Siirry sisältöön

Kerberos autentikointi BI saitilla

lokakuu 28, 2011

Tässä esimerkissä suoritetaan seuraavat tehtävät::

Konfiguroidaan kaksi web applikaatiota default zonelle, joka käyttää Kerberos protokollaa autentikointiin.
Luodaan kaksi test site collectionia, yksi kummallekkin web applikaatiolle.
Todenna IIS konfiguraation toimivuus web applikaatioden kanssa. Todenna clienttien kyky autentikoitus web applikaatiolla ja varmista, että Kerberos on todellakin käytössä.
Konfiguroi RSS Viewer web part näyttämään RSS feedit lokal ja etä (remote) web applikaatioissa.
Crawl jokainen web applikaatio ja testaa haku sisältö testi site collectioneissa.

Luo SQL Server instanssin alias

Tähän on kaksi tapaa. Tapa 1 on

image

Ja toinen tapa on käyttää ’cliconfg.exe ohjelmaa:

clip_image004

Molemmat tuottavat saman lopputuloksen, mutta löytyy dokumentteja, joissa halutaan käyttää cliconfg.exe:ä configurointi managerin sijaan – syytä en onnistunut selvittämään.

Konfiguraatio check lista

Konfiguraatioalue

Kuvaus

DNS

Rekisteröi DNS A tiedot web applikaatiosta load balansoinnille (NLB) ja virtuaali IP:lle (VIP)

Active Directory

Luo service accountit web applikaatioiden IIS appkaatio pooleihin

rekisteröi Service Principal Nimet (SPN) service accounteille luoduille web applikaatioille.

Konfiguroi Kerberos delegaatiot service accounteille. (constrained delegation for service accounts)

SharePoint Web App

Luo SharePoint Server accountit (managed accounts)

Luo SharePoint haku applikaatio (Search Service Application)

Luo SharePoint web applikaatiot

IIS

Varmista, ettät Kerberos autentikaatio on päällä (Enabled)

Varmista, että Kernel-mode autentikaatio on pois päältä (disabled)

Asenna SSL sertifikaatit

Windows 7 Client

Varmista, että web applikaatio URL on itranet zonella, tai konfiguroitu automaatisesti autentikointiin Windowsn integroidulla autentikoinnilla.

Palomuuri konfiguraatio

Avaa palomuurin portit HTTP liikenteelle oletus ja ei-oletusporteille.

Varmista, että clientit saavat yhteyden Kerberos portteihin Active Directoryssa.

Testaa Web selaimen autentikointi

Varmista, että autentikointi toimii oikein selaimessa.

Varmista, että logon informaatio web serverin tietoturva tapahtuma logista (IIS Event security log).

Käytä kolmannan osapuolen työkaluja varmistamaan Kerberos autentikoinnin oikea konfiguraatio.

Testaa SharePoint Serverin Search Index ja Query

Varmista, että web selain saa yhteyden indeksointi serveriin tai servereihin.

Julkaise esimerkki sisältöä ja suorita crawl (indeksin päivitys)

Testaa hakutoiminnot

Testaa WFE delegointi (SharePoint Web Front End)

Konfiguraatio RSS Feed lähteet jokaiseen site collectioniin.

Lisää RSS näkymä web part jokaisen siten collectionin kotisivulle.

Configure DNS

Konfiguroi web applikaatioiden DNS. Esimerkiksi 2 web applikaatiota, kuten http://portal ja http://teams:555 , jotka molemmat ovat (DNS resolve) samat NLB VIP.

Yleiset ohjeet DNS knfigurointiin löytyy täältä: Managing DNS Records

clip_image006

Esimerkissä on yksi web applikaatio nimeltä AP3, sieltä löytyy useita site collectioneja…

Konfiguroi Active Directory

Seuraavaksi konfiguroidaan AD accountit web applikaatioille. Hyväksi havoittu käytäntö (best practice) on, että jokainen web applikaation konfiguroidaan käyttämään omaa applikaatiopoolia. Sen resurssien hallinta erityyppisillä saiteilla on siten joustavampaa yleensä myös erilaisten vaatimusten, kuten käyttäjämäärät – mukaisesti.

Esimerkissä tehdään yksi SharePoint web aplikaatio, jolle annetaan oma ’yksityinen’ applikaatio pooli.

clip_image008

Service Principal nimet (SPNs)

Jokainen service account tarvitsee SPN nimet, jotka mäppääntyvät DNS host nimien kanssa web aplikaatioihin. Käytä SetSPN työkalua (Windows 2008 komentojono työkalu), konfigurointiin. Katso lisätiedot : Setspn

Lisää ominaisuuksista ja parannuksista Care, Share and Grow! : New features in SETSPN.EXE on Windows Server 2008

DNS Host

IIS App Pool Identity

Service Principal Names

AP3.FIRMA.invenco.com

FIRMA\SPforKerberos

HTTP/AP3

HTTP/AP3.FIRMA.invenco.com

SetSPN -S HTTP/AP3 FIRMA\ SPforKerberos

ja vastauksen tulee olla tällainen:

C:\Users\Administrator.FIRMA>SetSPN -S HTTP/AP3 FIRMA\SPforKerberos

Checking domain DC=firma,DC=invenco,DC=com

Registering ServicePrincipalNames for CN=SPforKerberos,CN=Users,DC=firma,DC=inve

nco,DC=com

HTTP/AP3

Updated object

SetSPN -S HTTP/AP.firma.invenco.com FIRMA\SPforKerberos

ja vastaus tässä:

C:\Users\Administrator.FIRMA>SetSPN -S HTTP/AP3.firma.invenco.com FIRMA\SPforKerberos

Checking domain DC=firma,DC=invenco,DC=com

Registering ServicePrincipalNames for CN=SPforKerberos,CN=Users,DC=firma,DC=inve

nco,DC=com

HTTP/AP3

Updated object

clip_image001 Tärkeää!

Alä konfiguroi SPN:nää HTTPS vaikka web aplikaatiot käyttäisivätkin sitä SSL:lää

SetSPN optio –L tarkistaa myös tupla SPN:nät. Siinä tapauksessa SPN:nää ei luoda, vaan annetaan virhe ilmoitus. Tässä esimerkki siitä:

clip_image010

clip_image001[1] Tärkeää!

Ennen kun poistat (delete) SPN:nää, varmista ettei se ole missään käytössä, muuten voit rikkoa Kerberos autentikoinnin toiselta sovellukselta.

SPN ja SSL

On helppoa sekoittaa Kerberos Service Principal nimet URL http web aplikaatioissa, koska SPN:n ja URI:n muodot ovat hyvin samanlaisia. On kuitenkin tärkeää ymmärtää, että kyseessä on täysin eri asiat. Kerberos SPN ovat palvelun identioimiseen ja kertomaan jos se on web sovellus. Palvelun schema on http siitäkin huolimatta että se olisi SSL. Tämä tarkoittaa käytännössä sitä, että jos käytät sovellusta ”http://sovellus” älä missään nimessä konfiguroi SPN:nää HTTPS:nä, Esimerkiksi ”https/sovellus”.

Konfiguroi Kerberos rajoitettu valtuutus (constraint delegation) koneille ja service accounteille

Riippuu tapauksesta, milloin jotkut SharePoint 2010 toiminnallisuuksista vaativat rajoitettua valtuutusta (constraint delegation) toimiakseen kunnolla. Esimerkiksi, jos RSS viewer web part on konfiguroitu näyttämään RSS feed autentikointia vaativasta lähteestä, se vaatii myös delegoinnin käyttöönsä. Muita tapauksia on esimerkiksi Excel services, kun tarvitaan palvelu sovelluksen välittämä client identiteetti serverille.

Seuraavassa skenaariossa konfiguroidaan Kerberos rajoitettu valtuutus sallimaan RSS view web part lukemaan suojattua RSS feediä ulkopuolisesta web aplikaatiosta. Kuvaan myöhemmin muitakin SharPoint 2010 service applikaatioita ja konfigurointeja.

clip_image012

Esimerkissä on kaksi web applikaatiota, kumpikin omassa site collectionissa ja niissä kummassakin kaksi RSS web parttia. Kummassakin web applikaatiossa on oma ja yksi default zone konfiguroitu käyttämään kerberos autentikointia, joten kaikki feedit jotka tulevat näiltä saiteilta vaativat autentikoinnin. Kummallakin saitilla yksi RSS viewer tulee konfiguroida lukemaan oma paikallinen feedi ja yksi toisesta saitista.

Se että tällainen saadaan aikaiseksi vaatii kerberosin rajoitetu delegoinnin sallimaan yhteydet IIS applikaatio poolien service accounttien välille. Seuraava diagrammi kuvaa juuri tätä.

clip_image014

Muista, että web applikaatiot identifioidaan service nimellä käyttäen SPN:nää joka sille on asetettu IIS applikaatio pooliin. Service account prosessointi pyynnön on sallittava delegoida client identiteetin osoitetuille palveluille. Seuraava taulukko puvaa tätä rajoitettua delogointia polkuna joka on konfiguroitava.

Principal Type

Principal Name

Delegates To Service

User

svcPortal10App

HTTP/Portal

HTTP/Portal.vmlab.local

HTTP/Teams

HTTP/Teams.vmlab.local

HTTP/Teams:5555

HTTP/Teams.vmlab.local:5555

User

svcTeams10App

HTTP/Portal

HTTP/Portal.vmlab.local

HTTP/Teams

HTTP/Teams.vmlab.local

HTTP/Teams:5555

HTTP/Teams.vmlab.local:5555

clip_image002 Huomatus:

Voi tuntua liioittelulta konfiguroida delegointia servicemen itseensä, kuten portal service account delegointi service applikaatioon, mutta tämä on tehtävä skenaariossa missä useita servereitä ajaa serviceä. Tällä varmistetaan skenaario, missä joku toinen ajaa toisen serverin serviceä. Niin kuin front endit (WFE) prosessi pyyntö RSS muodossa, joka käyttää paikallista web applikaatiota lähteenään. Farmi topologiasta ja konfiguraatiosta riippuen, on mahdollista suorittaa RSS pyyntö myös muilla servereillä ja silloin delegointia tarvitaan.

Delogoinnin konfigurointiin voidaan käyttää AD Users and Computers työkalua. Klikkaa hiiren oikealla jokaista service accounttia ja avaa ominaisuudet (properties) dialogi. Siinä on välilehti delogointiin. Välilehti on näkyvissä vain kohteille, joissa SPN on asetettu. Valitse ’Trust this user for delegation to specified services only’, sitten valitse ’Use any authentication protocol’.

clip_image016

Klikkaa Add painiketta lisätäksesi servicen käyttäjälle (service account), jolle oikeus annetaan. SPN valintaan on tarkista kohde SPN:lle. Tässä tapauksessa, ollaan tekemässä delegointia http palvelulle, joka tarkoittaa että etsitään IIS application poolista se pooli, jolle SPN asetettiin aiemmin.

clip_image018

clip_image020

clip_image022

tai – valittuali kaikki löytyneet SPN:nät

clip_image024

SharePoint 2010 konfigurointi

Kun AD ja DNS on konfiguroitu, on vuorossa web applikaatiot Sharepoint 2010:ssä.

Konfiguroi palvelu tilit (managed service accounts)

Ennen web applikaatioiden luontia, konfiguroin service accountit, jotka testiin tämän dokumentin esimerkeissä aiemmin. Näin säästytään accountien tekemiseltä siinä vaiheessa, kun web applikaatiot luodaan

Konfigurointi

1. SharePoint Central Administration, click Security
clip_image026

2. Kohdassa General Security klikkaa Configure managed accountsclip_image028

3. Klikkaa Register Managed Account ja luo managed accountti jokaiselle palvelu accountille. Esimerkiksi 5 managed accounttia:

Account

Purpose

VMLAB\svcSP10Search

SharePoint Search Service Account

VMLAB\svcSearchAdmin

SharePoint Search Administration Service Account

VMLAB\svcSearchQuery

SharePoint Search Query Service Account

VMLAB\svcPortal10App

Portal Web App IIS Application Pool Account

VMLAB\svcTeams10App

Teams Web App IIS Application Pool Account

clip_image002[1] Huomiotavaa:

Managed accounts SharePoint Server 2010 :ssä ei ole sama asia, kun managed service accountit Windows Server 2008 R2 Active Directoryssä.

Luo SharePoint Server Hakupalvelu sovellus (Search Service Application)

Tämä esimerkki kuvaa, miten konfiguroidaan SharePoint Server hakupalvelu applikaatio ilmoittamaan juuri luodun sovelluksen crawl ja haku onnistuneesti. Luo uusi SharPoint Server Search Web Application ja laita Search, Query ja Administrointi palvelut aovelluspalvelimelle, esimerkissä vmSP10App01. Yksityiskohtaiset ohjeet Search Service konfiguroinnista löytyy osoitteesta Step-by-Step: Provisioning the Search Service Application

Create the Web Application

Navigoi Central Administration ja klikkaa Manage Web Applications kohdassa application Management. Valitse työkaluriviltä (toolbar) New ja luo web applikaatio. Varmista että seuraavat asiat tuluu konfiguroiduksi mallin mukaisesti:

clip_image002[2] Valitse Classic Mode Authentication

clip_image002[3] Konfiguroi portti ja ’host header’ jokaiselle sovellukselle

clip_image002[4] Valitse Negotiate autentikointi toimittajaksi

clip_image002[5] Application poolin alla, valitse Create new application pool ja valitse ‘managed account’ joko aiemmin jo luotiin.

Esimerkiksi tällä on taulukko, joka kuvaa kahden web applikaation asetuksia:

Asetukset

http://Portal Web Application

http://Teams Web Application

Authentication

Classic Mode

Classic Mode

IIS Web Site

Name: SharePoint – Portal – 80

Port: 80

Host Header: Portal

Name: SharePoint – Teams – 5555

Port: 80

Host Header: Teams

Security Configuration

Auth Provider: Negotiate

Allow Anonymous: No

Use Secure Socket Layer: No

Auth Provider: Negotiate

Allow Anonymous: No

Use Secure Socket Layer: No

Public URL

http://Portal:80

http://Teams:5555

Application Pool

Name: SharePoint – Portal80

Security Account: vmlab\svcPortal10App

Name: SharePoint – Teams5555

Security Account: vmlab\svcTeams10App

Applikaationta luodessa, luodaan myös uusi ‘zone’. Se on default zone, joka on konfiguroitu käyttämään windows autentikointia. Näet autentikointi toimittajan ja sen asetukset zonelle web applikaation hallinnasta valitsemalla ensin halutun applikaation, sitten Authentication provider – työkalu valikoimasta.

Autentikointi toimittajan dialogi boksi listaa kaikki valitun applikaation  zonet ja ´käytetyn autentikointi metodin niille. Kun valitset zonen, näet myös autentikointi metodin.image

image

varsinainen muokkaaminen onnistuu klikkaamalla Default linkkiä.

image

image

Jos olen konfiguroinut sen eritavalla luodessasi applikaatiota, voit muuttaa tässä kohtaa sen NTLM: stä Negotiatite tilaan. Jos calssic mode ei ollut valittuna autentikaatio moodiksi, on luotava uusi zone laajentamalla web applikaatiota (extending) uudeksi IIS saitiksi tai uudelleen luotava web applikaatio.

Luo site collection

Että voitaisiin testata toimiiko autentikointi toivotulla tavalla, on luotava ainakin yksi site collection. Sen luominen ei vaikuta kerberos toiminnallisuuteen, joten seuraa tarvittaessa olemassa olevaa dokumentointia luodessasi site collection. Sellainen löytyy mm. täältä linkistä: Create a site collection (SharePoint Foundation 2010)

Esimerkki site collectionit voisivat olla vaikkapa näin:

Web Application

Site Collection Path

Site Collection Template

http://portal

/

Publishing Portal

http://teams:5555

/

Team Site

 

Luo alternate access mappings

Portaalin web applikaatio tulee konfiguroitua käytämää HTTPS ja HTTP protokollia kuinka delegaatio toimii SSL suojatulla palvelulla. SSL konfigurointi tarvitsee toisen SharePoint alternate access mäppäyksen (AAM) HTTPS:lle toimiakseen kunnolla.

Alternate access mapping  konfigurointi

1. Cenrtal Administation saitilta, klikkaa Application management

2. Web Applications alapuolelata, klikkaa configure alternate access mapping

image

Select Alternate Access Mapping Collection alasvetovalikon alta, valitse Change Alternate Access Mapping Collection.

image

Valitse portal web application.

image

Klikkaa Edit Public Urls ylätyökaluvalikosta.

image

Vapaaseen zoneen lisätään web applikaation URL. Tämä URL on nimi, joka tulee SSL sertifikaattiin, joka tehdään hetken päästä.

image

Klikkaa Save

Näet nyt HTTPS URL:n zone listassa..

image

IIS Konfiguraatio

Asenna SSL Sertifikaatti

Kaikille web applikaatioille,  jotka käyttävät SSl :lää on myös konfiguroitava sertifikaatti. Se ei ole tämän dokumentin rajauksissa.Ohjeet tähän löydät IIS dokumentoinnista.

 

Varmista Kerberos autentikoinnin toimivuus

1. Avaa IIS manager

2. Valitse IIS web saitti

3. Features näkymästä tuplaklikataan Authentication

image

4, Valitse Windows Authentication, joka enabloidaan

image

5. Oikealla, Actions kohdassa, valitse Providers. Varmista, että Negatiate on listassa ylimpänä.

image

Varmista, että Kernel mode authentication on disabloitu

Kernel moodin autentikaatio ei ole tuettu Sharepoint 2010: ssä.

From → BI / DW

Jätä kommentti

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

%d bloggers like this: