Configurazione di un server virtuale Windows SharePoint Services per l'utilizzo dell'autenticazione Kerberos e passaggio dall'autenticazione Kerberos all'autenticazione NTLM

In questo articolo sono contenute informazioni sulla configurazione di un server virtuale Microsoft Windows SharePoint Services per l'utilizzo dell'autenticazione Kerberos, nonché informazioni sul passaggio dall'autenticazione Kerberos a quella NTLM.

Nota Per impostazione predefinita nella versione 3 di Microsoft Windows SharePoint Services per Microsoft Office 2007 viene utilizzata l'autenticazione NTLM. L'autenticazione Kerberos è comunque supportata.

A partire da Microsoft Windows SharePoint Services Service Pack 2 (SP2) è possibile creare il server virtuale per l'amministrazione centrale di SharePoint oppure estendere un server virtuale di contenuti perché utilizzi l'autenticazione Kerberos o NTLM. Non è più necessario modificare direttamente la metabase di IIS.

L'autenticazione integrata di Microsoft Windows supporta i due protocolli riportati di seguito, che forniscono l'autenticazione In attesa/risposta:

• NTLM
  
  È un protocollo di protezione basato sulla crittografia di nomi utente e password eseguita prima dell'invio di tali dati in rete. L'autenticazione NTLM è necessaria nelle reti in cui il server riceve richieste provenienti da client privi di supporto per l'autenticazione Kerberos.
• Kerberos
  
  È un protocollo basato sui ticket. In tale schema l'utente deve innanzitutto fornire un nome utente valido e una password a un server di autenticazione, dal quale riceve un ticket. Il ticket potrà quindi essere utilizzato nella rete per richiedere altre risorse di rete. Per poter utilizzare tale schema è necessario che sia il client che il server dispongano di una connessione di tipo trusted al Centro distribuzione chiavi (KDC, Key Distribution Center) del dominio. È inoltre necessario che entrambi siano compatibili con il servizio Active Directory.

Nota In genere è preferibile scegliere l'autenticazione NTLM. Se non vi è la necessità specifica dell'autenticazione Kerberos oppure se non è possibile configurare il nome dell'entità servizio (SPN), preferire l'autenticazione NTLM. Se si sceglie l'autenticazione Kerberos e non è possibile configurare il nome dell'entità servizio, solo gli amministratori del server saranno in grado di eseguire l'autenticazione con il sito SharePoint.

Configurazione di Windows SharePoint Services per l'utilizzo dell'autenticazione Kerberos o NTLM

A partire da Windows SharePoint Services Service Pack 2 (SP2) è possibile utilizzare l'interfaccia utente di SharePoint o i relativi comandi al prompt dei comandi per configurare il server virtuale per l'amministrazione centrale di SharePoint e i server virtuali di contenuti. Il server virtuale per l'amministrazione centrale di SharePoint viene configurato durante la creazione di Amministrazione centrale SharePoint e i server virtuali di contenuti vengono configurati durante l'estensione del server virtuale di contenuti. Quando si crea il server virtuale per l'amministrazione centrale di SharePoint o si estende un nuovo server virtuale, viene visualizzata la nuova sezione Configurazione protezione in cui è possibile specificare se utilizzare l'autenticazione NTLM o Kerberos. Per esaminare tutte le impostazioni amministrative disponibili per la configurazione dell'autenticazione, vedere la guida per l'amministratore di Windows SharePoint Services, Per consultare il manuale di amministrazione di Microsoft Windows SharePoint Services, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): Se si eseguono server virtuali SharePoint estesi o creati in versioni di Windows SharePoint Services precedenti al Service Pack 2 e se è necessario configurarli per l'autenticazione Kerberos, eseguire l'autenticazione Kerberos manualmente.

Per utilizzare uno script per l'attivazione dell'autenticazione Kerberos nel server virtuale, attenersi alla seguente procedura:

1. Nel server che esegue IIS fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
2. Individuare la cartella Inetpub\Adminscripts.
3. Digitare il seguente comando e premere INVIO:
   cd Unità:\inetpub\adminscripts
   Nota In questo comando, Unità rappresenta l'unità in cui è installato Microsoft Windows.
4. Digitare il seguente comando e premere INVIO:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Nota In questo comando, ## rappresenta l'ID del server virtuale. L'ID del server virtuale del sito Web predefinito in IIS è 1.
5. Per attivare l'autenticazione Kerberos nel server virtuale, digitare il comando seguente e premere INVIO:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
   Nota In questo comando, ## rappresenta l'ID del server virtuale.
6. Riavviare IIS. A questo scopo, attenersi alla seguente procedura:
   1. Fare clic sul menu Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
   2. Al prompt dei comandi digitare iisreset e premere INVIO.
   3. Digitare exit, quindi premere INVIO per chiudere la finestra del prompt dei comandi.

Se durante la creazione del server per l'amministrazione centrale di SharePoint o dei server virtuali di contenuti si è scelto di utilizzare l'autenticazione Kerberos ma è necessario ritornare all'autenticazione NTLM, è possibile utilizzare uno script che consente di attivare l'autenticazione NTLM nel server virtuale.

Per utilizzare uno script per l'attivazione dell'autenticazione NTLM nel server virtuale, attenersi alla seguente procedura:

1. Nel server che esegue IIS fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
2. Individuare la cartella Inetpub\Adminscripts.
3. Digitare il seguente comando e premere INVIO:
   cd Unità:\inetpub\adminscripts
   Nota In questo comando, Unità rappresenta l'unità in cui è installato Windows.
4. Digitare il seguente comando e premere INVIO:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Nota In questo comando, ## rappresenta l'ID del server virtuale. L'ID del server virtuale del sito Web predefinito in IIS è 1.
5. Per attivare l'autenticazione NTLM nel server virtuale, digitare il comando seguente e premere INVIO:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
   Nota In questo comando, ## rappresenta l'ID del server virtuale.
6. Riavviare IIS. A questo scopo, attenersi alla seguente procedura:
   1. Fare clic sul menu Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
   2. Al prompt dei comandi digitare iisreset e premere INVIO.
   3. Digitare exit, quindi premere INVIO per chiudere la finestra del prompt dei comandi.

Configurare un nome dell'entità servizio per l'account utente di dominio

Se l'identità pool di applicazioni per il sito Windows SharePoint Services è configurata per l'utilizzo di un'identità di protezione incorporata, ad esempio NT Authority\Servizio di rete o NT Authority\Sistema locale, non è necessario effettuare questa operazione. Gli account incorporati vengono automaticamente configurati per l'utilizzo dell'autenticazione Kerberos.

Se si utilizza un server Microsoft SQL Server 2000 remoto e si desidera utilizzare NT Authority\Servizio di rete come account di dominio, è necessario aggiungere la voce Dominio\Nomecomputer$ e configurarla con autorizzazioni per la creazione di database e per l'amministrazione della protezione. In questo modo i servizi Windows SharePoint Services saranno in grado di connettersi al computer SQL Server remoto per creare i database di configurazione e di contenuto.

Se l'identità del pool di applicazioni è un account utente di dominio, è necessario configurare un nome dell'entità servizio per tale account. Per effettuare tale operazione, attenersi alla seguente procedura:

1. Scaricare e installare lo strumento della riga di comando Setspn.exe. A questo scopo, visitare uno dei seguenti siti Web Microsoft (informazioni in lingua inglese).
   
   Microsoft Windows 2000 Server:
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
   Microsoft Windows Server 2003:
   892777

   (http://support.microsoft.com/kb/892777/ )

   Strumenti di supporto di Windows Server 2003 Service Pack 1
2. Utilizzare lo strumento Setspn.exe per aggiungere un nome dell'entità servizio per l'account di dominio. Per effettuare tale operazione, digitare la riga riportata di seguito al prompt dei comandi e premere INVIO, dove Nomeserver rappresenta il nome completo del dominio del server, Dominio è il nome del dominio e Nomeutente è il nome dell'account utente di dominio:
   setspn -A HTTP/NomeServer Dominio\Nomeutente

Configurare l'attendibilità per la delega per consentire a Web part di accedere a risorse remote

Se si sviluppano Web part per SharePoint che richiedono l'accesso a risorse remote, attenersi alla procedura indicata nella sezione "Configurare un nome dell'entità servizio per l'account utente di dominio" e configurare sia il computer che l'account del pool di applicazioni perché siano attendibili per la delega attenendosi alla procedura seguente.

Nota In assenza di Web part con accesso a risorse remote non è necessario attenersi a questa procedura supplementare.

Per configurare il server IIS perché sia attendibile per la delega, attenersi alla seguente procedura:

1. Avviare Utenti e computer di Active Directory.
2. Nel riquadro sinistro fare clic su Computer.
3. Nel riquadro destro fare clic con il pulsante destro del mouse sul nome del server IIS, quindi scegliere Proprietà.
4. Nella scheda Generale selezionare la casella di controllo Considera attendibile il computer per la delega e scegliere OK.
5. Chiudere Utenti e computer di Active Directory.

Se l'identità del pool di applicazioni è configurata per l'utilizzo di un account utente di dominio, tale account deve essere attendibile per la delega prima di poter utilizzare l'autenticazione Kerberos. Per configurare l'account di dominio perché sia attendibile per la delega, attenersi alla seguente procedura:

1. Nel controller di dominio avviare Utenti e computer di Active Directory.
2. Nel riquadro sinistro fare clic su Utenti.
3. Nel riquadro destro fare clic con il pulsante destro del mouse sul nome dell'account utente, quindi scegliere Proprietà.
4. Nella scheda Account, in corrispondenza di Opzioni account, selezionare la casella di controllo L'account è trusted per delega, quindi scegliere OK.
5. Chiudere Utenti e computer di Active Directory.

Se l'identità del pool di applicazioni è un account utente di dominio, è necessario configurare un nome dell'entità servizio per tale account. A questo scopo, attenersi alla seguente procedura:

1. Scaricare e installare lo strumento della riga di comando Setspn.exe. A questo scopo, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
2. Utilizzare lo strumento Setspn.exe per aggiungere un nome dell'entità servizio per l'account di dominio. Per effettuare tale operazione, digitare la riga riportata di seguito al prompt dei comandi e premere INVIO, dove Nomeserver rappresenta il nome completo del dominio del server, Dominio è il nome del dominio e Nomeutente è il nome dell'account utente di dominio:

   Setspn -A HTTP/ServerName Domain\UserName

Per ulteriori informazioni su Windows SharePoint Services, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):