如何将 Windows SharePoint Services 虚拟服务器配置为使用 Kerberos 身份验证以及如何从 Kerberos 身份验证切换回 NTLM 身份验证

文章翻译 文章翻译
文章编号: 832769 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

本文介绍如何配置 Microsoft Windows SharePoint Services 虚拟服务器以使用 Kerberos 身份验证。此外,还包含有关如何从 Kerberos 身份验证切换回 NTLM 身份验证的信息。

更多信息

从 Microsoft Windows SharePoint Services Service Pack 2 (SP2) 开始,您就可以创建 SharePoint 管理中心虚拟服务器或扩展内容虚拟服务器以使用 Kerberos 身份验证或 NTLM 身份验证,而不必再直接修改 IIS 元数据库。

Microsoft Windows 集成身份验证支持以下两种提供质询/响应身份验证的协议:
  • NTLM

    NTLM 协议是一个安全协议,它建立在通过网络发送用户名和密码前对用户名和密码进行加密的基础上。在服务器接收客户端的请求而客户端不支持 Kerberos 身份验证的网络中,必须使用 NTLM 身份验证。
  • Kerberos

    Kerberos 协议基于票证过程。在此方案中,用户必须首先向身份验证服务器提供有效的用户名和密码。然后,身份验证服务器发给用户一个票证。该票证可用于在网络上请求其他网络资源。要使用此方案,客户端和服务器都必须有到域密钥分发中心 (KDC) 的可信连接。此外,客户端和服务器还都必须与 Active Directory 目录服务兼容。
注意:大多数情况下,您应选择 NTLM 身份验证。如果您没有具体的使用 Kerberos 身份验证的需求或无法配置服务主体名称 (SPN),请选择 NTLM 身份验证。如果您选择 Kerberos 身份验证但无法配置 SPN,则只有服务器管理员能够通过 SharePoint 站点的身份验证。

配置 Windows SharePoint Services 以使用 Kerberos 身份验证或 NTLM 身份验证

从 Windows SharePoint Services Service Pack 2 (SP2) 开始,您可以使用 SharePoint 用户界面或从命令提示符处使用命令来配置 SharePoint 管理中心虚拟服务器和内容虚拟服务器。可以在创建 SharePoint 管理中心时配置 SharePoint 管理中心虚拟服务器,在扩展内容虚拟服务器时配置内容虚拟服务器。当创建 SharePoint 管理中心虚拟服务器或扩展一个新虚拟服务器时,会出现一个新的“安全性配置”部分,您可在此处指定使用 NTLM 身份验证还是 Kerberos 身份验证。要查看所有用于配置身份验证设置的管理设置,请参阅“Windows SharePoint Services Administrator's Guide”(Windows SharePoint Services 管理员指南)。要查看 Windows SharePoint Services 管理员指南,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en


如果您运行的 SharePoint 虚拟服务器是在低于 Windows SharePoint Services SP2 的 Windows SharePoint Services 版本中扩展或创建的,但又需要配置虚拟服务器使用 Kerberos 身份验证,则必须手动完成此配置。

要使用脚本在虚拟服务器上启用 Kerberos 身份验证,请按照下列步骤操作:
  1. 在运行 IIS 的服务器上,单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
  2. 更改到 Inetpub\Adminscripts 文件夹。
  3. 键入下面的命令,然后按 Enter:
    cd Drive:\inetpub\adminscripts
    注意:在此命令中,Drive 是安装 Microsoft Windows 的驱动器。
  4. 键入下面的命令,然后按 Enter:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    注意:在此命令中,## 是虚拟服务器 ID 号。IIS 中的默认网站的虚拟服务器 ID 号是 1。
  5. 要在虚拟服务器上启用 Kerberos 身份验证,请键入下面的命令,然后按 Enter:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
    注意:在此命令中,## 是虚拟服务器 ID 号。
  6. 重新启动 IIS。为此,请按照下列步骤操作:
    1. 单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
    2. 在命令提示符处,键入 iisreset,然后按 Enter。
    3. 键入 exit,然后按 Enter 关闭命令提示符窗口。
如果在创建 SharePoint 管理中心或内容虚拟服务器时选择了 Kerberos 身份验证,但现在必须切换回 NTLM 身份验证,您可以使用脚本在虚拟服务器上启用 NTLM 身份验证。

要使用脚本在虚拟服务器上启用 NTLM 身份验证,请按下列步骤操作:
  1. 在运行 IIS 的服务器上,单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
  2. 更改到 Inetpub\Adminscripts 文件夹。
  3. 键入下面的命令,然后按 Enter:
    cd Drive:\inetpub\adminscripts
    注意:在此命令中,Drive 是安装 Windows 的驱动器。
  4. 键入下面的命令,然后按 Enter:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    注意:在此命令中,## 是虚拟服务器 ID 号。IIS 中的默认网站的虚拟服务器 ID 号是 1。
  5. 要在虚拟服务器上启用 NTLM 身份验证,请键入下面的命令,然后按 Enter:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
    注意:在此命令中,## 是虚拟服务器 ID 号。
  6. 重新启动 IIS。为此,请按照下列步骤操作:
    1. 单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
    2. 在命令提示符下,键入 iisreset,然后按 Enter。
    3. 键入 exit,然后按 Enter 关闭命令提示符窗口。

为域用户帐户配置服务主体名称

如果将 Windows SharePoint Services 网站的应用程序池标识配置为使用内置的安全主体(例如 NT Authority\Network Service 或 NT Authority\Local System),则无须执行该步骤。内置帐户被自动配置为使用 Kerberos 身份验证。

如果您使用远程 Microsoft SQL Server 2000 服务器,并且您希望使用 NT Authority\Network Service 作为域帐户,则您必须添加 Domain\ComputerName$ 项,并使用 Database Creators 和 Security Administrators 权限对其进行配置。这样,Windows SharePoint Services 就可以连接到远程 SQL Server 计算机来创建配置和内容数据库。

如果应用程序池标识是一个域用户帐户,则必须为该帐户配置 SPN。要为该域用户帐户配置 SPN,请按照下列步骤操作:
  1. 下载并安装 Setspn.exe 命令行工具。为此,请访问下面的 Microsoft 网站:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en
  2. 使用 Setspn.exe 工具为域帐户添加 SPN。方法是,在命令提示符下键入下面一行命令,然后按 Enter,其中 ServerName 是服务器的完全限定域名 (FQDN),Domain 是该域的名称,UserName 是该域用户帐户的名称:
    setspn -A HTTP/ServerName Domain\UserName

为访问远程资源的 Web 部件配置委派信任关系

如果您正在开发需要访问远程资源的 SharePoint Web 部件,则必须按照“为域用户帐户配置服务主体名称”一节中列出的步骤操作,并通过使用下列步骤配置计算机和应用程序池帐户以信任其作为委派主体。

注意:如果没有访问远程资源的 Web 部件,则无须执行这些附加步骤。

要配置 IIS 服务器以信任其作为委派,请按照下列步骤操作:
  1. 启动“Active Directory 用户和计算机”。
  2. 在左窗格中,单击“计算机”。
  3. 在右窗格中,右键单击 IIS 服务器的名称,然后单击“属性”。
  4. 单击“常规”选项卡,单击以选中“信任计算机作为委派”复选框,然后单击“确定”。
  5. 退出“Active Directory 用户和计算机”。
如果将应用程序池标识配置为使用域用户帐户,则该帐户必须被信任作为委派,才能使用 Kerberos 身份验证。要配置域帐户以信任其作为委派,请按照下列步骤操作:
  1. 在域控制器上,启动“Active Directory 用户和计算机”。
  2. 在左窗格中,单击“用户”。
  3. 在右窗格中,右键单击该用户帐户的名称,然后单击“属性”。
  4. 单击“帐户”选项卡,在“帐户选项”下,单击以选中“帐户可以委派其他帐户”复选框,然后单击“确定”。
  5. 退出“Active Directory 用户和计算机”。
如果应用程序池标识是一个域用户帐户,则必须为该帐户配置 SPN。要为该域用户帐户配置 SPN,请按照下列步骤操作:
  1. 下载并安装 Setspn.exe 命令行工具。为此,请访问下面的 Microsoft 网站:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en
  2. 使用 Setspn.exe 工具为域帐户添加 SPN。为此,请在命令提示符处键入下面的行,然后按 Enter(其中,ServerName 是服务器的完全合格的域名 (FQDN),Domain 是该域的名称,UserName 是该域用户帐户的名称):
    Setspn -A HTTP/ServerName Domain\UserName

参考

有关 Windows SharePoint Services 的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/windowsserver2003/technologies/sharepoint/default.mspx

属性

文章编号: 832769 - 最后修改: 2013年7月16日 - 修订: 6.3
这篇文章中的信息适用于:
  • Microsoft Windows SharePoint Services
关键字:?
kbaccounts kbwebservices kbauthentication kbconfig kbhowto KB832769
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com