Kerberos 認証を使用するように Windows SharePoint Services の仮想サーバーを構成する方法および Kerberos 認証から NTLM 認証に戻す方法

文書番号: 832769 - 対象製品

はじめに

この資料では、Kerberos 認証を使用するように Microsoft Windows SharePoint Services の仮想サーバーを構成する方法について説明します。また、この資料では、Kerberos 認証から NTLM 認証に戻す方法についても説明します。

注 : Microsoft Windows SharePoint Services for Micrsosoft Office 2007 のバージョン 3 では、デフォルトで NTLM 認証が使用されます。Kerberos も引き続きサポートされます。

先頭へ戻る | フィードバック

詳細

Microsoft Windows SharePoint Services Service Pack 2 (SP2) 以降では、"SharePoint のサーバーの管理" 仮想サーバーを作成するか、コンテンツ仮想サーバーを拡張して、Kerberos 認証または NTLM 認証のいずれかを使用できます。IIS メタベースを直接変更する必要がなくなります。

Microsoft Windows 統合認証では、チャレンジ/レスポンス認証を提供する以下の 2 つのプロトコルをサポートしています。

NTLM

NTLM プロトコルは、ネットワーク経由でユーザー名とパスワードを送信するための、暗号化されたユーザー名とパスワードに基づくセキュリティで保護されたプロトコルです。Kerberos 認証をサポートしないクライアントからサーバーが要求を受け取るネットワークでは、NTLM 認証が必要です。
Kerberos 認証

Kerberos プロトコルは、チケット処理に基づいています。この方式では、ユーザーは最初に有効なユーザー名とパスワードを認証サーバーに提供します。次に、認証サーバーがそのユーザーにチケットを与えます。そのチケットをネットワーク上で使用して、他のネットワークリソースを要求することができます。この方式を使用するには、クライアントとサーバーの両方がドメインのキー配布センター (KDC) への信頼関係接続を使用する必要があります。さらに、クライアントとサーバーの両方が Active Directory ディレクトリサービスとの間に互換性を持つ必要があります。

注 : ほとんどの場合、NTLM 認証を選択する必要があります。特に Kerberos 認証を使用する必要がない場合、またはサービスプリンシパル名 (SPN) を構成できない場合は、NTLM 認証を選択します。Kerberos 認証を選択した場合に SPN を構成できないと、サーバー管理者のみが SharePoint サイトで認証されるようになります。

Kerberos 認証または NTLM 認証を使用するように Windows SharePoint Services を構成する

Windows SharePoint Services Service Pack 2 (SP2) 以降では、SharePoint のユーザーインターフェイスを使用するかコマンドプロンプトでコマンドを使用して、"SharePoint のサーバー管理" 仮想サーバーやコンテンツ仮想サーバーを構成できます。"SharePoint のサーバー管理" 仮想サーバーは、SharePoint のサーバー管理の作成時に構成し、コンテンツ仮想サーバーはコンテンツ仮想サーバーの拡張時に構成します。"SharePoint のサーバー管理" 仮想サーバーを作成するか、新しい仮想サーバーを拡張する際に、SharePoint のサーバーの管理ページに新しい [セキュリティの構成] セクションが追加されるため、NTLM 認証か Kerberos 認証のいずれかを指定できます。認証設定を構成するためのすべての管理設定を確認するには、『Windows SharePoint Services 管理者ガイド』を参照してください。『Windows SharePoint Services 管理者ガイド』を参照するには、次のマイクロソフト Web サイトを参照してください。

http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=A637EFF6-8224-4B19-A6A4-3E33FA13D230

(http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=A637EFF6-8224-4B19-A6A4-3E33FA13D230)

Windows SharePoint Services SP2 より前のバージョンの Windows SharePoint Services で拡張または作成された SharePoint 仮想サーバーを実行していて、その仮想サーバーで Kerberos 認証を構成する必要がある場合は、必要に応じて手動でそのサーバーの Kerberos 認証を構成する必要があります。

仮想サーバーでスクリプトを使用して Kerberos 認証を有効にするには、以下の手順を実行します。

IIS を実行しているサーバーで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
Inetpub\Adminscripts フォルダに移動します。
次のコマンドを入力し、Enter キーを押します。
cd Drive:\inetpub\adminscripts
注 : このコマンドの Drive は、Microsoft Windows がインストールされているドライブです。
次のコマンドを入力し、Enter キーを押します。
cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
注 : このコマンドの ## は、仮想サーバーの ID 番号です。IIS の既定の Web サイトの仮想サーバー ID 番号は 1 です。
仮想サーバー上で Kerberos 認証を有効にするには、次のコマンドを入力して Enter キーを押します。
cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
注 : このコマンドの ## は、仮想サーバーの ID 番号です。
次の手順を実行して、IIS を再起動します。
1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
2. コマンドプロンプトで iisreset と入力し、Enter キーを押します。
3. exit と入力し、Enter キーを押して、コマンドプロンプトウィンドウを閉じます。

SharePoint のサーバー管理またはコンテンツ仮想サーバーの作成時に Kerberos 認証を選択し、NTLM 認証に戻す必要がある場合は、仮想サーバー上で NTLM 認証を有効にするスクリプトを使用できます。

仮想サーバー上でスクリプトを使用して NTLM 認証を有効にするには、以下の手順を実行します。

IIS を実行しているサーバーで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
Inetpub\Adminscripts フォルダに移動します。
次のコマンドを入力し、Enter キーを押します。
cd Drive:\inetpub\adminscripts
注 : このコマンドの Drive は、Windows がインストールされているドライブです。
次のコマンドを入力し、Enter キーを押します。
cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
注 : このコマンドの ## は、仮想サーバーの ID 番号です。IIS の既定の Web サイトの仮想サーバー ID 番号は 1 です。
仮想サーバー上で NTLM 認証を有効にするには、次のコマンドを入力して Enter キーを押します。
cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
注 : このコマンドの ## は、仮想サーバーの ID 番号です。
次の手順を実行して、IIS を再起動します。
1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
2. コマンドプロンプトで iisreset と入力し、Enter キーを押します。
3. exit と入力し、Enter キーを押して、コマンドプロンプトウィンドウを閉じます。

ドメインユーザーアカウントのサービスプリンシパル名を構成する

Windows SharePoint Services サイトのアプリケーションプール ID がビルトインのセキュリティプリンシパル (NT Authority\Network Service、NT Authority\Local System など) を使用するように構成されている場合は、この手順を実行する必要はありません。ビルトインのアカウントは、Kerberos 認証を使用するように自動的に構成されます。

リモートの Microsoft SQL Server 2000 サーバーを使用している場合に、ドメインアカウントとして NT Authority\Network Service を使用する場合は、Domain\ComputerName$ エントリを追加して、そのエントリに Database Creators および Security Administrators のアクセス許可を与える必要があります。これにより、Windows SharePoint Services からリモートの SQL Server コンピュータに接続して、構成データベースおよびコンテンツデータベースを作成できるようになります。

アプリケーションプール ID がドメインユーザーアカウントの場合、そのアカウントの SPN を構成する必要があります。ドメインユーザーアカウントの SPN を構成するには、次の手順を実行します。

次のマイクロソフト Web サイトのいずれかにアクセスし、Setspn.exe コマンドラインツールをダウンロードしてインストールします。

Microsoft Windows 2000 Server の場合
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
Microsoft Windows Server 2003 の場合
892777
(http://support.microsoft.com/kb/892777/ )
Windows Server 2003 Service Pack 1 のサポートツール
Setspn.exe ツールを使用して、ドメインアカウントの SPN を追加します。これを行うには、コマンドプロンプトで以下の行を入力し、Enter キーを押します。ServerName はサーバーの完全修飾ドメイン名 (FQDN)、Domain はドメイン名、UserName はドメインユーザーアカウント名です。
setspn -A HTTP/ServerName Domain\UserName

Web パーツからリモートのリソースにアクセスできるように、委任に対する信頼を構成する

リモートのリソースにアクセスする必要がある、SharePoint の Web パーツを開発する場合は、「ドメインユーザーアカウントのサービスプリンシパル名を構成する」に記載されている手順を実行してから、次の手順を使用して、コンピュータおよびアプリケーションプールアカウントの両方が委任に対して信頼されるように構成する必要があります。

注 : リモートのリソースにアクセスする Web パーツがない場合は、これらの追加手順を実行する必要はありません。

IIS サーバーが委任に対して信頼されるように構成するには、次の手順を実行します。

Active Directory ユーザーとコンピュータを起動します。
左側のウィンドウで [Computers] をクリックします。
右側のウィンドウで IIS サーバーの名前を右クリックし、[プロパティ] をクリックします。
[全般] タブで、[コンピュータを委任に対して信頼する] チェックボックスをオンにし、[OK] をクリックします。
Active Directory ユーザーとコンピュータを終了します。

ドメインユーザーアカウントを使用するようにアプリケーションプール ID が構成されている場合、Kerberos 認証を正常に機能させるには、そのユーザーアカウントが委任に対して信頼されている必要があります。委任に対して信頼されるようにドメインアカウントを構成するには、次の手順を実行します。

ドメインコントローラで Active Directory ユーザーとコンピュータを起動します。
左側のウィンドウで [Users] をクリックします。
右側のウィンドウでユーザーアカウント名を右クリックし、[プロパティ] をクリックします。
[アカウント] タブをクリックします。[アカウントオプション] の [アカウントは委任に対して信頼されている] チェックボックスをオンにし、[OK] をクリックします。
Active Directory ユーザーとコンピュータを終了します。

アプリケーションプール ID がドメインユーザーアカウントの場合、そのアカウントの SPN を構成する必要があります。ドメインユーザーアカウントの SPN を構成するには、次の手順を実行します。

次のマイクロソフト Web サイトにアクセスし、Setspn.exe コマンドラインツールをダウンロードしてインストールします。
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
Setspn.exe ツールを使用して、ドメインアカウントの SPN を追加します。これを行うには、コマンドプロンプトで次の行を入力し、Enter キーを押します。ServerName はサーバーの完全修飾ドメイン名 (FQDN)、Domain はドメイン名、UserName はドメインユーザーアカウント名です。
Setspn -A HTTP/ServerName Domain\UserName

先頭へ戻る | フィードバック

プロパティ

文書番号: 832769 - 最終更新日: 2007年4月23日 - リビジョン: 8.1

この資料は以下の製品について記述したものです。

Microsoft Windows SharePoint Services 2.0
Microsoft Windows SharePoint Services 3.0

kbhowto kbconfig kbauthentication kbwebservices kbaccounts KB832769

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

先頭へ戻る | フィードバック