos a quella NTLM.

Nota Per impostazione predefinita nella versione 3 di Microsoft Windows SharePoint Services per Microsoft Office 2007 viene utilizzata l'autenticazione NTLM. L'autenticazione Kerberos Ŕ comunque supportata.

Informazioni

A partire da Microsoft Windows SharePoint Services Service Pack 2 (SP2) Ŕ possibile creare il server virtuale per l'amministrazione centrale di SharePoint oppure estendere un server virtuale di contenuti perchÚ utilizzi l'autenticazione Kerberos o NTLM. Non Ŕ pi¨ necessario modificare direttamente la metabase di IIS.

L'autenticazione integrata di Microsoft Windows supporta i due protocolli riportati di seguito, che forniscono l'autenticazione In attesa/risposta:
  • NTLM

    ╚ un protocollo di protezione basato sulla crittografia di nomi utente e password eseguita prima dell'invio di tali dati in rete. L'autenticazione NTLM Ŕ necessaria nelle reti in cui il server riceve richieste provenienti da client privi di supporto per l'autenticazione Kerberos.
  • Kerberos

    ╚ un protocollo basato sui ticket. In tale schema l'utente deve innanzitutto fornire un nome utente valido e una password a un server di autenticazione, dal quale riceve un ticket. Il ticket potrÓ quindi essere utilizzato nella rete per richiedere altre risorse di rete. Per poter utilizzare tale schema Ŕ necessario che sia il client che il server dispongano di una connessione di tipo trusted al Centro distribuzione chiavi (KDC, Key Distribution Center) del dominio. ╚ inoltre necessario che entrambi siano compatibili con il servizio Active Directory.
Nota In genere Ŕ preferibile scegliere l'autenticazione NTLM. Se non vi Ŕ la necessitÓ specifica dell'autenticazione Kerberos oppure se non Ŕ possibile configurare il nome dell'entitÓ servizio (SPN), preferire l'autenticazione NTLM. Se si sceglie l'autenticazione Kerberos e non Ŕ possibile configurare il nome dell'entitÓ servizio, solo gli amministratori del server saranno in grado di eseguire l'autenticazione con il sito SharePoint.

Configurazione di Windows SharePoint Services per l'utilizzo dell'autenticazione Kerberos o NTLM

A partire da Windows SharePoint Services Service Pack 2 (SP2) Ŕ possibile utilizzare l'interfaccia utente di SharePoint o i relativi comandi al prompt dei comandi per configurare il server virtuale per l'amministrazione centrale di SharePoint e i server virtuali di contenuti. Il server virtuale per l'amministrazione centrale di SharePoint viene configurato durante la creazione di Amministrazione centrale SharePoint e i server virtuali di contenuti vengono configurati durante l'estensione del server virtuale di contenuti. Quando si crea il server virtuale per l'amministrazione centrale di SharePoint o si estende un nuovo server virtuale, viene visualizzata la nuova sezione Configurazione protezione in cui Ŕ possibile specificare se utilizzare l'autenticazione NTLM o Kerberos. Per esaminare tutte le impostazioni amministrative disponibili per la configurazione dell'autenticazione, vedere la guida per l'amministratore di Windows SharePoint Services, Per consultare il manuale di amministrazione di Microsoft Windows SharePoint Services, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en
Se si eseguono server virtuali SharePoint estesi o creati in versioni di Windows SharePoint Services precedenti al Service Pack 2 e se Ŕ necessario configurarli per l'autenticazione Kerberos, eseguire l'autenticazione Kerberos manualmente.

Per utilizzare uno script per l'attivazione dell'autenticazione Kerberos nel server virtuale, attenersi alla seguente procedura:
  1. Nel server che esegue IIS fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
  2. Individuare la cartella Inetpub\Adminscripts.
  3. Digitare il seguente comando e premere INVIO:
    cd UnitÓ:\inetpub\adminscripts
    Nota In questo comando, UnitÓ rappresenta l'unitÓ in cui Ŕ installato Microsoft Windows.
  4. Digitare il seguente comando e premere INVIO:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Nota In questo comando, ## rappresenta l'ID del server virtuale. L'ID del server virtuale del sito Web predefinito in IIS Ŕ 1.
  5. Per attivare l'autenticazione Kerberos nel server virtuale, digitare il comando seguente e premere INVIO:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
    Nota In questo comando, ## rappresenta l'ID del server virtuale.
  6. Riavviare IIS. A questo scopo, attenersi alla seguente procedura:
    1. Fare clic sul menu Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
    2. Al prompt dei comandi digitare iisreset e premere INVIO.
    3. Digitare exit, quindi premere INVIO per chiudere la finestra del prompt dei comandi.
Se durante la creazione del server per l'amministrazione centrale di SharePoint o dei server virtuali di contenuti si Ŕ scelto di utilizzare l'autenticazione Kerberos ma Ŕ necessario ritornare all'autenticazione NTLM, Ŕ possibile utilizzare uno script che consente di attivare l'autenticazione NTLM nel server virtuale.

Per utilizzare uno script per l'attivazione dell'autenticazione NTLM nel server virtuale, attenersi alla seguente procedura:
  1. Nel server che esegue IIS fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
  2. Individuare la cartella Inetpub\Adminscripts.
  3. Digitare il seguente comando e premere INVIO:
    cd UnitÓ:\inetpub\adminscripts
    Nota In questo comando, UnitÓ rappresenta l'unitÓ in cui Ŕ installato Windows.
  4. Digitare il seguente comando e premere INVIO:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Nota In questo comando, ## rappresenta l'ID del server virtuale. L'ID del server virtuale del sito Web predefinito in IIS Ŕ 1.
  5. Per attivare l'autenticazione NTLM nel server virtuale, digitare il comando seguente e premere INVIO:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
    Nota In questo comando, ## rappresenta l'ID del server virtuale.
  6. Riavviare IIS. A questo scopo, attenersi alla seguente procedura:
    1. Fare clic sul menu Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
    2. Al prompt dei comandi digitare iisreset e premere INVIO.
    3. Digitare exit, quindi premere INVIO per chiudere la finestra del prompt dei comandi.

Configurare un nome dell'entitÓ servizio per l'account utente di dominio

Se l'identitÓ pool di applicazioni per il sito Windows SharePoint Services Ŕ configurata per l'utilizzo di un'identitÓ di protezione incorporata, ad esempio NT Authority\Servizio di rete o NT Authority\Sistema locale, non Ŕ necessario effettuare questa operazione. Gli account incorporati vengono automaticamente configurati per l'utilizzo dell'autenticazione Kerberos.

Se si utilizza un server Microsoft SQL Server 2000 remoto e si desidera utilizzare NT Authority\Servizio di rete come account di dominio, Ŕ necessario aggiungere la voce Dominio\Nomecomputer$ e configurarla con autorizzazioni per la creazione di database e per l'amministrazione della protezione. In questo modo i servizi Windows SharePoint Services saranno in grado di connettersi al computer SQL Server remoto per creare i database di configurazione e di contenuto.

Se l'identitÓ del pool di applicazioni Ŕ un account utente di dominio, Ŕ necessario configurare un nome dell'entitÓ servizio per tale account. Per effettuare tale operazione, attenersi alla seguente procedura:
  1. Scaricare e installare lo strumento della riga di comando Setspn.exe. A questo scopo, visitare uno dei seguenti siti Web Microsoft (informazioni in lingua inglese).

    Microsoft Windows 2000 Server:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
    Microsoft Windows Server 2003:
    892777 Strumenti di supporto di Windows Server 2003 Service Pack 1
  2. Utilizzare lo strumento Setspn.exe per aggiungere un nome dell'entitÓ servizio per l'account di dominio. Per effettuare tale operazione, digitare la riga riportata di seguito al prompt dei comandi e premere INVIO, dove Nomeserver rappresenta il nome completo del dominio del server, Dominio Ŕ il nome del dominio e Nomeutente Ŕ il nome dell'account utente di dominio:
    setspn -A HTTP/NomeServer Dominio\Nomeutente

Configurare l'attendibilitÓ per la delega per consentire a Web part di accedere a risorse remote

Se si sviluppano Web part per SharePoint che richiedono l'accesso a risorse remote, attenersi alla procedura indicata nella sezione "Configurare un nome dell'entitÓ servizio per l'account utente di dominio" e configurare sia il computer che l'account del pool di applicazioni perchÚ siano attendibili per la delega attenendosi alla procedura seguente.

Nota In assenza di Web part con accesso a risorse remote non Ŕ necessario attenersi a questa procedura supplementare.

Per configurare il server IIS perchÚ sia attendibile per la delega, attenersi alla seguente procedura:
  1. Avviare Utenti e computer di Active Directory.
  2. Nel riquadro sinistro fare clic su Computer.
  3. Nel riquadro destro fare clic con il pulsante destro del mouse sul nome del server IIS, quindi scegliere ProprietÓ.
  4. Nella scheda Generale selezionare la casella di controllo Considera attendibile il computer per la delega e scegliere OK.
  5. Chiudere Utenti e computer di Active Directory.
Se l'identitÓ del pool di applicazioni Ŕ configurata per l'utilizzo di un account utente di dominio, tale account deve essere attendibile per la delega prima di poter utilizzare l'autenticazione Kerberos. Per configurare l'account di dominio perchÚ sia attendibile per la delega, attenersi alla seguente procedura:
  1. Nel controller di dominio avviare Utenti e computer di Active Directory.
  2. Nel riquadro sinistro fare clic su Utenti.
  3. Nel riquadro destro fare clic con il pulsante destro del mouse sul nome dell'account utente, quindi scegliere ProprietÓ.
  4. Nella scheda Account, in corrispondenza di Opzioni account, selezionare la casella di controllo L'account Ŕ trusted per delega, quindi scegliere OK.
  5. Chiudere Utenti e computer di Active Directory.
Se l'identitÓ del pool di applicazioni Ŕ un account utente di dominio, Ŕ necessario configurare un nome dell'entitÓ servizio per tale account. A questo scopo, attenersi alla seguente procedura:
  1. Scaricare e installare lo strumento della riga di comando Setspn.exe. A questo scopo, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
  2. Utilizzare lo strumento Setspn.exe per aggiungere un nome dell'entitÓ servizio per l'account di dominio. Per effettuare tale operazione, digitare la riga riportata di seguito al prompt dei comandi e premere INVIO, dove Nomeserver rappresenta il nome completo del dominio del server, Dominio Ŕ il nome del dominio e Nomeutente Ŕ il nome dell'account utente di dominio:
    Setspn -A HTTP/ServerName Domain\UserName

Riferimenti

Per ulteriori informazioni su Windows SharePoint Services, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/windowsserver2003/technologies/sharepoint/default.mspx

ProprietÓ

Identificativo articolo: 832769 - Ultima modifica: martedý 16 luglio 2013 - Revisione: 8.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows SharePoint Services
  • Microsoft Windows SharePoint Services 3.0
Chiavi:á
kbaccounts kbwebservices kbauthentication kbconfig kbhowto KB832769
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com