Настройка службы Excel в SharePoint Server 2010 для проверки подлинности Kerberos

  • Статья
  • Применяется к:
    Excel Services in SharePoint Server 2010

Введение

В этой статье описывается настройка службы Excel в Microsoft SharePoint Server 2010 для проверки подлинности Kerberos.

Дополнительная информация

Дополнительные сведения о настройке ограниченного делегирования Kerberos, чтобы позволить службе обновлять данные на листе из внешнего источника данных SQL Server, выполните следующие действия.

  1. Создайте учетную запись службы службы Excel.

    Как правило, службы Excel следует выполнять под собственным удостоверением домена. Чтобы настроить приложение службы Excel, необходимо создать учетную запись Active Directory. Например, создайте следующие учетные записи:

    Служба SharePoint Server Удостоверение пула приложений IIS
    Служба SharePoint Server Удостоверение пула приложений IIS
    Службы Excel vmlab\svcExcel

  2. Настройте имя субъекта-службы (SPN) в учетной записи службы службы Excel.

    Необходимо настроить ограниченное делегирование Kerberos, если службы Excel делегируют удостоверение клиента внутреннему источнику данных. Например, если службы Excel запрашивает данные из транзакционной базы данных SQL, необходимо иметь делегирование Kerberos.

    Для настройки делегирования Kerberos обычно используется оснастка консоли управления (MMC) "Пользователи и компьютеры Active Directory". Чтобы настроить параметры делегирования в оснастке, к настраиваемой объекту Active Directory должно быть применено имя субъекта-службы. В противном случае вкладка делегирования для объекта не будет отображаться в диалоговом окне свойств объекта. Хотя для работы службы Excel не требуется имя субъекта-службы, его необходимо настроить для этой цели.

    Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:

    SETSPN -S SP/ExcelServices

    Примечание.

    Это имя субъекта-службы не является допустимым. Он применяется к указанной учетной записи службы для отображения параметров делегирования в надстройке Пользователи и компьютеры Active Directory. Существуют и другие поддерживаемые методы указания параметров делегирования (в частности, атрибут msDS-AllowedToDelegateTo Active Directory). Однако в этой статье эти методы не описаны.

  3. Настройка ограниченного делегирования Kerberos для службы Excel.

    Чтобы разрешить службы Excel делегировать удостоверения клиентов, необходимо настроить ограниченное делегирование Kerberos. Необходимо настроить ограниченное делегирование с переходом протокола, чтобы преобразовать маркеры утверждений в маркеры Windows с помощью WIF C2WTS.

    Каждый сервер, на котором выполняется службы Excel, должен быть доверенным, чтобы делегировать учетные данные каждой серверной службе, в которой выполняется проверка подлинности Excel. Кроме того, необходимо настроить учетную запись службы службы Excel, чтобы разрешить делегирование тем же внутренним службам.

    Например, можно определить следующие пути делегирования:

    Тип участника Имя участника Делегаты для службы
    Пользователь svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Пользователя svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Компьютере VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    *Настраивается позже в этом сценарии

    **Требуется только в том случае, если компонент C2WTS выполняется как локальная система

    Чтобы настроить ограниченное делегирование, выполните следующие действия.

    1. Откройте свойства объекта Active Directory в меню "Пользователи и компьютеры Active Directory".

    2. Перейдите на вкладку Делегирование.

    3. Выберите параметр Доверять этому пользователю делегирование указанных служб.

    4. Выберите параметр Использовать любой протокол проверки подлинности. Это действие включает переход протокола и требуется для учетной записи службы, чтобы использовать C2WTS.

    5. Нажмите кнопку Добавить, чтобы выбрать субъект-службу, которым разрешено делегировать.

    6. Щелкните Пользователи и компьютеры.

    7. Выберите учетную запись службы, в которой выполняется служба, которой требуется делегировать. В предыдущем примере это учетная запись службы ДЛЯ службы SQL.

      Примечание.

      К выбранной учетной записи службы должно быть применено имя субъекта-службы. В предыдущем примере имя субъекта-службы для этой учетной записи было настроено на предыдущем шаге.

    8. Нажмите кнопку ОК. Вам будет предложено выбрать имена субъектов-служб, которым вы хотите делегировать, на следующем экране.

    9. Выберите службы для кластера SQL и нажмите кнопку ОК.

    10. Теперь в списке Службы, которым эта учетная запись может предоставить делегированные учетные данные, вы увидите выбранные имена spNS.

    11. Повторите эти шаги для каждого пути делегирования, определенного в начале этого раздела.

  4. Запустите экземпляр службы службы Excel на сервере службы Excel.

    Перед созданием приложения службы службы Excel запустите службу службы Excel на назначенных серверах фермы. Для этого выполните следующие действия:

    1. Откройте Центр администрирования.
    2. В разделе "Службы" выберите элемент Управление службами на сервере.
    3. В поле выбора сервера в правом верхнем углу выберите серверы, на которых выполняются службы Excel. В предыдущем примере сервер VMSP10APP01.
    4. Запустите службы вычислений Excel.

  5. Создайте приложение службы службы Excel и прокси-сервер приложения, чтобы веб-приложения могли обрабатывать службы Excel. Для этого выполните следующие действия:

    1. Откройте Центр администрирования.
    2. Выберите элемент Управление приложениями-службами в разделе Управление приложениями.
    3. Щелкните Создать и выберите элемент Приложение Служб Excel.
    4. Настройте новое приложение-службу. Убедитесь, что выбрана правильная учетная запись службы (если учетная запись службы Excel отсутствует в списке, создайте новую управляемую учетную запись).

  6. Настройте расположение службы Excel доверенного файла и параметры проверки подлинности.

    После создания приложения службы Excel необходимо настроить свойства в новом приложении-службе, чтобы указать надежное расположение узла и параметры проверки подлинности. Для этого выполните следующие действия:

    1. Откройте Центр администрирования.

    2. Выберите элемент Управление приложениями-службами в разделе Управление приложениями.

    3. Щелкните ссылку для нового приложения-службы. В предыдущем примере щелкните службы Excel.

    4. На странице управления службы Excel щелкните Надежные расположения файлов.

    5. Добавьте новое надежное расположение файлов.

    6. Задайте расположение доверенного файла в библиотеке тестов.

      Примечание.

      В предыдущем примере URL-адрес корневого веб-приложения и все дочерние элементы являются доверенными. В рабочей среде можно ограничить уровень доверия.

    7. В разделе Внешние данные выберите Доверенные библиотеки подключения к данным и внедренные.

      Примечание.

      В предыдущем примере для подключения к SQL Server используется внедренное подключение. В вашей среде можно создать отдельный файл подключения и сохранить его в доверенной библиотеке подключений к данным. В этом случае выберите Только доверенные библиотеки подключения к данным.

    8. Измените время существования кэша внешних данных. Для тестирования удобно изменить время существования внешнего кэша данных, чтобы убедиться, что обновления данных поступают из источника данных, а не из кэша. Измените следующие параметры в разделе "Внешние данные":

      Автоматическое обновление (периодическое/ открытое) = 0

      Ручное обновление = 0

      Примечание.

      В рабочей среде необходимо настроить параметр кэша больше 0. Установка кэша в значение 0 предназначена только для тестирования.

  7. Предоставьте учетной записи службы службы Excel разрешения на базу данных контента веб-приложения.

    Чтобы настроить SharePoint Server 2010 Office Web Applications, необходимо включить доступ учетной записи службы веб-приложения к базам данных контента для данного веб-приложения. Например, предоставьте учетной записи службы службы Excel доступ к базе данных контента веб-приложения портала с помощью Windows PowerShell.

    Для этого выполните следующую команду в командной консоли SharePoint 2010:

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Примечание.

Дополнительные сведения о делегировании удостоверений для службы Excel см. на следующем веб-сайте Microsoft TechNet:

Делегирование удостоверений для служб Excel (SharePoint Server 2010)

Требуется дополнительная помощь? Посетите сайт сообщества SharePoint.