Como configurar um servidor virtual do Windows SharePoint Services para utilizar a autenticação Kerberos e como mudar da autenticação Kerberos novamente para a autenticação NTLM

Este artigo contém informações sobre como configurar um servidor virtual do Microsoft Windows SharePoint Services para utilizar a autenticação Kerberos. Além disso, este artigo contém informações sobre como mudar da autenticação Kerberos novamente para a autenticação NTLM.

Nota: a versão 3 do Microsoft Windows SharePoint Services para o Microsoft Office 2007 utiliza a autenticação NTLM por predefinição. O protocolo Kerberos continua a ser suportado.

A partir do Microsoft Windows SharePoint Services Service Pack 2 (SP2), pode criar o servidor virtual da administração central do SharePoint ou expandir um servidor virtual de conteúdo para utilizar a autenticação Kerberos ou a autenticação NTLM. Já não é necessário modificar directamente a metabase do IIS.

A autenticação integrada do Microsoft Windows suporta os dois protocolos seguintes, que fornecem autenticação challenge/response:

• NTLM
  
  O protocolo NTLM é um protocolo seguro baseado na encriptação de nomes de utilizador e palavras-passe antes de os enviar através da rede. A autenticação NTLM é necessária para redes em que o servidor receba pedidos de clientes que não suportem a autenticação Kerberos.
• Kerberos
  
  O protocolo Kerberos baseia-se em permissões. Neste esquema, um utilizador tem de fornecer primeiro um nome de utilizador e palavra-passe válidos a um servidor de autenticação. Em seguida, o servidor de autenticação concede uma permissão ao utilizador. A permissão pode ser utilizada na rede para pedir outros recursos de rede. Para utilizar este esquema, o cliente e o servidor necessitam de uma ligação fidedigna ao centro de distribuição de chaves (KDC, Key Distribution Center) do domínio. Além disso, o cliente e o servidor têm de ser compatíveis com o serviço de directório do Active Directory.

Nota: na maior parte das vezes, deve escolher a autenticação NTLM. Se não necessitar especificamente da autenticação Kerberos ou se não conseguir configurar o nome principal do serviço (SPN, service principal name), escolha a autenticação NTLM. Se escolher a autenticação Kerberos e não conseguir configurar o SPN, apenas os administradores do servidor conseguirão autenticação no site do SharePoint.

Configurar o Windows SharePoint Services para utilizar a autenticação Kerberos ou a autenticação NTLM

A partir do Windows SharePoint Services Service Pack 2 (SP2), pode utilizar a interface de utilizador do SharePoint ou comandos numa linha de comandos para configurar o servidor virtual da administração central do SharePoint e servidores virtuais de conteúdo. O servidor virtual da administração central do SharePoint é configurado ao criar a administração central do SharePoint e os servidores virtuais de conteúdo são configurados ao expandir o servidor virtual de conteúdo. Ao criar o servidor virtual da administração central do SharePoint ou ao expandir um novo servidor virtual, existe uma nova secção Configuração da Segurança onde pode especificar se pretende utilizar a autenticação NTLM ou a autenticação Kerberos. Para rever todas as definições administrativas com vista à configuração das definições de autenticação, consulte o Windows SharePoint Services Administrator's Guide. Para consultar o Windows SharePoint Services Administrator's Guide, visite o seguinte Web site da Microsoft:Se estiver a executar servidores virtuais do SharePoint expandidos ou criados em versões do Windows SharePoint Services anteriores ao Windows SharePoint Services SP2, e se tiver de configurar os servidores virtuais para autenticação Kerberos, terá de configurar manualmente a autenticação Kerberos para o servidor virtual, caso seja necessária.

Para utilizar um script para activar a autenticação Kerberos no servidor virtual, siga estes passos:

1. No servidor com o IIS, clique em Iniciar, clique em Executar, escreva cmd na caixa Abrir e clique em OK.
2. Passe para a pasta Inetpub\Adminscripts.
3. Escreva o seguinte comando e prima ENTER:
   cd Unidade:\inetpub\adminscripts
   Nota: neste comando, Unidade é a unidade em que o Microsoft Windows está instalado.
4. Escreva o seguinte comando e prima ENTER:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Nota: neste comando, ## é o número de ID do servidor virtual. O número de ID do servidor virtual relativo ao Web site predefinido no IIS é 1.
5. Para activar a autenticação Kerberos no servidor virtual, escreva o seguinte comando e prima ENTER:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
   Nota: neste comando, ## é o número de ID do servidor virtual.
6. Reinicie o IIS. Para tal, siga estes passos:
   1. Clique em Iniciar, clique em Executar, escreva cmd na caixa Abrir e clique em OK.
   2. Na linha de comandos, escreva iisreset e prima ENTER
   3. Escreva exit e prima ENTER para fechar a janela da linha de comandos.

Se tiver escolhido a autenticação Kerberos ao criar o servidor virtual da administração central do SharePoint ou de conteúdo, mas tiver de mudar novamente para a autenticação NTLM, poderá utilizar um script para activar a autenticação NTLM no servidor virtual.

Para utilizar um script para activar a autenticação NTLM no servidor virtual, siga estes passos:

1. No servidor com o IIS, clique em Iniciar, clique em Executar, escreva cmd na caixa Abrir e clique em OK.
2. Passe para a pasta Inetpub\Adminscripts.
3. Escreva o seguinte comando e prima ENTER:
   cd Unidade:\inetpub\adminscripts
   Nota: neste comando, Unidade é a unidade em que o Windows está instalado.
4. Escreva o seguinte comando e prima ENTER:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Nota: neste comando, ## é o número de ID do servidor virtual. O número de ID do servidor virtual relativo ao Web site predefinido no IIS é 1.
5. Para activar a autenticação NTLM no servidor virtual, escreva o seguinte comando e prima ENTER:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
   Nota: neste comando, ## é o número de ID do servidor virtual.
6. Reinicie o IIS. Para tal, siga estes passos:
   1. Clique em Iniciar, clique em Executar, escreva cmd na caixa Abrir e clique em OK.
   2. Na linha de comandos, escreva iisreset e prima ENTER.
   3. Escreva exit e prima ENTER para fechar a janela da linha de comandos.

Configurar um nome principal do serviço para a conta de utilizador de domínio

Se a identidade do agrupamento de aplicações para o site do Windows SharePoint Services estiver configurada para utilizar um principal de segurança incorporado (como, por exemplo, a NT Authority\Serviço de rede ou NT Authority\Sistema local), não é necessário efectuar este passo. As contas incorporadas são configuradas automaticamente para funcionar com a autenticação Kerberos.

Se utilizar um servidor remoto do Microsoft SQL Server 2000 e pretender utilizar a conta NT Authority\Serviço de rede como a conta de domínio, terá de adicionar a entrada Domínio\Nome_do_computador$ e configurá-la com as permissões Database Creators e Security Administrators. Se efectuar este procedimento, o Windows SharePoint Services conseguirá ligar ao computador remoto do SQL Server para criar as bases de dados de configuração e de conteúdo.

Se a identidade do agrupamento de aplicações for uma conta de utilizador de domínio, terá de configurar um SPN para essa conta. Para configurar um SPN para a conta de utilizador de domínio, siga estes passos:

1. Transfira e instale a ferramenta de linha de comandos Setspn.exe. Para tal, visite o seguinte Web site da Microsoft:
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
2. Utilize a ferramenta Setspn.exe para adicionar um SPN para a conta de domínio. Para o fazer, escreva o seguinte na linha de comandos e prima ENTER, em que Nome_do_servidor é o nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) do servidor, Domínio é o nome do domínio e Nome_do_utilizador é o nome da conta de utilizador de domínio:
   setspn -A HTTP/Nome_do_servidor Domínio\Nome_do_utilizador

Configurar a fidedignidade para delegação para que peças Web acedam a recursos remotos

Se estiver a desenvolver peças Web para o SharePoint que tenham de aceder a recursos remotos, terá de seguir os passos listados na secção "Configurar um nome principal do serviço para a conta de utilizador de domínio" e configurar a conta de computador e a conta do agrupamento de aplicações como fidedignas para delegação utilizando os passos que se seguem.

Nota: não é necessário executar estes passos adicionais se não tiver peças Web que acedam a recursos remotos.

Para configurar o servidor do IIS como fidedigno para delegação, siga estes passos:

1. Inicie Computadores e utilizadores do Active Directory.
2. No painel esquerdo, clique em Computadores.
3. No painel da direita, clique com o botão direito do rato no nome do servidor do IIS e clique em Propriedades.
4. Clique no separador Geral, clique para seleccionar a caixa de verificação O computador é fidedigno para delegação e clique em OK.
5. Saia de Computadores e utilizadores do Active Directory.

Se a identidade do agrupamento de aplicações estiver configurada para utilizar uma conta de utilizador de domínio, a conta de utilizador tem de ser considerada fidedigna para delegação para poder utilizar a autenticação Kerberos. Para configurar a conta de domínio como fidedigna para delegação, siga estes passos:

1. No controlador de domínio, inicie Computadores e utilizadores do Active Directory.
2. No painel esquerdo, clique em Utilizadores.
3. No painel direito, clique com o botão direito do rato no nome da conta de utilizador e clique em Propriedades.
4. Clique no separador Conta, em Opções de conta, clique para seleccionar a caixa de verificação Conta fidedigna, admitindo delegação e clique em OK.
5. Saia de Computadores e utilizadores do Active Directory.

Se a identidade do agrupamento de aplicações for uma conta de utilizador de domínio, terá de configurar um SPN para essa conta. Para configurar um SPN para a conta de utilizador de domínio, siga estes passos:

1. Transfira e instale a ferramenta de linha de comandos Setspn.exe. Para tal, visite o seguinte Web site da Microsoft:
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
2. Utilize a ferramenta Setspn.exe para adicionar um SPN para a conta de domínio. Para o fazer, escreva o seguinte na linha de comandos e prima ENTER, em que Nome_do_servidor é o nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) do servidor, Domínio é o nome do domínio e Nome_do_utilizador é o nome da conta de utilizador de domínio:

   etspn -A HTTP/Nome_do_servidor Domínio\Nome_do_utilizador

Para obter mais informações sobre o Windows SharePoint Services, visite o seguinte Web site da Microsoft: