Povolení ověřování Windows pro sadu Azure Pack Windows: Weby
Platí pro: Windows Azure Pack
Windows Azure Pack: Weby podporují integraci webu se službou Active Directory pro ověřování. Podpora fondu aplikací také umožňuje, aby web běžel pod zadanou identitou, která se používá pro připojení k databázovým prostředkům.
Poznámka
Funkce Identita fondu aplikací v současné době nepodporuje všechny předávací scénáře a funguje jenom s databázemi.
Aby bylo možné povolit ověřování služby Active Directory, musí být splněné následující podmínky:
Všechny role pracovního procesu webu musí být připojené k doméně stejné domény služby Active Directory.
Po připojení cloudu webu k doméně služby Active Directory je možné do cloudu přidat pouze pracovní procesy, které jsou součástí stejné domény.
Ověřování služby Active Directory můžete povolit pomocí portálu pro správu nebo pomocí příkazů PowerShellu.
Portál pro správu
Správa povolení integrace ověřování služby Active Directory s weby
Povolení služby Active Directory prostřednictvím portálu pro správu
Otevřete kartu Konfigurace cloudu webu.
V části Obecné Nastavení vyberte z následujících tří možností ověřování Windows webu:
Nastavení
Popis
Vypnuto
Zakáže ověřování Windows pro weby v cloudu.
Povolit
Povolí ověřování Windows, aby ho mohli tenanti povolit na svých webových webech.
Vyžadovat
Vyžaduje, aby všechny webové weby v cloudu používaly ověřování Windows
Pokud je ověřování Windows nastaveno na Vyžadovat, budou mít všechny weby tenantů v cloudu webu integraci služby Active Directory na jejich webových webech. To znamená, že tenant webu nemůže nastavit neověřené prostředí. Nastavení Vyžadovat poskytuje záruky správci webových webů, že všechny webové weby byly zabezpečeny.
Když je ověřování Windows nastaveno na Povolit, můžou se tenanti rozhodnout, jestli chtějí, aby se jejich weby integrovaly se službou Active Directory pro ověřování. Pokud je povolená možnost Povolit , můžou klienti manipulovat s jednotlivými stránkami na svém webu, aby nepožadovali ověřování.
Povolení ověřování služby Active Directory pro web tenanta
Tenanti můžou povolit integraci služby Active Directory na kartě Konfigurace portálu pro správu pro svůj web. Možnost konfigurace integrace služby Active Directory je povolená pouze v případě, že ji správce povolil pro cloud webu, do kterého web patří. V závislosti na nastaveních provedených správcem cloudu můžou tenanti zakázat integraci služby Active Directory, povolit ho nebo ho vyžadovat.
Konfigurace služby Active Directory pro web tenanta na portálu pro správu tenanta
Otevřete kartu Konfigurace webu.
V části Obecné zvolte pro Windows Ověřování následující tři možnosti:
Nastavení
Popis
Vypnuto
Zakáže ověřování Windows pro web.
Povolit
Umožňuje Windows ověřování používat na webu.
Vyžadovat
Vyžaduje, aby celý web používal ověřování Windows.
Pokud je Windows Ověřování nastaveno na Vyžadovat, jsou všechny stránky na webu chráněné ověřováním služby Active Directory. Nastavení Vyžadovat zajišťuje, aby vlastník webu nemohl být zakázán ověřování, i když více vývojářů aktualizuje stejný web.
Pokud je Windows Ověřování nastaveno na Povolit, je web chráněný službou Active Directory pro ověřování. Vývojáři webu ho ale můžou i nadále zakázat pro jednotlivé stránky na webu.
Pokud správce cloudového systému nastavil ověřování služby Active Directory na vyžadovat, nemůže ho tenant zakázat pro svůj web.
Správa povolení identity fondu aplikací pro weby
Identity fondu aplikací je možné povolit jenom v případě, že jsou všichni pracovníci v cloudu webových webů připojeni ke stejné doméně služby Active Directory. Správci můžou spravovat funkci identity fondu aplikací z karty Konfigurace cloudu webu.
Povolení identity fondu aplikací prostřednictvím portálu pro správu cloudu
Otevřete kartu Konfigurace cloudu webu.
V části Obecné Nastavení nastavte identitu vlastního fondu aplikací na povolenou.
Povolení identity fondu aplikací tenanta
Identity fondu aplikací je možné povolit pro web pouze v případě, že správce cloudu webu povolil použití vlastních identit fondu aplikací pro cloud webu, do kterého web patří. Tenanti můžou povolit identitu fondu aplikací na kartě Konfigurovat na portálu pro správu svého webu.
Povolení vlastních identit fondu aplikací na portálu pro správu webu tenanta
Otevřete kartu Konfigurace cloudu webu.
V části Obecné Nastavení nastavte identitu vlastního fondu aplikací na povolenou.
Zadejte uživatelské jméno a heslo, pod kterým má web běžet.
Po dokončení tohoto nastavení může web použít identitu zadanou pro připojení k databázím, které jsou ve stejné doméně jako uživatel, nebo k federování.
PowerShell
Import modulu WebSites PowerShellu
Nejprve spuštěním následujícího příkazu povolte potřebné příkazy PowerShellu pro import modulu WebSites PowerShellu:
weby Import-Module weby
Vytvoření webu
Pokud web ještě nemáte, můžete ho vytvořit pomocí sady Windows Azure Pack: Portál pro správu webů nebo můžete použít následující rutinu PowerShellu. V příkladu nahraďte contoso, adatum a contoso.fabrikam.com názvem webu, ID předplatného a názvem hostitele, který budete používat.
New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com
Povolení ověřování Windows NTLM pro web Windows Azure Pack
Pokud chcete povolit ověřování Windows pro váš web, spusťte na kontroleru následující rutinu pomocí možnosti Povolit. Možnost Povinné lze použít, pokud chcete uzamknout oddíly konfigurace ověřování v souboru applicationhost.config webu a zabránit přepsání jakéhokoli web.config souboru na webu nebo jakékoli aplikaci pod webem. V následujícím příkladu nahraďte adatum ID vašeho předplatného a contoso názvem vašeho webu.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Povolit | Povinné}
Povolení ověřování protokolu Kerberos Windows pro web Windows Azure Pack
Povolení protokolu Kerberos pro web Windows Azure Pack zahrnuje následující:
Pomocí stejných příkazů povolte ověřování Windows jako pro povolení ověřování založeného na protokolu NTLM Windows.
Vytvořte uživatele domény na doménovém serveru.
Přidejte hlavní název služby (SPN) pro každý název hostitele v lokalitě, která bude podporovat Protokol Kerberos.
Přiřaďte uživatele domény k identitě fondu aplikací pro vaše předplatné.
Tyto kroky jsou podrobně vysvětleny následujícím způsobem.
1. Povolení ověřování Windows
Spuštěním následující rutiny na kontroleru použijte možnost Povolit. V příkladu nahraďte adatum ID vašeho předplatného a contoso názvem vašeho webu.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Povolit | Povinné}
2. Na doménovém serveru vytvořte uživatele domény.
Pokud chcete vytvořit uživatele domény, spusťte na doménovém serveru následující příkaz. Nahraďte lowprivilegeduser a heslo hodnotami odpovídajícími vašemu prostředí.
net users /add lowprivilegeduserpassword
3. Přidejte hlavní název služby (SPN) pro každý název hostitele v lokalitě, který bude podporovat Protokol Kerberos.
Pokud chcete přidat hlavní název služby (SPN) pro každý název hostitele v lokalitě, která bude podporovat Protokol Kerberos, spusťte na doménovém serveru následující příkaz. Nahraďte contoso.fabrikam.com, název domény a lowprivilegeduser hodnotami odpovídajícími vašemu prostředí.
Setspn -S http/contoso.fabrikam.comdomainname\lowprivilegeduser
4. Na řadiči webů sady Azure Pack Windows přiřaďte uživateli domény fond aplikací.
Pokud chcete přiřadit uživatele domény, který jste vytvořili do fondu aplikací, proveďte následující kroky na řadiči webů sady Azure Pack Windows. V novém okně PowerShellu spusťte následující příkazy. Nahraďte adatum, contoso, domainname, lowprivilegeduser a password hodnotami odpovídajícími vašemu prostředí.
Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password
Zakázání ověřování Windows pro web Windows Azure Pack
Pokud potřebujete zakázat ověřování Windows, spusťte následující příkaz PowerShellu. V příkladu nahraďte adatum ID vašeho předplatného a contoso názvem vašeho webu.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off
Povolení integrovaného ověřování SQL pro web Windows Azure Pack
Povolení integrovaného ověřování SQL pro web Windows Azure Pack zahrnuje následující kroky:
Vytvořte uživatele domény na doménovém serveru.
Udělte databázi oprávnění uživatele domény.
Přiřaďte uživatele domény k identitě appPoolu pro vaše předplatné.
Tyto kroky jsou podrobně vysvětleny následujícím způsobem.
1. Na doménovém serveru vytvořte uživatele domény.
Pokud chcete vytvořit uživatele domény, spusťte na doménovém serveru následující příkaz. Nahraďte lowprivilegeduser a heslo hodnotami odpovídajícími vašemu prostředí.
net users /add lowprivilegeduserpassword
2. V SQL Server udělte oprávnění databáze uživatelů domény.
Pokud chcete uživateli domény, kterého jste vytvořili oprávnění k databázi, udělit, spusťte na SQL Server následující příkazy. Nahraďte usersdatabasename, domainname\lowprivilegeduser a lowPrivilegedDBUser hodnotami odpovídajícími vašemu prostředí.
use usersdatabasename;
CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;
CREATE USER lowPrivilegedDBUser FOR LOGIN [název\ doménylowprivilegeduser];
EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;
3. Na Windows řadiči webů sady Azure Pack přiřaďte uživateli domény fond aplikací.
Pokud chcete přiřadit uživatele domény, kterého jste vytvořili do fondu aplikací, proveďte následující kroky na řadiči webů sady Azure Pack Windows Azure Pack. V novém okně PowerShellu spusťte následující příkazy. Nahraďte adatum, contoso, domainname, lowprivilegeduser a password hodnotami odpovídajícími vašemu prostředí.
Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password