Настройка виртуального сервера служб Windows SharePoint Services на использование проверки подлинности Kerberos и переключение с проверки подлинности Kerberos обратно на проверку подлинности NTLM

Переводы статьи Переводы статьи
Код статьи: 832769 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Данная статья содержит сведения о настройке виртуального сервера служб Microsoft Windows SharePoint Services на использование проверки подлинности Kerberos. Кроме того, статья содержит сведения о том, как переключиться с проверки подлинности Kerberos обратно на проверку подлинности NTLM.

Примечание. Службы Microsoft Windows SharePoint Services версии 3 для Micrsosoft Office 2007 по умолчанию используют проверку подлинности NTLM. Проверка подлинности Kerberos также поддерживается.

Дополнительная информация

В службах Microsoft Windows SharePoint Services с пакетом обновления 2 (SP2) и более поздних версиях имеется возможность создания виртуального сервера центра администрирования SharePoint или расширения виртуального сервера содержимого на использование проверки подлинности Kerberos или проверки подлинности NTLM. Более нет необходимости напрямую изменять метабазу служб IIS.

Встроенная проверка подлинности Microsoft Windows поддерживает два протокола проверки подлинности по методу «запрос и ответ».
  • NTLM

    Протокол NTLM является безопасным протоколом, основанным на шифровании имен пользователей и паролей перед их отправкой в сеть. Проверка подлинности NTLM необходима в сетях, в которых сервер получает запросы от клиентов, не поддерживающих проверку подлинности Kerberos.
  • Kerberos

    Прокол Kerberos основан на использовании билетов. При использовании этой схемы пользователю необходимо сначала предоставить серверу проверки подлинности допустимые имя пользователя и пароль. Затем сервер проверки подлинности предоставляет пользователю билет. Билет можно использовать в сети для запроса других сетевых ресурсов. Чтобы использовать эту схему, и клиент, и сервер должны иметь доверительное подключение к домену центра распространения ключей (KDC). Кроме того, и клиент, и сервер должны быть совместимы со службой каталогов Active Directory.
Примечание. В большинстве случаев необходимо выбирать проверку подлинности NTLM. Если отсутствует особая необходимость в использовании проверки подлинности Kerberos либо если не удается настроить имя участника-службы (SPN), выбирайте проверку подлинности NTLM. Если выбрана проверка подлинности Kerberos, а имя участника-службы настроить не удается, то проходить проверку подлинности на узле SharePoint смогут только администраторы сервера.

Настройка служб Windows SharePoint Services на использование проверки подлинности Kerberos или проверки подлинности NTLM

В службах Windows SharePoint Services с пакетом обновления 2 (SP2) и более поздних версиях для настройки виртуального сервера центра администрирования SharePoint и виртуальных серверов содержимого можно использовать интерфейс пользователя SharePoint или команды командной строки. Настройка виртуального сервера центра администрирования SharePoint осуществляется путем создания центра администрирования SharePoint и настройки виртуальных серверов содержимого при расширении виртуального сервера содержимого. При создании виртуального сервера центра администрирования SharePoint или расширении нового виртуального сервера в разделе Настройка безопасности можно указать, какой метод проверки подлинности необходимо использовать, NTLM или Kerberos. Для просмотра всех административных параметров для настройки параметров проверки подлинности обратитесь к руководству администратора служб Windows SharePoint Services. Руководство администратора служб Windows SharePoint Services см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Если при использовании виртуальных серверов SharePoint, которые были расширены или созданы в более ранних версиях служб Windows SharePoint Services, чем Windows SharePoint Services с пакетом обновления 2 (SP2), необходимо настроить виртуальные серверы для проверки подлинности Kerberos, следует выполнять это вручную.

Чтобы использовать сценарий для включения проверки подлинности Kerberos на виртуальном сервере, выполните следующие действия.
  1. На сервере, на котором запущены службы IIS, нажмите кнопку Пуск, выберите пункт Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.
  2. Перейдите в папку Inetpub\Adminscripts.
  3. Введите следующую команду и нажмите клавишу ВВОД:
    cd диск:\inetpub\adminscripts
    Примечание. В этой команде параметр диск представляет собой диск, на котором установлена Microsoft Windows.
  4. Введите следующую команду и нажмите клавишу ВВОД:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Примечание. В этой команде параметр ## представляет собой идентификационный номер виртуального сервера. Идентификационный номер виртуального сервера веб-узла по умолчанию в службах IIS — 1.
  5. Чтобы включить на виртуальном сервере проверку подлинности Kerberos, введите следующую команду и нажмите клавишу ВВОД:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
    Примечание В этой команде параметр ## представляет собой идентификационный номер виртуального сервера.
  6. Перезапустите IIS. Для этого выполните следующие действия:
    1. Нажмите кнопку Пуск, выберите Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
    2. В командной строке введите iisreset и нажмите клавишу ВВОД
    3. Введите exit и нажмите клавишу ВВОД, чтобы закрыть окно командной строки.
Если при создании центра администрирования SharePoint или виртуальных серверов содержимого была выбрана проверка подлинности Kerberos, но затем возникла необходимость переключиться на проверку подлинности NTLM, можно использовать сценарий для включения на виртуальном сервере проверки подлинности NTLM.

Чтобы использовать сценарий для включения проверки подлинности NTLM на виртуальном сервере, выполните следующие действия.
  1. На сервере, на котором запущены службы IIS, нажмите кнопку Пуск, выберите пункт Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.
  2. Перейдите в папку Inetpub\Adminscripts.
  3. Введите следующую команду и нажмите клавишу ВВОД:
    cd диск:\inetpub\adminscripts
    Примечание В этой команде параметр диск представляет собой диск, на котором установлена Windows.
  4. Введите следующую команду и нажмите клавишу ВВОД:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Примечание. В этой команде параметр ## представляет собой идентификационный номер виртуального сервера. Идентификационный номер виртуального сервера веб-узла по умолчанию в службах IIS — 1.
  5. Чтобы включить на виртуальном сервере проверку подлинности NTLM, введите следующую команду и нажмите клавишу ВВОД:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
    Примечание В этой команде параметр ## представляет собой идентификационный номер виртуального сервера.
  6. Перезапустите IIS. Для этого выполните следующие действия:
    1. Нажмите кнопку Пуск, выберите Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
    2. В командной строке введите iisreset и нажмите клавишу ВВОД.
    3. Введите exit и нажмите клавишу ВВОД, чтобы закрыть окно командной строки.

Настройка имени участника-службы для учетной записи пользователя в домене

Если удостоверение пула приложений для узла служб Windows SharePoint Services настроено на использование встроенного участника безопасности (например NT Authority\Network Service или NT Authority\Local System), это действие выполнять не требуется. Встроенные учетные записи автоматически настроены на работу с проверкой подлинности Kerberos.

При использовании удаленного сервера Microsoft SQL Server 2000 и необходимости использования NT Authority\Network Service в качестве учетной записи домена необходимо добавить запись домен\имя_компьютера$ и предоставить ей права создателей баз данных и администраторов безопасности. Это позволит службам Windows SharePoint Services подключаться к удаленному компьютеру с SQL Server для создания баз данных конфигурации и содержимого.

Если удостоверение пула приложений представляет собой учетную запись пользователя домена, для этой учетной записи необходимо настроить имя участника-службы. Чтобы настроить имя участника-службы для учетной записи пользователя домена, выполните следующие действия.
  1. Загрузите и установите средство командной строки Setspn.exe. Для этого посетите один из перечисленных ниже веб-узлов корпорации Майкрософт:

    для Microsoft Windows 2000 Server:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
    Для Microsoft Windows Server 2003:
    892777 Средства поддержки, входящие в состав пакета обновления SP1 для операционной системы Windows Server 2003
  2. При помощи средства Setspn.exe добавьте имя участника-службы для учетной записи домена. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД (имя_сервера — это полное доменное имя (FQDN) сервера, домен — имя домена, а имя_пользователя — имя учетной записи пользователя домена):
    setspn -A HTTP/имя_сервера домен\имя_пользователя

Настройка доверия для делегирования, позволяющего веб-частям получать доступ к удаленным ресурсам

При разработке веб-частей для SharePoint, которые должны иметь доступ к удаленным ресурсам, необходимо выполнить действия, перечисленные в разделе "Настройка имени участника-службы для учетной записи пользователя в домене", и настроить учетные записи компьютера и пула приложений таким образом, чтобы они были доверенными для делегирования, выполнив указанные ниже действия.

Примечание. Эти дополнительные действия не требуется выполнять при отсутствии веб-частей с доступом к удаленным ресурсам.

Чтобы настроить сервер служб IIS в качестве доверенного для делегирования, выполните следующие действия.
  1. Запустите оснастку «Пользователи и компьютеры Active Directory».
  2. На левой панели щелкните элемент Компьютеры.
  3. На правой панели щелкните правой кнопкой мыши имя сервера служб IIS и выберите пункт Свойства.
  4. Выберите вкладку Общие, установите флажок Доверять компьютеру делегирование и нажмите кнопку ОК.
  5. Закройте оснастку «Пользователи и компьютеры Active Directory».
Если удостоверение пула приложений настроено на использование учетной записи пользователя домена, перед использованием проверки подлинности Kerberos учетной записи пользователя должно быть доверено делегирование. Чтобы доверить делегирование учетной записи домена, выполните следующие действия.
  1. На контроллере домена запустите оснастку «Пользователи и компьютеры Active Directory».
  2. На левой панели щелкните элемент Пользователи.
  3. На правой панели щелкните правой кнопкой мыши имя учетной записи пользователя и выберите пункт Свойства.
  4. Выберите вкладку Учетная запись, в разделе Параметры учетной записи установите флажок Учетная запись доверена для делегирования и нажмите кнопку ОК.
  5. Закройте оснастку «Пользователи и компьютеры Active Directory».
Если удостоверение пула приложений представляет собой учетную запись пользователя домена, для этой учетной записи необходимо настроить имя участника-службы. Чтобы настроить имя участника-службы для учетной записи пользователя домена, выполните следующие действия.
  1. Загрузите и установите средство командной строки Setspn.exe. Для этого посетите следующий веб-узел корпорации Майкрософт:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en (эта ссылка может указывать на содержимое полностью или частично на английском языке)
  2. При помощи средства Setspn.exe добавьте имя участника-службы для учетной записи домена. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД (имя_сервера — полное доменное имя (FQDN) сервера, домен — имя домена, а имя_пользователя — имя учетной записи пользователя домена):
    Setspn -A HTTP/имя_сервера домен\имя_пользователя

Ссылки

Дополнительные сведения о службах Windows SharePoint Services см. на следующем веб-узле корпорации Майкрософт:
http://www.microsoft.com/windowsserver2003/technologies/sharepoint/default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 832769 - Последний отзыв: 16 июля 2013 г. - Revision: 8.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows SharePoint Services
  • Microsoft Windows SharePoint Services 3.0
Ключевые слова: 
kbaccounts kbwebservices kbauthentication kbconfig kbhowto KB832769

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com