Página principal



Configuración de la autenticación Kerberos (SharePoint Foundation 2010)

Descargar 3.63 Mb.

Configuración de la autenticación Kerberos (SharePoint Foundation 2010)





Descargar 3.63 Mb.
Página30/74
Fecha de conversión02.09.2018
Tamaño3.63 Mb.
1   ...   26   27   28   29   30   31   32   33   ...   74

Configuración de la autenticación Kerberos (SharePoint Foundation 2010)

En este artículo:

Acerca de la autenticación Kerberos

Antes de comenzar

Configuración de la autenticación Kerberos para las comunicaciones de SQL

Creación de nombres principales de servicio para las aplicaciones web con la autenticación Kerberos

Implementación de la granja de servidores

Configuración de servicios en servidores de la granja de servidores

Creación de aplicaciones web con autenticación Kerberos

Creación de una colección de sitios mediante la plantilla del portal de colaboración en la aplicación web del sitio de portal

Confirmación del acceso correcto a las aplicaciones web con autenticación Kerberos

Confirmación de la funcionalidad de indización de búsqueda correcta

Confirmación de la funcionalidad de consultas de búsqueda correcta

Limitaciones de la configuración

Recursos adicionales y orientación para la solución de problemas

    1. Acerca de la autenticación Kerberos

Kerberos es un protocolo seguro que admite la autenticación mediante vales. Un servidor de autenticación Kerberos concede un vale en respuesta a una solicitud de autenticación de un equipo cliente si la solicitud contiene credenciales de usuario válidas y un nombre principal de servicio (SPN) válido. A continuación, el equipo cliente usa el vale para tener acceso a los recursos de la red. Para habilitar la autenticación Kerberos, los equipos cliente y servidor deben tener una conexión de confianza con el centro de distribución de claves (KDC) del dominio. El KDC distribuye claves secretas compartidas para habilitar el cifrado. Los equipos cliente y servidor también deben tener acceso a los Servicios de dominio de Active Directory (AD DS). Para AD DS, el dominio raíz del bosque es el centro de las referencias de la autenticación Kerberos.

Para implementar un conjunto o granja de servidores que ejecute Microsoft SharePoint Foundation 2010 y use la autenticación Kerberos, debe instalar y configurar varias aplicaciones en los equipos. En este artículo se describe un ejemplo de granja de servidores que ejecuta SharePoint Foundation 2010 y se proporcionan instrucciones para implementar y configurar la granja de servidores de modo que use la autenticación Kerberos para admitir la funcionalidad siguiente:

Comunicación entre SharePoint Foundation 2010 y el software de base de datos Microsoft SQL Server.

Acceso a la aplicación web de Administración central de SharePoint.

Acceso a otras aplicaciones web, incluidas una aplicación web de sitio de portal y una aplicación web de Mi sitio.

    1. Antes de comenzar

Este artículo está dirigido a personal de nivel administrativo con conocimientos de:

Windows Server 2008

Active Directory

Internet Information Services (IIS) 6.0 (o IIS 7.0)

SharePoint Foundation 2010

Windows Internet Explorer

Autenticación Kerberos (implementada en Servicios de dominio de Active Directory (AD DS) para Windows Server 2008)

Equilibrio de carga de red (NLB) en Windows Server 2008

Cuentas de equipo en un dominio de Active Directory

Cuentas de usuario en un dominio de Active Directory

Sitios web de IIS y sus enlaces y configuración de autenticación

Identidades del grupo de aplicaciones de IIS para sitios web de IIS

 Asistente para configuración de Productos de SharePoint

Aplicaciones web de SharePoint Foundation 2010

Páginas de Administración central

Nombres principales de servicio (SPN) y su configuración en un dominio de Active Directory

P

Importante:




ara crear SPN en un dominio de Active Directory, debe tener permisos de nivel administrativo en el dominio.

En este artículo no se describe en profundidad la autenticación Kerberos. Kerberos es un método de autenticación estándar del sector que se implementa en AD DS.

En este artículo no se proporcionan instrucciones detalladas paso a paso para instalar SharePoint Foundation 2010 o usar el Asistente para configuración de Productos de SharePoint.

Tampoco se proporcionan instrucciones detalladas paso a paso sobre cómo usar Administración central para crear aplicaciones web de SharePoint Foundation 2010.

      1. Requisitos de la versión de software

La información que se proporciona en este artículo a modo de guía y las pruebas realizadas para confirmar dicha información se basan en resultados obtenidos con sistemas que ejecutan Windows Server 2008 e Internet Explorer con las últimas actualizaciones aplicadas del sitio de Windows Update (http://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A). Se instalaron las siguientes versiones de software:

Windows Server 2008 con las últimas actualizaciones de Windows Update (http://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A)

Internet Explorer

La versión publicada de SharePoint Foundation 2010

Debe asegurarse también de que los controladores de dominio de Active Directory ejecuten Windows Server 2008 con las últimas actualizaciones aplicadas del sitio de Windows Update (http://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

      1. Problemas conocidos

SharePoint Foundation 2010 puede rastrear aplicaciones web configuradas para usar la autenticación Kerberos si dichas aplicaciones web se hospedan en servidores virtuales de IIS enlazados a los puertos predeterminados, que son el puerto TCP 80 y el puerto SSL (Capa de sockets seguros) 443. Sin embargo, la búsqueda de SharePoint Foundation 2010 no puede rastrear las aplicaciones web de SharePoint Foundation 2010 configuradas para usar la autenticación Kerberos si dichas aplicaciones web se hospedan en servidores virtuales de IIS enlazados a puertos no predeterminados (puertos distintos de los puertos TCP 80 y SSL 443). Actualmente, la búsqueda de SharePoint Foundation 2010 solo puede rastrear aplicaciones web de SharePoint Foundation 2010 hospedadas en servidores virtuales de IIS enlazados a puertos no predeterminados que están configurados para usar la autenticación NTLM o la autenticación básica.

Para que los usuarios finales obtengan acceso mediante la autenticación Kerberos, si necesita implementar aplicaciones web que solo se pueden hospedar en servidores virtuales de IIS enlazados a puertos no predeterminados y si desea que los usuarios finales obtengan resultados en las consultas de búsqueda:

Las mismas aplicaciones web deben hospedarse en otros servidores virtuales de IIS en puertos no predeterminados.

Las aplicaciones web deben configurarse para usar la autenticación NTLM o básica.

La indización de búsqueda debe rastrear las aplicaciones web mediante la autenticación NTLM o básica.

En este artículo se proporcionan instrucciones para:

Configurar la aplicación web de Administración central que usa la autenticación Kerberos y está hospedada en un servidor virtual de IIS enlazado a puertos no predeterminados.

Configurar las aplicaciones del portal y de Mi sitio que usan la autenticación Kerberos, están hospedadas en servidores virtuales de IIS enlazados a puertos predeterminados y tienen un enlace de encabezado host de IIS.

Garantizar que la indización de búsqueda rastrea correctamente las aplicaciones web de SharePoint Foundation 2010 que usen la autenticación Kerberos.

Garantizar que los usuarios que tengan acceso a aplicaciones web con autenticación Kerberos obtengan resultados de las consultas de búsqueda en esas aplicaciones web.

      1. Información adicional

Es importante comprender que, cuando se usa la autenticación Kerberos, la funcionalidad de la autenticación en sí depende en parte del comportamiento del cliente que intenta autenticarse mediante Kerberos. En una implementación de una granja de servidores de SharePoint Foundation 2010 en la que se usa la autenticación Kerberos, SharePoint Foundation 2010 no es el cliente. Antes de implementar una granja de servidores que ejecuta SharePoint Foundation 2010 mediante la autenticación Kerberos, debe comprender el comportamiento de los siguientes clientes:

El explorador (en el contexto de este artículo, el explorador es siempre Internet Explorer)

Microsoft .NET Framework

El explorador es el cliente que se usa al examinar una página web en una aplicación web de SharePoint Foundation 2010. Cuando SharePoint Foundation 2010 realiza tareas como rastrear los orígenes de contenido locales de SharePoint Foundation 2010, .NET Framework actúa como cliente.

Para que la autenticación Kerberos funcione correctamente, se deben crear SPN en AD DS. Si los servicios a los que corresponden estos SPN están a la escucha en puertos no predeterminados, los SPN deben incluir los números de puerto. De este modo, se garantiza que los SPN sean significativos. Además, esto es necesario para evitar la creación de SPN duplicados.

Cuando un cliente intenta obtener acceso a un recurso que usa la autenticación Kerberos, el cliente debe crear un SPN para usarlo como parte del proceso de autenticación Kerberos. Si el cliente no crea ningún SPN que coincida con el SPN configurado en AD DS, se producirá un error en la autenticación Kerberos (normalmente, un error del tipo "Acceso denegado").

Hay versiones de Internet Explorer que no crean SPN con números de puerto. Si usa aplicaciones web de SharePoint Foundation 2010 enlazadas a números de puertos no predeterminados en IIS, es posible que deba indicar a Internet Explorer que incluya los números de puerto en los SPN creados. En una granja de servidores que ejecute SharePoint Foundation 2010, la aplicación web de Administración central se hospeda de forma predeterminada en un servidor virtual de IIS enlazado a un puerto no predeterminado. Por lo tanto, en este artículo se describen los sitios web de IIS enlazados a puertos y los sitios web de IIS enlazados a encabezados host.

De forma predeterminada, en una granja de servidores que ejecuta SharePoint Foundation 2010, .NET Framework no crea de forma predeterminada SPN que contengan números de puerto. Por este motivo, la búsqueda no puede rastrear aplicaciones web que usen la autenticación Kerberos si estas aplicaciones web se hospedan en servidores virtuales de IIS enlazados a puertos no predeterminados.

      1. Topología de granja de servidores

En este artículo se analiza la siguiente topología de granja de servidores de SharePoint Foundation 2010:

Dos equipos que ejecutan Windows Server 2008 y actúan como servidores front-end web, con NLB de Windows configurado.

Tres equipos que ejecutan Windows Server 2008 y actúan como servidores de aplicaciones. Uno de los servidores de aplicaciones hospeda la aplicación web de Administración central, otro ejecuta la consulta de búsqueda y el tercero ejecuta la indización de búsqueda.

Un equipo que ejecuta Windows Server 2008 y se usa como el host de SQL para la granja de servidores que ejecuta SharePoint Foundation 2010. Para el escenario descrito en este artículo, se puede usar Microsoft SQL Server 2008.

      1. Convenciones de Servicios de dominio de Active Directory, nomenclatura de equipos y NLB

En el escenario descrito en este artículo se usan las siguientes convenciones para Active Directory, la nomenclatura de los equipos y NLB:



Rol del servidor

Nombre de dominio

Servicios de dominio de Active Directory

mydomain.net

Un servidor front-end web que ejecuta SharePoint Foundation 2010

wssfe1.mydomain.net

Un servidor front-end web que ejecuta SharePoint Foundation 2010

wssfe2.mydomain.net

Administración central de SharePoint Foundation 2010

wssadmin.mydomain.net

Indización de búsqueda que ejecuta SharePoint Foundation 2010

wsscrawl.mydomain.net

Consulta de búsqueda que ejecuta SharePoint Foundation 2010

wssquery.mydomain.net

Host de SQL Server que ejecuta SharePoint Foundation 2010

wsssql.mydomain.net



Se asigna una dirección IP virtual (VIP) de NLB a wssfe1.mydomain.net y wssfe2.mydomain.net como resultado de la configuración de NLB en estos sistemas. Un conjunto de nombres de host DNS que apuntan a esta dirección se registra en el sistema DNS. Por ejemplo, si la dirección VIP de NLB es 192.168.100.200, tiene un conjunto de registros DNS que resuelven los siguientes nombres DNS en esta dirección IP (192.168.100.200):

kerbportal.mydomain.net

kerbmysite.mydomain.net

      1. Convenciones de las cuentas de dominio de Active Directory

En el ejemplo de este artículo se usan las convenciones de nomenclatura que aparecen en la tabla siguiente para las cuentas de servicio y las identidades de grupo de aplicaciones en la granja de servidores que ejecuta SharePoint Foundation 2010.



Cuenta de dominio o identidad de grupo de aplicaciones

Nombre

Cuenta de administrador local

En todos los servidores que ejecutan SharePoint Foundation 2010 (pero no en el equipo host que ejecuta SQL Server)

Para la instalación de SharePoint Foundation 2010 y para la ejecución del Asistente para configuración de Productos de SharePoint como usuario

mydomain\pscexec

Cuenta de administrador local en el equipo host de SQL Server

mydomain\sqladmin

Cuenta de servicio de SQL Server usada para ejecutar el servicio de SQL Server

mydomain\wsssqlsvc

Cuenta de administrador de la granja de servidores de SharePoint Foundation 2010

mydomain\wssfarmadmin

Se usa como la identidad del grupo de aplicaciones para Administración central y como la cuenta de servicio para el servicio de temporizador de SharePoint.

Identidad del grupo de aplicaciones de SharePoint Foundation 2010 para la aplicación web del sitio de portal

mydomain\portalpool

Identidad del grupo de aplicaciones de SharePoint Foundation 2010 para la aplicación web de Mi sitio

mydomain\mysitepool

Cuenta del servicio de búsqueda de SharePoint Foundation 2010

mydomain\wsssearch

Cuenta de acceso al contenido de búsqueda de SharePoint Foundation 2010

mydomain\wsscrawl

Cuenta del servicio de búsqueda de SharePoint Foundation 2010

mydomain\wsssearch

Cuenta de acceso al contenido de SharePoint Foundation 2010

mydomain\wsscrawl



      1. Requisitos de configuración preliminares

Antes de instalar SharePoint Foundation 2010 en los equipos de la granja de servidores, asegúrese de haber realizado los procedimientos siguientes:

Todos los servidores usados en la granja de servidores, incluido el host de SQL, tienen instalado Windows Server 2008, incluidas las últimas actualizaciones aplicadas del sitio de Windows Update (http://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

Todos los servidores de la granja de servidores tienen instalado Internet Explorer (y sus últimas actualizaciones) del sitio de Windows Update (http://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

SQL Server 2008 está instalado y en ejecución en el equipo host de SQL, y el servicio de SQL Server se ejecuta como la cuenta mydomain\sqlsvc. Hay una versión predeterminada de SQL Server instalada y a la escucha en el puerto TCP 1433.

Se ha agregado el usuario de ejecución de Asistente para configuración de Productos de SharePoint:

Como un inicio de sesión de SQL en el host de SQL.

Para el rol DBCreators de SQL Server en el host de SQL.

Para el rol Administrador de seguridad de SQL Server en el host de SQL.


1   ...   26   27   28   29   30   31   32   33   ...   74

Similar:

Guía de implementación de Microsoft SharePoint Foundation 2010 iconGuía de planeación de sitios y soluciones para Microsoft SharePoint Server 2010, Parte 2
Ti, administradores de programa y especialistas en infraestructuras que planean una solución basada en SharePoint Server 2010. Este...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconReferencia técnica para Microsoft SharePoint Ser ver 2010
Entre la audiencia para la que está destinado este libro se incluyen especialistas de aplicaciones, especialistas de aplicaciones...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconGuía del módulo de supervision de System Center para Microsoft SharePoint Server 2013
Publicación: para lanzamiento de Microsoft. Esta documentación solo se aplica al lanzamiento del módulo de administración de Productos...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconMaría Díaz-Llanos Lecuona
Gestión de Contenidos de SharePoint 2010. Maquetación, edición (de plantillas al migrar) de pág aspx con Designer de SharePoint 07....
Guía de implementación de Microsoft SharePoint Foundation 2010 iconPara profesionales de ti: Guía de planeación de Microsoft Office 2010
Microsoft Office 2010. Está dirigido a los especialistas generales de ti, los departamentos de operaciones, de soporte técnico y...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconIntroducción Access 2010
Lo más lejos que quedarán sus datos será el explorador web más cercano, gracias a las nuevas bases de datos web y los Servicios de...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconPara profesionales de ti: Directiva de grupo para Microsoft Office 2010
Microsoft Office 2010. Está dirigido a profesionales generales de ti, departamentos de operaciones de ti, personal del servicio de...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconMicrosoft InfoPath 2010 Guía del producto

Guía de implementación de Microsoft SharePoint Foundation 2010 iconManual de Muse un entorno de autor´ıa y publicaci´
Copyright c 2004, 2005, 2006, 2007, 2008, 2009, 2010 Free Software Foundation, Inc
Guía de implementación de Microsoft SharePoint Foundation 2010 iconGuía de implementación de Operations Manager 2007
Como Microsoft debe reaccionar ante las condiciones cambiantes del mercado, no debe interpretarse como un compromiso por parte de...


Descargar 3.63 Mb.