Windows SharePoint Services sanal sunucusunu Kerberos kimlik doðrulamasý kullanacak biçimde yapýlandýrma ve Kerberos kimlik doðrulamasýndan NTLM kimlik doðrulamasýna dönme

Bu makalede Microsoft Windows SharePoint Services sanal sunucusunu Kerberos kimlik doðrulamasýný kullanacak yapýlandýrma konusunda bilgiler bulunmaktadýr. Bu makalede ayrýca, Kerberos kimlik doðrulamasýndan NTLM kimlik doðrulamasýna nasýl dönüleceði anlatýlmaktadýr.

Not Microsoft Office 2007 için Microsoft Windows SharePoint Services sürüm 3 varsayýlan olarak NTLM kimlik doðrulamasýný kullanýr. Kerberos hala desteklenmektedir.

Microsoft Windows SharePoint Services Service Pack 2 (SP2) ile baþlayarak, Kerberos ya da NTLM kimlik doðrulamasýyla kullanmak üzere bir içerik sanal sunucusunu geniþletebilir veya SharePoint Yönetim Merkezi sanal sunucusunu oluþturabilirsiniz. Artýk IIS metatabanýnda doðrudan deðiþiklik yapmanýz gerekmemektedir.

Microsoft Windows Tümleþik Kimlik Doðrulamasý, sýnama/yanýt kimlik doðrulamasý saðlayan aþaðýdaki iki protokolü destekler:

• NTLM
  
  NTLM protokolü, kullanýcý adlarýný ve parolalarýný að üzerinden göndermeyen önce bunlarý þifrelemeye dayalý güvenli bir protokoldür. Sunucunun Kerberos kimlik doðrulamasýný desteklemeyen istemcilerden istek aldýðý aðlarda NTLM kimlik doðrulamasý gereklidir.
• Kerberos
  
  Kerberos protokolü anahtar tabanlýdýr. Bu düzende, kullanýcýnýn önce bir kimlik doðrulama sunucusuna geçerli bir kullanýcý adý ve parola saðlamasý gerekir. Sonra, kimlik doðrulama sunucusu kullanýcýya bir anahtar verir. Anahtar, diðer að kaynaklarýna yönelik istekte bulunmak için að üzerinde kullanýlabilir. Bu düzeni kullanmak için, hem istemcinin hem de sunucunun etki alaný Anahtar Daðýtým Merkezine (KDC) güvenli bir baðlantýsý olmasý gerekir. Ýstemcinin ve sunucunun Active Directory dizin hizmetiyle uyumlu olmalarý da gerekir.

Not Çoðu durumda NTLM kimlik doðrulamasýný seçmelisiniz. Kerberos kimlik doðrulamasýný kullanmak için özel bir nedeniniz yoksa veya hizmet asýl adýný (SPN) yapýlandýramýyorsanýz, NTLM kimlik doðrulamasýný seçin. Kerberos kimlik doðrulamasýný seçtiyseniz ve SPN'yi yapýlandýramýyorsanýz, SharePoint sitesinde yalnýzca sunucu yöneticileri kimlik doðrulayabilir.

Windows SharePoint Services'ý Kerberos kimlik doðrulamasýný veya NTLM kimlik doðrulamasýný kullanacak þekilde yapýlandýrma

Windows SharePoint Services Service Pack 2 (SP2) ile baþlayarak, SharePoint kullanýcý arabirimini veya komut istemini kullanarak SharePoint Yönetim Merkezi sanal sunucularýný ve içerik sanal sunucularýný yapýlandýrabilirsiniz. SharePoint Yönetim Merkezi sanal sunucusunu SharePoint Yönetim Merkezi'ni oluþturduðunuzda, içerik sanal sunucularýný da içerik sanal sunucusunu geniþlettiðinizde yapýlandýrýrsýnýz. SharePoint Yönetim Merkezi sanal sunucusunu oluþtururken veya yeni bir içerik sanal sunucusunu geniþletirken, NTLM kimlik doðrulamasýný mý yoksa Kerberos kimlik doðrulamasýný mý kullanmak istediðinizi belirtebileceðiniz yeni bir Güvenlik Yapýlandýrmasý bölümü vardýr. Kimlik doðrulama ayarlarýný yapýlandýrmak amacýyla tüm yönetimsel ayarlarý gözden geçirmek için, Windows SharePoint Services Yönetici Kýlavuzu'na bakýn. Windows SharePoint Services Yönetici Kýlavuzu için aþaðýdaki Microsoft Web sitesini ziyaret edin:Windows SharePoint Services'ýn Windows SharePoint Services SP2'den önceki sürümlerinde geniþletilen veya oluþturulan SharePoint sanal sunucularý çalýþtýrýyorsanýz ve sanal sunucularý Kerberos kimlik doðrulamasý kullanacak þekilde yapýlandýrmanýz gerekiyorsa, sanal sunucu için gerekliyse Kerberos kimlik doðrulamasýný el ile yapýlandýrmalýsýnýz.

Sanal sunucuda Kerberos kimlik doðrulamasýný etkinleþtiren bir komut dosyasý kullanmak için aþaðýdaki adýmlarý izleyin:

1. IIS'nin çalýþtýðý sunucuda Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna cmd yazýn ve Tamam'ý týklatýn.
2. Inetpub\Adminscripts klasörüne gidin.
3. Aþaðýdaki komutu yazýn ve ENTER tuþuna basýn:
   cd Sürücü:\inetpub\adminscripts
   Not Bu komutta, Sürücü, Microsoft Windows'un yüklü olduðu sürücüdür.
4. Aþaðýdaki komutu yazýn ve ENTER tuþuna basýn:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Not Bu komutta, ##, sanal sunucunun kimlik numarasýdýr. ISS'deki Varsayýlan Web Sitesi'nin sanal sunucu kimlik numarasý 1'dir.
5. Sanal sunucuda Kerberos kimlik doðrulamasýný etkinleþtirmek için aþaðýdaki komutu yazýn ve ENTER tuþuna basýn:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
   Not Bu komutta, ##, sanal sunucunun kimlik numarasýdýr.
6. IIS'yi yeniden baþlatýn. Bunu yapmak için aþaðýdaki adýmlarý izleyin:
   1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna cmd yazýn ve Tamam'ý týklatýn.
   2. Komut istemine iisreset yazýn ve ENTER tuþuna basýn.
   3. Exit yazýp ENTER tuþuna basarak Komut Ýstemi penceresini kapatýn.

SharePoint Yönetim Merkezi veya içerik sanal sunucularýný oluþtururken Kerberos kimlik doðrulamasýný seçtiyseniz ancak NTLM kimlik doðrulamasýna geri dönmeniz gerekiyorsa, sanal sunucuda NTLM kimlik doðrulamasýný etkinleþtiren bir komut dosyasý kullanabilirsiniz.

Sanal sunucuda NTLM kimlik doðrulamasýný etkinleþtiren bir komut dosyasý kullanmak için aþaðýdaki adýmlarý izleyin:

1. IIS'nin çalýþtýðý sunucuda Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna cmd yazýn ve Tamam'ý týklatýn.
2. Inetpub\Adminscripts klasörüne gidin.
3. Aþaðýdaki komutu yazýn ve ENTER tuþuna basýn:
   cd Sürücü:\inetpub\adminscripts
   Not Bu komutta, Sürücü, Windows'un yüklü olduðu sürücüdür.
4. Aþaðýdaki komutu yazýn ve ENTER tuþuna basýn:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Not Bu komutta, ##, sanal sunucunun kimlik numarasýdýr. ISS'deki Varsayýlan Web Sitesi'nin sanal sunucu kimlik numarasý 1'dir.
5. Sanal sunucuda NTLM kimlik doðrulamasýný etkinleþtirmek için aþaðýdaki komutu yazýn ve ENTER tuþuna basýn:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
   Not Bu komutta, ##, sanal sunucunun kimlik numarasýdýr.
6. IIS'yi yeniden baþlatýn. Bunu yapmak için aþaðýdaki adýmlarý izleyin:
   1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna cmd yazýn ve Tamam'ý týklatýn.
   2. Komut istemine iisreset yazýn ve ENTER tuþuna basýn.
   3. Exit yazýp ENTER tuþuna basarak Komut Ýstemi penceresini kapatýn.

Etki alaný kullanýcý hesabý için hizmet asýl adý yapýlandýrma

Windows SharePoint Services sitesinin uygulama havuzu kimliði yerleþik bir güvenlik sorumlusu (NT Authority\Network Service veya NT Authority\Local System gibi) kullanmak üzere yapýlandýrýlmýþsa bu adýmý gerçekleþtirmeniz gerekmez. Yerleþik hesaplar Kerberos kimlik doðrulamasý ile kullanýlmak üzere otomatik olarak yapýlandýrýlmýþtýr.

Uzak bir Microsoft SQL Server 2000 sunucusu kullanýyorsanýz ve etki alaný hesabý olarak NT Authority\Network Service hesabýný kullanmak istiyorsanýz, EtkiAlaný\BilgisayarAdý$ giriþini eklemeniz ve bunu Database Creators ve Security Administrators izinleriyle yapýlandýrmanýz gerekir. Bunu yaptýðýnýzda, Windows SharePoint Services yapýlandýrma ve içerik veritabanlarýný oluþturmak üzere SQL Server bilgisayarýna baðlanabilir.

Uygulama havuzu kimliði bir etki alaný kullanýcýsý hesabýysa, bu hesap için bir SPN yapýlandýrmanýz gerekir. Etki alaný kullanýcýsý hesabý için SPN yapýlandýrmak için aþaðýdaki adýmlarý izleyin:

1. Setspn.exe komut satýrý aracýný karþýdan yükleyip kurun. Bunu yapmak için, aþaðýdaki Microsoft Web sitelerinden birini ziyaret edin:
   
   Microsoft Windows 2000 Server için:
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
   Microsoft Windows Server 2003 için:
   892777  (http://support.microsoft.com/kb/892777/ ) Windows Server 2003 Service Pack 1 Destek Araçlarý
2. Setspn.exe aracýný kullanarak etki alaný hesabý için bir SPN ekleyin. Bunu yapmak için komut isteminde aþaðýdaki satýrý yazýn ve ENTER tuþuna basýn. Burada, SunucuAdý, sunucunun tam etki alaný adý (FQDN); EtkiAlaný, etki alanýnýn adý ve KullanýcýAdý da etki alaný kullanýcýsý hesabýnýn adýdýr.
   setspn -A HTTP/SunucuAdý EtkiAlaný\KullanýcýAdý

Web bölümlerinin uzak kaynaklara eriþmesi için temsil güvenini yapýlandýrma

SharePoint için uzak kaynaklara eriþimi olan Web bölümleri geliþtiriyorsanýz, "Etki alaný kullanýcý hesabý için hizmet asýl adý yapýlandýrma" bölümünde listelenen adýmlarý izlemeniz ve aþaðýdaki adýmlarý kullanarak hem bilgisayar hem de uygulama havuzu hesabýný temsilci seçme için güvenilecek þekilde yapýlandýrmanýz gerekir.

Not Uzak kaynaklara eriþen Web bölümleriniz yoksa bu ek adýmlarý uygulamanýz gerekmez.

IIS sunucusunu temsilci seçme için güvenilecek þekilde yapýlandýrmak için aþaðýdaki adýmlarý izleyin:

1. Active Directory Kullanýcýlarý ve Bilgisayarlarý'ný baþlatýn.
2. Sol bölmede, Bilgisayarlar'ý týklatýn.
3. Sað bölmede, IIS sunucusunun adýný sað týklatýn ve sonra Özellikler'i týklatýn.
4. Genel sekmesini týklatýn, Bilgisayara temsilci seçmek için güven onay kutusunu seçin ve sonra Tamam'ý týklatýn.
5. Active Directory Kullanýcýlarý ve Bilgisayarlarý'ndan çýkýn.

Uygulama havuzu kimliði bir etki alaný hesabý kullanmak üzere yapýlandýrýlmýþsa, Kerberos kimlik doðrulamasýný kullanabilmeniz için önce kullanýcý hesabýna temsil seçme için güvenilmesi gerekir. Etki alaný hesabýný temsilci seçme için güvenilecek þekilde yapýlandýrmak için aþaðýdaki adýmlarý izleyin:

1. Etki alaný denetleyicisinde, Active Directory Kullanýcýlarý ve Bilgisayarlarý'ný baþlatýn.
2. Sol bölmede, Kullanýcýlar'ý týklatýn.
3. Sað bölmede, kullanýcý hesabýnýn adýný sað týklatýn ve sonra Özellikler'i týklatýn.
4. Hesap sekmesini týklatýn, Hesap Seçenekleri altýnda Hesap, temsilci seçme için güvenilir onay kutusunu týklatýp seçin ve sonra Tamam'ý týklatýn.
5. Active Directory Kullanýcýlarý ve Bilgisayarlarý'ndan çýkýn.

Uygulama havuzu kimliði bir etki alaný kullanýcýsý hesabýysa, bu hesap için bir SPN yapýlandýrmanýz gerekir. Etki alaný kullanýcýsý hesabý için SPN yapýlandýrmak için aþaðýdaki adýmlarý izleyin:

1. Setspn.exe komut satýrý aracýný karþýdan yükleyip kurun. Bunu yapmak için aþaðýdaki Microsoft Web sitesini ziyaret edin:
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
2. Setspn.exe aracýný kullanarak etki alaný hesabý için bir SPN ekleyin. Bunu yapmak için komut isteminde aþaðýdaki satýrý yazýn ve ENTER tuþuna basýn. Burada, SunucuAdý, sunucunun tam etki alaný adý (FQDN); EtkiAlaný, etki alanýnýn adý ve KullanýcýAdý da etki alaný kullanýcýsý hesabýnýn adýdýr.

   Setspn -A HTTP/SunucuAdý EtkiAlaný\KullanýcýAdý

Windows SharePoint Services hakkýnda daha fazla bilgi için, aþaðýdaki Microsoft Web sitesini ziyaret edin: