Como configurar um servidor virtual Windows SharePoint Services para usar a autenticação Kerberos e como alternar entre a autenticação Kerberos de volta para a autenticação NTLM

Este artigo contém informações sobre como configurar um servidor virtual Microsoft Windows SharePoint Services para usar a autenticação Kerberos. Além disso, este artigo contém informações sobre como alternar entre a autenticação Kerberos e de volta para a autenticação NTLM.

Observação A versão 3 do Microsoft Windows SharePoint Services para Microsoft Office 2007 usa autenticação NTLM por padrão. Ainda há suporte para Kerberos.

Começando com o Microsoft Windows SharePoint Services Service Pack 2 (SP2), é possível criar o servidor virtual SharePoint Central Administration ou ampliar um servidor virtual de conteúdo para ser usado com a autenticação Kerberos ou a autenticação NTLM. Não é necessário modificar a metabase do IIS.

O Microsoft Windows Integrated Authentication dá suporte a estes dois protocolos que apresentam autenticação desafio/resposta:

• NTLM
  
  O protocolo NTLM é um protocolo seguro com base na criptografia de nomes de usuário e senhas antes do envio destes nomes e senhas pela rede. A autenticação NTLM é obrigatória em redes em que o servidor recebe solicitações de clientes que não dão suporte à autenticação Kerberos.
• Kerberos
  
  O protocolo Kerberos tem base em tíquetes. Neste esquema, um usuário deve primeiro fornecer nome de usuário e senha válidos para um servidor de autenticação. Em seguida, o servidor de autenticação concede um tíquete ao usuário. O tíquete pode ser usado na rede para solicitar outros recursos de rede. Para usar este esquema, tanto o cliente quanto o servidor devem ter uma conexão confiável para o domínio KDC (Centro de distribuição de chaves) kerberos. Além disso, tanto o cliente quanto o servidor devem ser compatíveis com o serviço de diretório do Active Directory.

Observação Na maioria das vezes, é necessário optar pela autenticação NTLM. Se não houver uma necessidade específica pela autenticação Kerberos ou se puder configurar o SPN (Nome principal do servidor), escolha a autenticação NTLM. Se optar pela autenticação Kerberos e não for possível configurar o SPN, somente administradores do servidor serão capazes de autenticar o site do SharePoint.

Configurar o Windows SharePoint Services para usar autenticação Kerberos ou autenticação NTLM

Iniciando com Windows SharePoint Services Service Pack 2 (SP2), é possível usar a interface de usuário do SharePoint ou comandos em um prompt de comando para configurar o servidor virtual e servidor virtuais de conteúdo da Administração central do SharePoint. O servidor virtual SharePoint Central Administration é configurado durante a criação do SharePoint Central Administration e os servidores virtuais de conteúdo quando o servidor virtual é expandido. Ao criar o servidor virtual SharePoint Central Administration ou ampliar um novo servidor virtual, há uma nova seção Configuração da segurança em que é possível especificar se deseja usar a autenticação Kerberos ou a autenticação NTLM. Para revisar todas as configurações administrativas da configuração das autenticações, consulte o Guia do Administrador do Windows SharePoint Services. Para visualizar o Guia do administrador do Windows SharePoint Services, visite o seguinte site da Microsoft (em inglês):Se você estiver executando servidores virtuais do SharePoint que foram estendidos ou criados em versões do Windows SharePoint Services anteriores ao Windows SharePoint Services SP2, e for necessário configurar os servidores virtuais para autenticação Kerberos, será necessário configurar manualmente a autenticação Kerberos para o servidor virtual, se exigido.

Para usar um script que habilite a autenticação Kerberos no servidor virtual, execute as seguintes etapas:

1. No servidor com IIS em execução, clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
2. Mude para a pasta Inetpub\Adminscripts.
3. Digite o seguinte comando e pressione ENTER:
   cdUnidade:\inetpub\adminscripts
   Observação Neste comando, Unidade é a unidade na qual o Microsoft Windows está instalado.
4. Digite o seguinte comando e pressione ENTER:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Observação Neste comando,## é o número da identificação do servidor virtual. O número de identificação do servidor virtual do site padrão no IIS é 1.
5. Para habilitar a autenticação Kerberos no servidor virtual, digite o seguinte comando e pressione ENTER:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
   Observação Neste comando,## é o número da identificação do servidor virtual.
6. Reinicie o IIS. Para fazer isto, execute as seguintes etapas:
   1. Clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
   2. No prompt de comando, digite iisreset e pressione ENTER.
   3. Digite exit e pressione ENTER para fechar a janela Prompt de comando.

Se optar pela autenticação Kerberos ao criar o SharePoint Central Administration ou servidores virtuais de conteúdo, mas precise alternar novamente para a autenticação NTLM, será possível usar um script para habilitar a autenticação NTLM no servidor virtual.

Para usar um script que habilite a autenticação NTLM no servidor virtual, execute as seguintes etapas:

1. No servidor com IIS em execução, clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
2. Mude para a pasta Inetpub\Adminscripts.
3. Digite o seguinte comando e pressione ENTER:
   cdUnidade:\inetpub\adminscripts
   Observação Neste comando, Unidade é a unidade na qual o Windows está instalado.
4. Digite o seguinte comando e pressione ENTER:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Observação Neste comando,## é o número da identificação do servidor virtual. O número de identificação do servidor virtual do site padrão no IIS é 1.
5. Para habilitar a autenticação NTLM no servidor virtual, digite o seguinte comando e pressione ENTER:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
   Observação Neste comando,## é o número da identificação do servidor virtual.
6. Reinicie o IIS. Para fazer isto, execute as seguintes etapas:
   1. Clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
   2. No prompt de comando, digite iisreset e pressione ENTER.
   3. Digite exit e pressione ENTER para fechar a janela Prompt de comando.

Configurar um nome principal de serviço para a conta do usuário do domínio

Se a identidade do pool de aplicativos do site do Windows SharePoint Services for configurada para usar uma segurança embutida (como NT Authority\Network Service ou NT Authority\Local System), não será necessário realizar esta etapa. As contas internas são configuradas automaticamente para trabalhar com autenticação Kerberos.

Se você usar um servidor Microsoft SQL Server 2000 remoto e quiser utilizar o NT Authority\Network Service como a conta de domínio, é necessário adicionar a entrada Domínio\Nome_do_computador$ e configurá-la com as permissões Criadores de Bancos de Dados e Administrador de Segurança. Dessa forma, o Windows SharePoint Services poderá conectar-se ao computador do servidor remoto SQL para criar e configurar os bancos de dados de configuração e conteúdo.

Se a identidade do pool de aplicativos for uma conta de usuário de domínio, é necessário configurar um SPN para essa conta. Para configurar um SPN para a conta de usuário de domínio, execute as seguintes etapas:

1. Baixe e instale a ferramenta de linha de comando Setspn.exe. Para fazer isso, visite um dos seguintes sites da Microsoft:
   
   Para Microsoft Windows 2000 Server (EM INGLÊS):
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
   Para Microsoft Windows Server 2003:
   892777

   (http://support.microsoft.com/kb/892777/ )

   Ferramentas de Suporte do Windows Server 2003 Service Pack 1
2. Use a ferramenta Setspn.exe para adicionar um SPN para uma conta de domínio. Para fazer isto, digite a seguinte linha no prompt de comando e pressione ENTER, em que: Nome_do_servidor é o FQDN (nome de domínio totalmente qualificado) do servidor, Domínio é o nome do domínio e Nome_do_usuário é o nome da conta de usuário do domínio:
   setspn -A HTTP/ServerName Domain\NomeDoUsuário

Configuração de segurança para delegação das Web parts para acessar recursos remotos

Se estiver desenvolvendo Web parts para SharePoint que têm que acessar recursos remotos, será necessário seguir as etapas listadas na seção "Configurar um nome principal de serviço para a conta do usuário do domínio" e configurar o computador e a conta do pool de aplicativos para que sejam confiadas por delegação, usando as seguintes etapas.

Observação Não é necessário executar etapas adicionais caso não tenha Web parts que acessem recursos remotos.

Para configurar o servidor IIS para ser confiável para delegação, execute as seguintes etapas:

1. Inicie Usuários e computadores do Active Directory.
2. No painel à esquerda, clique em Computadores.
3. No painel à direita, clique com o botão direito do mouse no nome do servidor IIS e clique em Propriedades.
4. Clique na guia Geral, marque a caixa de seleção Confiar no computador para delegação e clique em OK.
5. Feche o console Usuários e computadores do Active Directory.

Se a identidade do pool de aplicativos foi configurada para usar uma conta de usuário de domínio, a conta de usuário precisa ser confiável para delegação antes que se possa usar autenticação Kerberos. Para configurar a conta de domínio para ser confiável para delegação, execute as seguintes etapas:

1. No controlador de domínio, inicie Usuários e Computadores do Active Directory.
2. No painel à esquerda, clique em Users.
3. No painel à direita, clique com o botão direito do mouse no nome da conta de usuário e depois clique em Propriedades.
4. Clique na guia Conta, em Opções de Conta, na caixa de seleção Confia-se no computador para delegação e em OK.
5. Feche o console Usuários e computadores do Active Directory.

Se a identidade do pool de aplicativos for uma conta de usuário de domínio, é necessário configurar um SPN para essa conta. Para configurar um SPN para a conta de usuário de domínio, execute as seguintes etapas:

1. Baixe e instale a ferramenta de linha de comando Setspn.exe. Para fazer isto, visite o seguinte site da Microsoft (em inglês):
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
2. Use a ferramenta Setspn.exe para adicionar um SPN para uma conta de domínio. Para fazer isto, digite a seguinte linha no prompt de comando e pressione ENTER, sendo queNome_do_servidor é o FQDN (nome de domínio totalmente qualificado) do servidor,Domínio é o nome do domínio eNome_do_usuário é o nome da conta de usuário do domínio:

   Setspn -A HTTP/ServerName Domain\UserName

Para obter mais informações sobre o Windows SharePoint Services, visite o seguinte site da Microsoft (em inglês):