Použití integrovaného ověřování systému Windows se službou Windows SharePoint Services

Integrované ověřování systému Microsoft Windows podporuje dva protokoly, které umožňují ověřování typu výzva-odpověď:

• NTLM:    Zabezpečený protokol založený na šifrování jmen a hesel uživatelů před jejich odesláním do sítě. Protokol NTLM je vyžadován v sítích, kde server dostává požadavky od klientů se staršími verzemi softwaru, kteří nepodporují ověřování protokolem Kerberos.
• Kerberos:    Protokol založený na zpracování lístků. V tomto schématu uživatel nejdříve musí zadat platné jméno a heslo ověřovacímu serveru. Tento server uživateli udělí lístek, pomocí kterého lze pak v síti vyžadovat jiné síťové prostředky. Aby bylo možné toto schéma použít, musí mít klient i server důvěryhodné spojení k Centru distribuce klíčů (Key Distribution Center) domény a musí být kompatibilní s adresářovými službami Microsoft Active Directory.

Protokol Kerberos také poskytuje způsob vytváření vztahů důvěryhodnosti mezi síťovými doménami. Tyto vztahy mohou být přenositelné, jednosměrné nebo obousměrné. Další informace o ověřování protokolem Kerberos najdete v dokumentaci k Internetové informační službě (IIS) na serveru Windows Server 2003.

Oba protokoly, NTLM i Kerberos, rozšiřují zabezpečení tak, že šifrují jména a hesla uživatelů před jejich odesláním do sítě. Ve výchozím nastavení servery rozšířené verzí služby Windows SharePoint Services, která byla starší než Windows SharePoint Services s aktualizací Service Pack 2, povolovaly standardně ověřování protokolem NTLM, protože je kompatibilní s více klienty. Služba Windows SharePoint Services s aktualizací Service Pack 2 a novější nepovoluje automaticky ověřování protokolem NTLM. Pokud se však rozhodnete používat ověřování protokolem Kerberos a účet fondu aplikací používaný službou Windows SharePoint Services na virtuálním serveru není výchozí síťovou službou, bude nutné provést následující kroky:

• nakonfigurovat hlavní název služby pro identitu fondu aplikací používanou virtuálním serverem se službou Windows SharePoint Services,
• nakonfigurovat vztah důvěryhodnosti pro delegování pro webové součásti, které pracují se vzdálenými prostředky.

  Pokud byl virtuální server rozšířen verzí služby Windows SharePoint Services, která byla starší než Windows SharePoint Services s aktualizací Service Pack 2, je nutné navíc úpravou metabáze služby IIS povolit ověřování protokolem NTLM i Kerberos.

Konfigurace hlavního názvu služby pro identitu fondu aplikací

Poznámka:  Postup v této části může provést pouze správce domény.

Pokud je identita fondu aplikací pro web Windows SharePoint Services nakonfigurována na používání integrovaného zaregistrovaného objektu zabezpečení (například NT Authority\Network Service nebo NT Authority\Local System), není nutné tento krok provádět. Integrované účty jsou automaticky nakonfigurovány na používání ověřování protokolem Kerberos. Pokud však používáte vzdálenou databázi serveru Microsoft SQL Server, nedoporučujeme používat integrovaný zaregistrovaný objekt zabezpečení nebo účet, například doména/název_počítače$.

Jestliže používáte vzdálený server s nainstalovaným softwarem Microsoft SQL Server 2000 a chcete jako účet domény použít NT Authority\Network Service, musíte přidat položku Doména\Název_počítače$ a nakonfigurovat ji s oprávněními skupin Database Creators a Security Administrators. To umožní službě Windows SharePoint Services připojení ke vzdálenému počítači se serverem SQL Server za účelem vytvoření konfiguračních a obsahových databází.

Je-li identita fondu aplikací účet uživatele domény, je nutné pro tento účet nakonfigurovat hlavní název služby (SPN). Chcete-li nakonfigurovat hlavní název služby pro účet uživatele domény, postupujte takto:

1. Stáhněte si ze stránky pro stažení nástroje Setspn.exe (v angličtině) nástroj Setspn.exe a nainstalujte jej.
2. Pomocí nástroje Setspn.exe přidejte hlavní název služby pro účet domény. Tento název přidáte zadáním následujícího příkazu do příkazového řádku:

   setspn -A HTTP/Název_serveru Doména\Jméno_uživatele

   kde Název_serveru je úplný název domény (FQDN) serveru, Doména je název domény a Jméno_uživatele je název účtu uživatele domény.

Konfigurace vztahu důvěryhodnosti pro delegování pro webové součásti, které pracují se vzdálenými prostředky

Poznámka:  Postup v této části může provést pouze správce domény.

Pokud nepoužíváte webové součásti, které pracují se vzdálenými prostředky, nemusíte tyto kroky navíc provádět.

Pokud vyvíjíte webové součásti pro službu Windows SharePoint Services, které pracují se vzdálenými prostředky, je nutné provést postup Konfigurace hlavního názvu služby pro identitu fondu aplikací a podle popisu v následujících částech nakonfigurovat počítač i účet fondu aplikací jako důvěryhodné pro delegování.

Konfigurace serveru IIS na důvěryhodný server pro delegování

Poznámka:  Postup v této části může provést pouze správce domény.

1. Klepněte na tlačítko Start, přejděte na položku Nástroje pro správu a klepněte na položku Uživatelé a počítače služby Active Directory.
2. V levém podokně klepněte na položku Počítače.
3. Klepněte v pravém podokně pravým tlačítkem myši na název serveru IIS a klepněte na příkaz Vlastnosti.
4. Na kartě Obecné zaškrtněte políčko Důvěřovat počítači pro delegování a poté klepněte na tlačítko OK.

Konfigurace účtu domény fondu aplikací na důvěryhodné delegování

1. Klepněte na tlačítko Start, přejděte na položku Nástroje pro správu a klepněte na položku Uživatelé a počítače služby Active Directory.
2. V levém podokně klepněte na položku Uživatelé.
3. Klepněte v pravém podokně pravým tlačítkem myši na název účtu uživatele používaného fondem aplikací a klepněte na příkaz Vlastnosti.
4. Na kartě Účet zaškrtněte ve skupinovém rámečku Možnosti účtu políčko Důvěřovat účtu pro delegování a poté klepněte na tlačítko OK.

Úprava metabáze služby IIS

Metabázi služby IIS lze upravit pomocí Poznámkového bloku nebo skriptu. Metoda skriptu je vhodnější při aktualizaci více serverů. V následujících částech je vysvětleno použití obou metod.

Úprava metabáze služby IIS pomocí Poznámkového bloku

Poznámka:  Tento krok je nutný pouze u virtuálních serverů, které byly rozšířeny verzí služby Windows SharePoint Services starší než verze s aktualizací Service Pack 2.

1. Na serveru se službou Windows SharePoint Services klepněte na tlačítko Start, přejděte na příkaz Všechny programy a na položku Příslušenství a klepněte na položku Poznámkový blok.
2. V nabídce Soubor klepněte na příkaz Otevřít a otevřete soubor %Systemroot%\System32\Inetsrv\Metabase.xml, kde %Systemroot% je cesta a název složky, v níž je nainstalován systém Microsoft Windows.
3. V oddílu <IIsWebServer> vyhledejte řádek:

   NTAuthenticationProviders="NTLM"

4. Změňte jej takto:

   NTAuthenticationProviders="Negotiate,NTLM"

5. V nabídce Soubor klepněte na příkaz Uložit.
6. V nabídce Soubor klepněte na příkaz Konec.
7. Restartujte službu IIS:
   1. Klepněte na tlačítko Start a potom na příkaz Spustit.
   2. V dialogovém okně Spustit zadejte příkaz cmd a klepněte na tlačítko OK.
   3. Do příkazového řádku zadejte příkaz iisreset a potom stiskněte klávesu ENTER.
   4. Zadejte příkaz exit a stisknutím klávesy ENTER zavřete dialog Příkazový řádek.

Úprava metabáze služby IIS pomocí skriptů

Poznámka:  Tento krok je nutný pouze u virtuálních serverů, které byly rozšířeny verzí služby Windows SharePoint Services starší než verze s aktualizací Service Pack 2.

1. Klepněte na tlačítko Start a potom na příkaz Spustit.
2. V dialogovém okně Spustit zadejte příkaz cmd a klepněte na tlačítko OK.
3. Přejděte do složky Inetpub\Adminscripts, zadejte:

   cd jednotka:\inetpub\adminscripts

   kde jednotka je jednotka, na níž je nainstalován systém Windows.
4. Zadejte příkaz:

   cscript adsutil.vbs get w3svc/xx/NTAuthenticationProviders

   kde xx je číslo ID virtuálního serveru. ID virtuálního serveru výchozího webu ve službě IIS je 1. Byl-li virtuální server rozšířen o službu Windows SharePoint Services, bude vrácen následující řetězec:

   ntauthenticationproviders: (STRING) "NTLM"

5. Chcete-li na virtuálním serveru povolit protokol Kerberos, zadejte:

   cscript adsutil.vbs set w3svc/xx/NTAuthenticationProviders "Negotiate,NTLM"

   kde xx je číslo ID virtuálního serveru.
6. Restartujte službu IIS:
   1. Klepněte na tlačítko Start a potom na příkaz Spustit.
   2. V dialogovém okně Spustit zadejte příkaz cmd a klepněte na tlačítko OK.
   3. Do příkazového řádku zadejte příkaz iisreset a potom stiskněte klávesu ENTER.
   4. Zadejte příkaz exit a stisknutím klávesy ENTER zavřete dialog Příkazový řádek.

Příbuzná témata

Příručka pro správce služby Windows SharePoint Services (Windows SharePoint Services Administrator's Guide) (v angličtině)