Używanie zintegrowanego uwierzytelniania systemu Windows w programie Windows SharePoint Services

Funkcja zintegrowanego uwierzytelniania systemu Microsoft Windows obsługuje dwa protokoły zapewniające uwierzytelnianie typu wezwanie/odpowiedź:

• NTLM    Bezpieczny protokół szyfrujący nazwy i hasła użytkowników przed wysłaniem ich przez sieć. Protokół NTLM jest wymagany w sieciach, w których serwer otrzymuje żądania od starszych wersji klientów, które nie obsługują uwierzytelniania Kerberos.
• Kerberos    Protokół korzystający z biletów. W tym schemacie użytkownik musi najpierw przedstawić swoją prawidłową nazwę i hasło serwerowi uwierzytelniania. Serwer przyznaje użytkownikowi bilet, na podstawie którego w sieci można uzyskać dostęp do innych zasobów. Aby można było korzystać z tego schematu, klient i serwer muszą mieć zaufane połączenie z centrum dystrybucji kluczy domeny, musi być także zachowana zgodność z usługą Microsoft Active Directory.

Protokół Kerberos oferuje także metodę tworzenia relacji zaufania między domenami sieci. Mogą to być relacje przechodnie, jednokierunkowe lub dwukierunkowe. Aby uzyskać więcej informacji o uwierzytelnianiu Kerberos, zobacz dokumentację programu Internetowe usługi informacyjne (IIS) w systemie Windows Server 2003.

Zarówno w protokole NTLM, jak i Kerberos ulepszenie zabezpieczeń polega na szyfrowaniu nazw i haseł użytkowników przed wysłaniem ich przez sieć. Serwery wirtualne rozszerzone o program Windows SharePoint Services w wersji wcześniejszej niż Windows SharePoint Services Service Pack 2 miały domyślnie włączone uwierzytelnianie NTLM, ponieważ było ono zgodne z większością klientów. Program Windows SharePoint Services z dodatkiem Service Pack 2 i nowsze nie mają automatycznie włączonego uwierzytelniania NTLM. Jeśli jednak zostanie wybrane uwierzytelnianie Kerberos, a konto puli aplikacji używane przez program Windows SharePoint Services na serwerze wirtualnym nie będzie domyślną usługą sieciową, należy wykonać następujące czynności:

• Skonfiguruj nazwę zasady usługi dla tożsamości puli aplikacji używanej przez serwer wirtualny z programem Windows SharePoint Services.
• Skonfiguruj zaufanie w kwestii delegowania składników Web Part uzyskujących dostęp do zasobów zdalnych.

  Dodatkowo, jeśli serwer wirtualny został rozszerzony o wersję programu Windows SharePoint Services wcześniejszą niż Windows SharePoint Services Service Pack 2, musisz przeprowadzić edycję metabazy programu IIS w celu włączenia zarówno uwierzytelniania NTLM, jak i Kerberos.

Konfigurowanie nazwy zasady usługi dla tożsamości puli aplikacji

Uwaga  Aby wykonać czynności z tej sekcji, musisz być administratorem domeny.

Jeśli tożsamość puli aplikacji dla programu Windows SharePoint Services została skonfigurowana do korzystania z wbudowanego podmiotu zabezpieczeń (na przykład Zarządzanie NT\Usługa sieciowa lub Zarządzanie NT\System lokalny), można pominąć ten krok. Konta wbudowane są automatycznie skonfigurowane do współpracy z uwierzytelnianiem Kerberos. Jeśli jednak korzystasz ze zdalnej bazy danych programu Microsoft SQL Server, nie jest zalecane używanie wbudowanego podmiotu zabezpieczeń ani konta, takiego jak domena/nazwa_komputera$.

Jeśli korzystasz z serwera zdalnego z programem Microsoft SQL Server 2000 i chcesz używać konta Zarządzanie NT\Usługa sieciowa jako konta domeny, musisz dodać wpis Domena\Nazwa_komputera$ i przyznać mu uprawnienia z grupy Twórcy bazy danych i Administratorzy zabezpieczeń. Dzięki temu program Windows SharePoint Services będzie mógł połączyć się z komputerem zdalnym z programem SQL Server w celu utworzenia baz danych konfiguracji i zawartości.

Jeśli tożsamość puli aplikacji jest kontem użytkownika domeny, musisz skonfigurować nazwę zasady usługi (SPN, service principle name) dla tego konta. W tym celu wykonaj następujące czynności:

1. Pobierz narzędzie wiersza polecenia Setspn.exe ze strony pobierania narzędzia Setspn.exe i zainstaluj je.
2. Dodaj nazwę SPN do konta domeny za pomocą narzędzia Setspn.exe. W tym celu wpisz następujący ciąg w wierszu polecenia:

   setspn -A HTTP/Nazwa_serwera Domena\Nazwa_użytkownika

   gdzie Nazwa_serwera to w pełni kwalifikowana nazwa domeny serwera, Domena to nazwa domeny, a Nazwa_użytkownika to nazwa konta użytkownika domeny.

Konfigurowanie zaufania w kwestii delegowania składników Web Part uzyskujących dostęp do zasobów zdalnych.

Uwaga  Aby wykonać czynności z tej sekcji, musisz być administratorem domeny.

Jeśli w systemie nie ma składników Web Part uzyskujących dostęp do zasobów zdalnych, nie musisz wykonywać tych dodatkowych czynności.

Jeśli programujesz składniki Web Part dla programu Windows SharePoint Services, które będą uzyskiwać dostęp do zasobów zdalnych, musisz wykonać procedurę opisaną w sekcji „Konfigurowanie nazwy zasady usługi dla konta użytkownika domeny” i skonfigurować zarówno komputer, jak i konto puli aplikacji jako zaufane w kwestii delegowania (zgodnie z opisem w kolejnych sekcjach).

Konfigurowanie serwera programu IIS jako zaufanego w kwestii delegowania

Uwaga  Aby wykonać czynności z tej sekcji, musisz być administratorem domeny.

1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
2. W lewym okienku kliknij pozycję Komputery.
3. W prawym okienku kliknij prawym przyciskiem myszy nazwę serwera programu IIS, a następnie kliknij polecenie Właściwości.
4. Kliknij kartę Ogólne kliknij opcję Ufaj komputerowi w kwestii delegowania, aby ją włączyć, a następnie kliknij przycisk OK.

Konfigurowanie konta domeny puli aplikacji jako zaufanego w kwestii delegowania

1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
2. W lewym okienku kliknij pozycję Użytkownicy.
3. W prawym okienku kliknij prawym przyciskiem myszy nazwę konta użytkownika puli aplikacji, a następnie kliknij polecenie Właściwości.
4. Kliknij kartę Konto, w obszarze Opcje konta kliknij opcję Konto jest zaufane w kwestii delegowania, aby ją włączyć, a następnie kliknij przycisk OK.

Edytowanie metabazy programu IIS

Edycję metabazy programu IIS można przeprowadzić za pomocą programu Notatnik lub skryptu. Użycie skryptu jest zalecane w przypadku aktualizowania wielu serwerów. W poniższych sekcjach opisano obie metody.

Edytowanie metabazy programu IIS za pomocą programu Notatnik

Uwaga  Ten krok jest wymagany tylko w przypadku serwerów wirtualnych rozszerzonych o wersję programu Windows SharePoint Services bez dodatku Service Pack 2.

1. Na serwerze z programem Windows SharePoint Services kliknij przycisk Start, wskaż polecenie Wszystkie programy, wskaż polecenie Akcesoria, a następnie kliknij polecenie Notatnik.
2. W menu Plik kliknij polecenie Otwórz, a następnie otwórz plik %Systemroot%\System32\Inetsrv\Metabase.xml, gdzie %Systemroot% jest folderem, w którym zainstalowano system Microsoft Windows.
3. W sekcji <IIsWebServer> znajdź wiersz:

   NTAuthenticationProviders="NTLM"

4. Zmień ten wiersz następująco:

   NTAuthenticationProviders="Negotiate,NTLM"

5. Kliknij menu Plik, a następnie kliknij polecenie Zapisz.
6. Kliknij menu Plik, a następnie kliknij polecenie Zakończ.
7. Uruchom ponownie program IIS:
   1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
   2. W polu Uruchom wpisz polecenie cmd, a następnie kliknij przycisk OK.
   3. W wierszu polecenia wpisz polecenie iisreset i naciśnij klawisz Enter.
   4. Wpisz polecenie exit i naciśnij klawisz Enter, aby zamknąć okno Wiersz polecenia.

Edytowanie metabazy programu IIS za pomocą skryptów

Uwaga  Ten krok jest wymagany tylko w przypadku serwerów wirtualnych rozszerzonych o wersję programu Windows SharePoint Services bez dodatku Service Pack 2.

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
2. W polu Uruchom wpisz polecenie cmd, a następnie kliknij przycisk OK.
3. Przejdź do folderu Inetpub\Adminscripts, wpisując polecenie:

   cd dysk:\inetpub\adminscripts

   gdzie dysk to dysk, na którym zainstalowano system Windows.
4. Wpisz polecenie:

   cscript adsutil.vbs get w3svc/xx/NTAuthenticationProviders

   gdzie xx to numer identyfikacyjny serwera wirtualnego. Numerem identyfikacyjnym serwera wirtualnego domyślnej witryny sieci Web jest 1. Jeśli serwer wirtualny jest rozszerzony za pomocą programu Windows SharePoint Services, zostanie zwrócony następujący ciąg:

   ntauthenticationproviders: (STRING) "NTLM"

5. Aby włączyć uwierzytelnianie Kerberos na serwerze wirtualnym, wpisz polecenie:

   cscript adsutil.vbs set w3svc/xx/NTAuthenticationProviders "Negotiate,NTLM"

   gdzie xx to numer identyfikacyjny serwera wirtualnego.
6. Uruchom ponownie program IIS:
   1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
   2. W polu Uruchom wpisz polecenie cmd, a następnie kliknij przycisk OK.
   3. W wierszu polecenia wpisz polecenie iisreset i naciśnij klawisz Enter.
   4. Wpisz polecenie exit i naciśnij klawisz Enter, aby zamknąć okno Wiersz polecenia.

Tematy pokrewne

Podręcznik administratora programu Windows SharePoint Services