Kerberos autentikointi BI saitilla
Tässä esimerkissä suoritetaan seuraavat tehtävät::
Konfiguroidaan kaksi web applikaatiota default zonelle, joka käyttää Kerberos protokollaa autentikointiin.
Luodaan kaksi test site collectionia, yksi kummallekkin web applikaatiolle.
Todenna IIS konfiguraation toimivuus web applikaatioden kanssa. Todenna clienttien kyky autentikoitus web applikaatiolla ja varmista, että Kerberos on todellakin käytössä.
Konfiguroi RSS Viewer web part näyttämään RSS feedit lokal ja etä (remote) web applikaatioissa.
Crawl jokainen web applikaatio ja testaa haku sisältö testi site collectioneissa.
Luo SQL Server instanssin alias
Tähän on kaksi tapaa. Tapa 1 on
Ja toinen tapa on käyttää ’cliconfg.exe ohjelmaa:
Molemmat tuottavat saman lopputuloksen, mutta löytyy dokumentteja, joissa halutaan käyttää cliconfg.exe:ä configurointi managerin sijaan – syytä en onnistunut selvittämään.
Konfiguraatio check lista
|
Konfiguraatioalue |
Kuvaus |
|
DNS |
Rekisteröi DNS A tiedot web applikaatiosta load balansoinnille (NLB) ja virtuaali IP:lle (VIP) |
|
Active Directory |
Luo service accountit web applikaatioiden IIS appkaatio pooleihin rekisteröi Service Principal Nimet (SPN) service accounteille luoduille web applikaatioille. Konfiguroi Kerberos delegaatiot service accounteille. (constrained delegation for service accounts) |
|
SharePoint Web App |
Luo SharePoint Server accountit (managed accounts) Luo SharePoint haku applikaatio (Search Service Application) Luo SharePoint web applikaatiot |
|
IIS |
Varmista, ettät Kerberos autentikaatio on päällä (Enabled) Varmista, että Kernel-mode autentikaatio on pois päältä (disabled) Asenna SSL sertifikaatit |
|
Windows 7 Client |
Varmista, että web applikaatio URL on itranet zonella, tai konfiguroitu automaatisesti autentikointiin Windowsn integroidulla autentikoinnilla. |
|
Palomuuri konfiguraatio |
Avaa palomuurin portit HTTP liikenteelle oletus ja ei-oletusporteille. Varmista, että clientit saavat yhteyden Kerberos portteihin Active Directoryssa. |
|
Testaa Web selaimen autentikointi |
Varmista, että autentikointi toimii oikein selaimessa. Varmista, että logon informaatio web serverin tietoturva tapahtuma logista (IIS Event security log). Käytä kolmannan osapuolen työkaluja varmistamaan Kerberos autentikoinnin oikea konfiguraatio. |
|
Testaa SharePoint Serverin Search Index ja Query |
Varmista, että web selain saa yhteyden indeksointi serveriin tai servereihin. Julkaise esimerkki sisältöä ja suorita crawl (indeksin päivitys) Testaa hakutoiminnot |
|
Testaa WFE delegointi (SharePoint Web Front End) |
Konfiguraatio RSS Feed lähteet jokaiseen site collectioniin. Lisää RSS näkymä web part jokaisen siten collectionin kotisivulle. |
Configure DNS
Konfiguroi web applikaatioiden DNS. Esimerkiksi 2 web applikaatiota, kuten http://portal ja http://teams:555 , jotka molemmat ovat (DNS resolve) samat NLB VIP.
Yleiset ohjeet DNS knfigurointiin löytyy täältä: Managing DNS Records
Esimerkissä on yksi web applikaatio nimeltä AP3, sieltä löytyy useita site collectioneja…
Konfiguroi Active Directory
Seuraavaksi konfiguroidaan AD accountit web applikaatioille. Hyväksi havoittu käytäntö (best practice) on, että jokainen web applikaation konfiguroidaan käyttämään omaa applikaatiopoolia. Sen resurssien hallinta erityyppisillä saiteilla on siten joustavampaa yleensä myös erilaisten vaatimusten, kuten käyttäjämäärät – mukaisesti.
Esimerkissä tehdään yksi SharePoint web aplikaatio, jolle annetaan oma ’yksityinen’ applikaatio pooli.
Service Principal nimet (SPNs)
Jokainen service account tarvitsee SPN nimet, jotka mäppääntyvät DNS host nimien kanssa web aplikaatioihin. Käytä SetSPN työkalua (Windows 2008 komentojono työkalu), konfigurointiin. Katso lisätiedot : Setspn
Lisää ominaisuuksista ja parannuksista Care, Share and Grow! : New features in SETSPN.EXE on Windows Server 2008
|
DNS Host |
IIS App Pool Identity |
Service Principal Names |
|
AP3.FIRMA.invenco.com |
FIRMA\SPforKerberos |
HTTP/AP3 HTTP/AP3.FIRMA.invenco.com |
SetSPN -S HTTP/AP3 FIRMA\ SPforKerberos
ja vastauksen tulee olla tällainen:
C:\Users\Administrator.FIRMA>SetSPN -S HTTP/AP3 FIRMA\SPforKerberos
Checking domain DC=firma,DC=invenco,DC=com
Registering ServicePrincipalNames for CN=SPforKerberos,CN=Users,DC=firma,DC=inve
nco,DC=com
HTTP/AP3
Updated object
SetSPN -S HTTP/AP.firma.invenco.com FIRMA\SPforKerberos
ja vastaus tässä:
C:\Users\Administrator.FIRMA>SetSPN -S HTTP/AP3.firma.invenco.com FIRMA\SPforKerberos
Checking domain DC=firma,DC=invenco,DC=com
Registering ServicePrincipalNames for CN=SPforKerberos,CN=Users,DC=firma,DC=inve
nco,DC=com
HTTP/AP3
Updated object
Tärkeää!
Alä konfiguroi SPN:nää HTTPS vaikka web aplikaatiot käyttäisivätkin sitä SSL:lää
SetSPN optio –L tarkistaa myös tupla SPN:nät. Siinä tapauksessa SPN:nää ei luoda, vaan annetaan virhe ilmoitus. Tässä esimerkki siitä:
![clip_image001[1]](https://arvotech.files.wordpress.com/2011/10/clip_image0011.gif "clip_image001[1]"){kind=small}
Tärkeää!
Ennen kun poistat (delete) SPN:nää, varmista ettei se ole missään käytössä, muuten voit rikkoa Kerberos autentikoinnin toiselta sovellukselta.
SPN ja SSL
On helppoa sekoittaa Kerberos Service Principal nimet URL http web aplikaatioissa, koska SPN:n ja URI:n muodot ovat hyvin samanlaisia. On kuitenkin tärkeää ymmärtää, että kyseessä on täysin eri asiat. Kerberos SPN ovat palvelun identioimiseen ja kertomaan jos se on web sovellus. Palvelun schema on http siitäkin huolimatta että se olisi SSL. Tämä tarkoittaa käytännössä sitä, että jos käytät sovellusta ”http://sovellus” älä missään nimessä konfiguroi SPN:nää HTTPS:nä, Esimerkiksi ”https/sovellus”.
Konfiguroi Kerberos rajoitettu valtuutus (constraint delegation) koneille ja service accounteille
Riippuu tapauksesta, milloin jotkut SharePoint 2010 toiminnallisuuksista vaativat rajoitettua valtuutusta (constraint delegation) toimiakseen kunnolla. Esimerkiksi, jos RSS viewer web part on konfiguroitu näyttämään RSS feed autentikointia vaativasta lähteestä, se vaatii myös delegoinnin käyttöönsä. Muita tapauksia on esimerkiksi Excel services, kun tarvitaan palvelu sovelluksen välittämä client identiteetti serverille.
Seuraavassa skenaariossa konfiguroidaan Kerberos rajoitettu valtuutus sallimaan RSS view web part lukemaan suojattua RSS feediä ulkopuolisesta web aplikaatiosta. Kuvaan myöhemmin muitakin SharPoint 2010 service applikaatioita ja konfigurointeja.
Esimerkissä on kaksi web applikaatiota, kumpikin omassa site collectionissa ja niissä kummassakin kaksi RSS web parttia. Kummassakin web applikaatiossa on oma ja yksi default zone konfiguroitu käyttämään kerberos autentikointia, joten kaikki feedit jotka tulevat näiltä saiteilta vaativat autentikoinnin. Kummallakin saitilla yksi RSS viewer tulee konfiguroida lukemaan oma paikallinen feedi ja yksi toisesta saitista.
Se että tällainen saadaan aikaiseksi vaatii kerberosin rajoitetu delegoinnin sallimaan yhteydet IIS applikaatio poolien service accounttien välille. Seuraava diagrammi kuvaa juuri tätä.
Muista, että web applikaatiot identifioidaan service nimellä käyttäen SPN:nää joka sille on asetettu IIS applikaatio pooliin. Service account prosessointi pyynnön on sallittava delegoida client identiteetin osoitetuille palveluille. Seuraava taulukko puvaa tätä rajoitettua delogointia polkuna joka on konfiguroitava.
|
Principal Type |
Principal Name |
Delegates To Service |
|
User |
svcPortal10App |
HTTP/Portal HTTP/Portal.vmlab.local HTTP/Teams HTTP/Teams.vmlab.local HTTP/Teams:5555 HTTP/Teams.vmlab.local:5555 |
|
User |
svcTeams10App |
HTTP/Portal HTTP/Portal.vmlab.local HTTP/Teams HTTP/Teams.vmlab.local HTTP/Teams:5555 HTTP/Teams.vmlab.local:5555 |
Huomatus:
Voi tuntua liioittelulta konfiguroida delegointia servicemen itseensä, kuten portal service account delegointi service applikaatioon, mutta tämä on tehtävä skenaariossa missä useita servereitä ajaa serviceä. Tällä varmistetaan skenaario, missä joku toinen ajaa toisen serverin serviceä. Niin kuin front endit (WFE) prosessi pyyntö RSS muodossa, joka käyttää paikallista web applikaatiota lähteenään. Farmi topologiasta ja konfiguraatiosta riippuen, on mahdollista suorittaa RSS pyyntö myös muilla servereillä ja silloin delegointia tarvitaan.
Delogoinnin konfigurointiin voidaan käyttää AD Users and Computers työkalua. Klikkaa hiiren oikealla jokaista service accounttia ja avaa ominaisuudet (properties) dialogi. Siinä on välilehti delogointiin. Välilehti on näkyvissä vain kohteille, joissa SPN on asetettu. Valitse ’Trust this user for delegation to specified services only’, sitten valitse ’Use any authentication protocol’.
Klikkaa Add painiketta lisätäksesi servicen käyttäjälle (service account), jolle oikeus annetaan. SPN valintaan on tarkista kohde SPN:lle. Tässä tapauksessa, ollaan tekemässä delegointia http palvelulle, joka tarkoittaa että etsitään IIS application poolista se pooli, jolle SPN asetettiin aiemmin.
tai – valittuali kaikki löytyneet SPN:nät
SharePoint 2010 konfigurointi
Kun AD ja DNS on konfiguroitu, on vuorossa web applikaatiot Sharepoint 2010:ssä.
Konfiguroi palvelu tilit (managed service accounts)
Ennen web applikaatioiden luontia, konfiguroin service accountit, jotka testiin tämän dokumentin esimerkeissä aiemmin. Näin säästytään accountien tekemiseltä siinä vaiheessa, kun web applikaatiot luodaan
Konfigurointi
1. SharePoint Central Administration, click Security 
2. Kohdassa General Security klikkaa Configure managed accounts
3. Klikkaa Register Managed Account ja luo managed accountti jokaiselle palvelu accountille. Esimerkiksi 5 managed accounttia:
|
Account |
Purpose |
|
VMLAB\svcSP10Search |
SharePoint Search Service Account |
|
VMLAB\svcSearchAdmin |
SharePoint Search Administration Service Account |
|
VMLAB\svcSearchQuery |
SharePoint Search Query Service Account |
|
VMLAB\svcPortal10App |
Portal Web App IIS Application Pool Account |
|
VMLAB\svcTeams10App |
Teams Web App IIS Application Pool Account |
![clip_image002[1]](https://arvotech.files.wordpress.com/2011/10/clip_image0021.gif "clip_image002[1]"){kind=small}
Huomiotavaa:
Managed accounts SharePoint Server 2010 :ssä ei ole sama asia, kun managed service accountit Windows Server 2008 R2 Active Directoryssä.
Luo SharePoint Server Hakupalvelu sovellus (Search Service Application)
Tämä esimerkki kuvaa, miten konfiguroidaan SharePoint Server hakupalvelu applikaatio ilmoittamaan juuri luodun sovelluksen crawl ja haku onnistuneesti. Luo uusi SharPoint Server Search Web Application ja laita Search, Query ja Administrointi palvelut aovelluspalvelimelle, esimerkissä vmSP10App01. Yksityiskohtaiset ohjeet Search Service konfiguroinnista löytyy osoitteesta Step-by-Step: Provisioning the Search Service Application
Create the Web Application
Navigoi Central Administration ja klikkaa Manage Web Applications kohdassa application Management. Valitse työkaluriviltä (toolbar) New ja luo web applikaatio. Varmista että seuraavat asiat tuluu konfiguroiduksi mallin mukaisesti:
![clip_image002[2]](https://arvotech.files.wordpress.com/2011/10/clip_image0022.gif "clip_image002[2]"){kind=small}
Valitse Classic Mode Authentication
![clip_image002[3]](https://arvotech.files.wordpress.com/2011/10/clip_image0023.gif "clip_image002[3]"){kind=small}
Konfiguroi portti ja ’host header’ jokaiselle sovellukselle
![clip_image002[4]](https://arvotech.files.wordpress.com/2011/10/clip_image0024.gif "clip_image002[4]"){kind=small}
Valitse Negotiate autentikointi toimittajaksi
![clip_image002[5]](https://arvotech.files.wordpress.com/2011/10/clip_image0025.gif "clip_image002[5]"){kind=small}
Application poolin alla, valitse Create new application pool ja valitse ‘managed account’ joko aiemmin jo luotiin.
Esimerkiksi tällä on taulukko, joka kuvaa kahden web applikaation asetuksia:
|
Asetukset |
http://Portal Web Application |
http://Teams Web Application |
|
Authentication |
Classic Mode |
Classic Mode |
|
IIS Web Site |
Name: SharePoint – Portal – 80 Port: 80 Host Header: Portal |
Name: SharePoint – Teams – 5555 Port: 80 Host Header: Teams |
|
Security Configuration |
Auth Provider: Negotiate Allow Anonymous: No Use Secure Socket Layer: No |
Auth Provider: Negotiate Allow Anonymous: No Use Secure Socket Layer: No |
|
Public URL |
||
|
Application Pool |
Name: SharePoint – Portal80 Security Account: vmlab\svcPortal10App |
Name: SharePoint – Teams5555 Security Account: vmlab\svcTeams10App |
Applikaationta luodessa, luodaan myös uusi ‘zone’. Se on default zone, joka on konfiguroitu käyttämään windows autentikointia. Näet autentikointi toimittajan ja sen asetukset zonelle web applikaation hallinnasta valitsemalla ensin halutun applikaation, sitten Authentication provider – työkalu valikoimasta.
Autentikointi toimittajan dialogi boksi listaa kaikki valitun applikaation zonet ja ´käytetyn autentikointi metodin niille. Kun valitset zonen, näet myös autentikointi metodin.
varsinainen muokkaaminen onnistuu klikkaamalla Default linkkiä.
Jos olen konfiguroinut sen eritavalla luodessasi applikaatiota, voit muuttaa tässä kohtaa sen NTLM: stä Negotiatite tilaan. Jos calssic mode ei ollut valittuna autentikaatio moodiksi, on luotava uusi zone laajentamalla web applikaatiota (extending) uudeksi IIS saitiksi tai uudelleen luotava web applikaatio.
Luo site collection
Että voitaisiin testata toimiiko autentikointi toivotulla tavalla, on luotava ainakin yksi site collection. Sen luominen ei vaikuta kerberos toiminnallisuuteen, joten seuraa tarvittaessa olemassa olevaa dokumentointia luodessasi site collection. Sellainen löytyy mm. täältä linkistä: Create a site collection (SharePoint Foundation 2010)
Esimerkki site collectionit voisivat olla vaikkapa näin:
|
Web Application |
Site Collection Path |
Site Collection Template |
|
/ |
Publishing Portal |
|
|
/ |
Team Site |
Luo alternate access mappings
Portaalin web applikaatio tulee konfiguroitua käytämää HTTPS ja HTTP protokollia kuinka delegaatio toimii SSL suojatulla palvelulla. SSL konfigurointi tarvitsee toisen SharePoint alternate access mäppäyksen (AAM) HTTPS:lle toimiakseen kunnolla.
Alternate access mapping konfigurointi
1. Cenrtal Administation saitilta, klikkaa Application management
2. Web Applications alapuolelata, klikkaa configure alternate access mapping
Select Alternate Access Mapping Collection alasvetovalikon alta, valitse Change Alternate Access Mapping Collection.
Valitse portal web application.
Klikkaa Edit Public Urls ylätyökaluvalikosta.
Vapaaseen zoneen lisätään web applikaation URL. Tämä URL on nimi, joka tulee SSL sertifikaattiin, joka tehdään hetken päästä.
Klikkaa Save
Näet nyt HTTPS URL:n zone listassa..
IIS Konfiguraatio
Asenna SSL Sertifikaatti
Kaikille web applikaatioille, jotka käyttävät SSl :lää on myös konfiguroitava sertifikaatti. Se ei ole tämän dokumentin rajauksissa.Ohjeet tähän löydät IIS dokumentoinnista.
Varmista Kerberos autentikoinnin toimivuus
1. Avaa IIS manager
2. Valitse IIS web saitti
3. Features näkymästä tuplaklikataan Authentication
4, Valitse Windows Authentication, joka enabloidaan
5. Oikealla, Actions kohdassa, valitse Providers. Varmista, että Negatiate on listassa ylimpänä.
Varmista, että Kernel mode authentication on disabloitu
Kernel moodin autentikaatio ei ole tuettu Sharepoint 2010: ssä.
Arvon TechTalk (Fin) 