Configuración de sitios autenticados con Kerberos para el rastreo

En este artículo:

Requisitos previos de las soluciones

Pasos generales para la solución 1

Implementación de la solución 1 (configuración de un sitio web nuevo para el uso de Kerberos)

Pasos generales para la solución 2

Implementación de la solución 2 (configuración de un sitio web existente para el uso de Kerberos)

La autenticación Kerberos permite aumentar la seguridad en NTLM, que es el mecanismo de autenticación predeterminado para las aplicaciones web de Microsoft Office SharePoint Server 2007. No obstante, tenga en cuenta que el componente de índice del servidor de índices, denominado en ocasiones rastreador, no puede rastrear los sitios que Kerberos autentica si dichos sitios están configurados para usar puertos no estándar. Los puertos no estándar se corresponden con cualquier número de puerto excepto el puerto TCP 80 (HTTP) y el puerto SSL 443 (HTTPS).

El orden de sondeo para las zonas de la aplicación web afecta al rastreo. El rastreador siempre inicia el sondeo en la zona predeterminada. Si esta zona usa la autenticación Kerberos, pero no usa el puerto TCP 80 o el puerto SSL 443, el rastreador no intenta autenticar mediante el uso de la siguiente zona del orden de sondeo y no se rastrea ningún contenido de la aplicación web. Esto significa que el contenido no se indiza ni se devuelve en los resultados de las consultas de búsqueda. Para obtener más información acerca del funcionamiento del orden de sondeo con el rastreador, vea la sección sobre la planeación de la autenticación para el rastreo de contenido en Planeación de métodos de autenticación (Office SharePoint Server).

Este artículo se aplica a las implementaciones independientes y de granjas de servidores de Office SharePoint Server 2007. En este artículo se proporciona una solución para rastrear sitios que usan la autenticación Kerberos en la zona predeterminada y una solución para rastrear los sitios que usan NTLM en la zona predeterminada y la autenticación Kerberos en otra zona. Con independencia de la solución usada, los usuarios finales que obtengan acceso a las aplicaciones web que usen Kerberos para la autenticación podrán obtener resultados de las consultas de búsqueda. Las soluciones son:

• Solución 1: cree una aplicación web que use Kerberos para la autenticación en la zona predeterminada y configúrela para usar un puerto estándar. Ésta es la solución preferida debido a que los usuarios que autentican con Kerberos no necesitan especificar ningún número de puerto en la dirección URL de los sitios. Si no puede implementar esta solución, use la solución 2.

• Solución 2: cree una aplicación web que use la autenticación NTLM y, a continuación, extienda la aplicación web para que use la autenticación Kerberos en la segunda zona. De este modo, el rastreador puede rastrear el contenido de la zona predeterminada mediante la autenticación NTLM. Implemente esta solución si no puede usar la autenticación Kerberos en un puerto estándar.

Requisitos previos de las soluciones

Los procedimientos incluidos en estas soluciones requieren los siguientes tipos de administradores:

• Administrador de sistema de nombres de dominio (DNS)

• Administrador del servidor

• Administrador del servicio de búsqueda

• Administrador de la granja de servidores

• Administrador de Internet Information Services (IIS)

Entre otros requisitos, se incluyen:

• Configuración del software según se describe en Configuración de la autenticación Kerberos (Office SharePoint Server).

• Un controlador de dominio de Active Directory que ejecute Windows Server 2003 con el último Service Pack y las últimas actualizaciones aplicadas desde el sitio de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

• La herramienta Setspn.exe, que se incluye con las herramientas de soporte técnico de Microsoft Windows Server 2003. Para instalar las herramientas de soporte técnico de Windows Server 2003, haga doble clic en SUPPTOOLS.MSI en la carpeta Support\Tools del CD de Windows Server 2003. La herramienta Setspn.exe también se incluye con las herramientas del kit de recursos de Microsoft Windows 2000. Para obtener esta herramienta, visite el sitio del kit de recursos de Windows 2000 (Setspn.exe) (en inglés) (https://go.microsoft.com/fwlink/?linkid=28103&clcid=0xC0A) (en inglés).

Para estas soluciones, se da por supuesto lo siguiente:

• La granja de servidores ya está configurada y en ejecución.

• El servicio Office SharePoint Server Search (oSearch) está en ejecución y se han establecido todos los valores de configuración requeridos para rastrear contenido. Para obtener más información, vea Planeación del rastreo de contenido (Office SharePoint Server) y Rastreo del contenido (Office SharePoint Server 2007).

• Tiene permisos de nivel de administrador de dominio para poder crear un nombre principal de servicio (SPN).

• Tiene la información necesaria para crear un SPN. Para obtener más información, vea Configuración de la autenticación Kerberos (Office SharePoint Server).

• (Sólo para la solución 1) No tiene ninguna otra aplicación web que use el mismo puerto TCP estándar (puerto TCP 80 o SSL 443) y nombre de host.

Pasos generales para la solución 1

1. Cree una aplicación web que use la autenticación Kerberos.

2. Asigne el puerto 80 o el puerto 443 a la nueva aplicación web.

3. Cree SPN en Active Directory.

4. Confirme si la búsqueda de la aplicación web es correcta.

5. Asegúrese de que el rastreador tenga permisos de lectura o superiores en la aplicación web.

6. Confirme si el comportamiento de rastreo de la búsqueda es correcto.

7. Confirme si las consultas de búsqueda devuelven resultados precisos.

8. Publique la dirección URL para los usuarios finales.

Implementación de la solución 1

Creación de una aplicación web que use la autenticación Kerberos

1. Haga clic en Inicio, elija Todos los programas, Herramientas administrativas y, a continuación, haga clic en Administración central de SharePoint 3.0.

2. Haga clic en la ficha Administración de aplicaciones.

3. En la sección Administración de aplicaciones web de SharePoint de la página Administración de aplicaciones, haga clic en Crear o extender una aplicación web.

4. En la página Crear o extender una aplicación web, haga clic en Crear una nueva aplicación web.

5. En la página Crear nueva aplicación web, en la sección Sitio web de IIS, acepte la configuración predeterminada, Crear un nuevo sitio web de IIS, y después escriba un nombre para el sitio web en el cuadro Descripción.

6. En el cuadro Puerto, escriba 80 o 443. Si usa el puerto 443, debe seleccionar también Utilizar Capa de sockets seguros (SSL).

7. Especifique un encabezado host de IIS para el sitio web.

   Para obtener más información acerca de la configuración de SSL para un sitio web con un encabezado host de IIS, vea la sección acerca de la configuración de encabezados host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

8. En la sección Configuración de seguridad, seleccione Negociar (Kerberos).

9. En la sección Grupo de aplicaciones, acepte la configuración predeterminada, Crear nuevo grupo de aplicaciones, y especifique la cuenta de seguridad para el nuevo grupo de aplicaciones.

10. Haga clic en Aceptar.

11. Reinicie IIS.

    Para reiniciar IIS, en un símbolo del sistema, escriba el siguiente comando y, a continuación, presione ENTRAR:

    Iisreset /restart /noforce

12. Cierre el símbolo del sistema.

13. Actualice DNS/WINS para resolver el encabezado host de IIS en la dirección IP del servidor cliente web.

Creación de SPN en Active Directory

• Use la herramienta Setspn.exe, incluida con las herramientas de soporte técnico de Windows Server 2003, para crear dos SPN para la aplicación web configurada para la autenticación Kerberos. Un SPN debe usar el nombre NetBIOS de la aplicación web y el otro SPN debe usar el nombre de dominio completo (FQDN) del Servicio de nombres de dominio (DNS) de la aplicación web. Use la sintaxis que se muestra a continuación.

  **Setspn.exe -A HTTP/**nombreDeServidor dominioAD/nombreDeUsuario

  Donde HTTP es la clase de servicio, nombreDeServidor es el nombre NetBIOS o el FQDN, dominioAD es el dominio de Active Directory y nombreDeUsuario es la identidad del grupo de aplicaciones de la aplicación web.

  En el siguiente ejemplo se indica cómo se muestran los SPN si el encabezado host configurado para una aplicación web es servidor1.contoso.com.

  • NetBIOS SPN: HTTP/servidor1

  • FQDN SPN: HTTP/servidor1.contoso.com

Confirmación de que con la autenticación Kerberos es posible desplazarse hasta la aplicación web

1. Inicie sesión en un equipo que esté en el mismo dominio que la granja de servidores. Asegúrese de que el equipo no es un servidor cliente web de la granja.

   Importante

   No compruebe el comportamiento correcto de la autenticación Kerberos directamente en uno de los equipos que hospede los sitios web con la autenticación Kerberos. Compruebe este comportamiento en otro equipo del dominio.

2. Abra el explorador web en este otro equipo y busque la dirección URL de la aplicación web.

   Se debe mostrar la página principal de la aplicación web autenticada con Kerberos. Para obtener más información acerca de la confirmación del uso de la autenticación Kerberos para obtener acceso a la aplicación web, vea la sección sobre la confirmación del acceso correcto a las aplicaciones web con la autenticación Kerberos en Configuración de la autenticación Kerberos (Office SharePoint Server).

Comprobación de que al rastreador se le ha concedido el nivel de permiso de lectura o un nivel superior en la aplicación web

• Para que la aplicación web autentique al rastreador, el rastreador debe recibir el nivel de permiso de lectura o un nivel de permiso superior en esa aplicación web. En caso contrario, se producirá un error en el rastreo. Asegúrese de que se da una de las siguientes condiciones:

  • Existe una regla de rastreo que especifica una cuenta de dominio a la que se ha concedido el nivel de permiso de lectura o un nivel de permiso superior en la aplicación web.

  • La cuenta de dominio asignada a la cuenta predeterminada de acceso al contenido ha recibido el nivel de permiso de lectura o un nivel de permiso superior en la aplicación web.

  Para obtener información acerca de las reglas de rastreo y la cuenta predeterminada de acceso al contenido, vea Configuración del modo de autenticación del rastreador (Office SharePoint Server 2007).

Confirmación de que el comportamiento de rastreo de la búsqueda es correcto

1. En la sección Búsqueda de la página Administración de servicios compartidos, haga clic en Configuración de búsquedas.

2. En la página Configurar opciones de búsqueda, en la sección Configuración del rastreo, haga clic en Orígenes de contenido y programaciones de rastreo.

   Nota

   De forma predeterminada, si un administrador de la granja de servidores crea o extiende una aplicación web, la dirección URL de la aplicación web se agrega automáticamente al origen de contenido predeterminado. Este origen de contenido se llama de forma predeterminada Sitios locales de Office SharePoint Server. Puede usar el origen de contenido predeterminado para realizar un rastreo completo de la nueva aplicación web, aunque se rastrearán también las demás aplicaciones web especificadas en el origen de contenido. Dado que debe realizar un rastreo completo del nuevo origen de contenido, el uso del origen de contenido predeterminado para rastrear el contenido puede requerir una cantidad de tiempo considerable según la cantidad de contenido que se vaya a rastrear. Considere la posibilidad de crear un origen de contenido nuevo para rastrear la nueva aplicación web sin rastrear todo el contenido del origen de contenido predeterminado. En este caso, debe quitar primero la dirección URL a la aplicación web del origen de contenido predeterminado. Para obtener información acerca de la creación de un origen de contenido, vea Adición de un origen de contenido para rastrear sitios de SharePoint, sitios web, recursos compartidos de archivos o carpetas públicas de Microsoft Exchange (Office SharePoint Server).

3. En la página Administrar orígenes de contenido, seleccione el origen de contenido que desee rastrear, haga clic en la flecha que se muestra y, a continuación, haga clic en Iniciar rastreo completo en el menú que se muestra.

   Nota

   El valor de la columna Estado cambia a Rastreo completo para el origen de contenido seleccionado en este paso. No obstante, el valor de la columna Estado de la página no cambia automáticamente al completar el rastreo. Para actualizar la columna Estado, debe hacer clic en Actualizar para actualizar la página Administrar orígenes de contenido.

4. Espere hasta que se complete el rastreo. Si el rastreo genera un error de "acceso denegado", se debe a que la cuenta de acceso al contenido no tiene acceso al origen de contenido o a que la autenticación Kerberos ha generado un error. Debe corregir este error para poder continuar, ya que debe completar un rastreo completo de la aplicación web autenticada con Kerberos para poder confirmar si las consultas de búsqueda devuelven resultados precisos. Para obtener más información acerca de la cuenta de acceso al contenido, vea Comprobación de que al rastreador se le ha concedido el nivel de permiso de lectura o un nivel superior en la aplicación web.

Confirmación de que las consultas de búsqueda devuelven resultados precisos

1. Inicie sesión en un equipo que esté en el mismo dominio que la granja de servidores. Asegúrese de que el equipo no es un servidor cliente web de la granja.

2. Abra un explorador web en ese equipo y desplácese hasta el sitio de nivel superior de la aplicación web que rastreó.

3. Cuando se muestre la página principal, seleccione el ámbito de búsqueda Este sitio.

4. Escriba una palabra clave en el campo Buscar y presione ENTRAR.

   Sugerencia

   Use una palabra clave que exista en el sitio web.

5. Confirme si se devuelven resultados de la consulta de búsqueda para la aplicación web. En caso negativo, confirme lo siguiente:

   • La palabra clave que ha escrito es una palabra que existe en la aplicación web.

   • La indización se ejecuta correctamente.

   • El servicio Office SharePoint Server Search se está ejecutando en los servidores de índices y de consulta.

   • Si el servidor de índices no es también un servidor de consultas, compruebe que no haya problemas con la propagación de la búsqueda desde el servidor de índices hasta los servidores de consultas.

6. Publique la dirección URL de la aplicación web autenticada con Kerberos para los usuarios finales.

Pasos generales para la solución 2

1. Cree una aplicación web que use la autenticación NTLM, que es el método de autenticación predeterminado.

2. Extienda la aplicación web nueva configurada para la autenticación NTLM en la zona predeterminada y configure otra zona para usar la autenticación Kerberos.

3. Permita que IIS asigne un puerto aleatorio o proporcione un puerto no estándar y configure la zona de la aplicación web extendida para la autenticación Kerberos.

4. Cree SPN para la zona configurada para la autenticación Kerberos para incluir el número de puerto y configure el explorador.

5. Confirme si la búsqueda de la aplicación web extendida mediante la autenticación Kerberos es correcta.

6. Confirme si la búsqueda de la aplicación web mediante la autenticación NTLM es correcta.

7. Asegúrese de que el rastreador tiene el nivel de permiso de lectura o un nivel de permiso superior en la aplicación web.

8. Confirme que el comportamiento de rastreo de la búsqueda es correcto.

9. Confirme que las consultas de búsqueda devuelven resultados precisos.

10. Publique la dirección URL de la aplicación web autenticada con Kerberos para los usuarios finales. Asegúrese de que la dirección URL contiene un número de puerto.

Implementación de la solución 2

Creación de una aplicación web que use la autenticación NTLM

1. En la página principal de Administración central, haga clic en la ficha Administración de aplicaciones.

2. En la sección Administración de aplicaciones web de SharePoint de la página Administración de aplicaciones, haga clic en Crear o extender una aplicación web.

3. En la página Crear o extender una aplicación web, haga clic en Crear una nueva aplicación web.

4. En la página Crear nueva aplicación web, en la sección Sitio web de IIS, acepte la configuración predeterminada, Crear un nuevo sitio web de IIS, y después escriba un nombre para el sitio web en el cuadro Descripción.

5. En el cuadro Puerto, realice una de las acciones siguientes:

   • Escriba 80 o 443. Si usa el puerto 443, debe seleccionar también Utilizar Capa de sockets seguros (SSL).

   • Escriba un número de puerto no estándar o permita que IIS asigne un número de puerto no estándar.

6. Especifique un encabezado host de IIS para el sitio web.

   Para obtener más información acerca de la configuración de SSL para un sitio web mediante un encabezado host de IIS, vea la sección sobre la configuración de encabezados host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

7. En la sección Configuración de seguridad, acepte la configuración predeterminada, NTLM.

8. En la sección Grupo de aplicaciones, acepte la configuración predeterminada, Crear nuevo grupo de aplicaciones, y especifique la cuenta de seguridad para el nuevo grupo de aplicaciones.

9. Haga clic en Aceptar.

10. Reinicie IIS.

    Para reiniciar IIS, en un símbolo del sistema, escriba el siguiente comando y, a continuación, presione ENTRAR:

    Iisreset /restart /noforce

11. Cierre el símbolo del sistema.

12. Actualice DNS/WINS para resolver el encabezado host de IIS en la dirección IP del servidor cliente web.

Extensión de una aplicación web para el uso de la autenticación Kerberos

1. En la página Crear o extender una aplicación web, haga clic en Extender una aplicación web existente.

2. En el menú Aplicación web de la sección Aplicación web de la página Extender una aplicación web a otro sitio web de IIS, haga clic en Cambiar aplicación web.

3. En la página Seleccionar aplicación web, haga clic en la aplicación web que acaba de crear.

4. En la sección Sitio web de IIS, establezca la configuración de la aplicación web extendida.

5. En el cuadro Descripción, puede escribir una descripción para la aplicación web extendida.

6. Realice uno de los procedimientos siguientes:

   1. En el cuadro Puerto, escriba el número de puerto que desee usar.

   2. Permita que IIS asigne un número de puerto aleatorio.

7. En la sección Configuración de seguridad, seleccione Negociar (Kerberos).

8. En la sección Dirección URL de carga equilibrada, seleccione la zona que desee usar (por ejemplo, Intranet).

9. Haga clic en Aceptar.

10. Reinicie IIS.

    Para reiniciar IIS, en un símbolo del sistema, escriba el siguiente comando y, a continuación, presione ENTRAR:

    iisreset /restart /noforce

    Realice el procedimiento en todos los servidores cliente web de la granja de servidores.

11. Cierre el símbolo del sistema.

Creación de SPN en Active Directory y configuración del explorador

1. Use la herramienta Setspn.exe, incluida con las herramientas de soporte técnico de Windows Server 2003, para crear dos SPN para la aplicación web. Use la sintaxis que se muestra a continuación.

   **Setspn.exe -A HTTP/**nombreDeServidor:Puerto dominioAD/nombreDeUsuario

   Donde HTTP es la clase de servicio, nombreDeServidor es el nombre NetBIOS o el FQDN, Puerto es el puerto no estándar o aleatorio asignado a la aplicación web extendida, dominioAD es el dominio de Active Directory y nombreDeUsuario es la identidad del grupo de aplicaciones de la aplicación web extendida.

2. Si va a usar Internet Explorer como explorador, debe configurarlo para reconocer los números de puerto en los SPN. Para obtener información acerca de la configuración de Internet Explorer para incluir los números de puerto en los SPN, vea el artículo de Knowledge Base 908209 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0xC0A).

Confirmación de que con la autenticación Kerberos es posible desplazarse hasta la aplicación web

1. Inicie sesión en un equipo que esté en el mismo dominio que la granja de servidores.

   Importante

   No compruebe el comportamiento correcto de la autenticación Kerberos directamente en uno de los equipos que hospede los sitios web con la autenticación Kerberos. Compruebe este comportamiento en otro equipo del dominio.

2. Abra el explorador web en este otro equipo y busque la dirección URL de la aplicación web que se encuentra en la zona configurada para la autenticación Kerberos.

   Se debe mostrar la página principal de la aplicación web autenticada con Kerberos. Para obtener más información acerca de la confirmación del uso de la autenticación Kerberos para obtener acceso a la aplicación web, vea la sección sobre la confirmación del acceso correcto a las aplicaciones web con la autenticación Kerberos en Configuración de la autenticación Kerberos (Office SharePoint Server).

Confirmación de la búsqueda correcta de la aplicación web con la autenticación NTLM

1. Inicie sesión en un equipo que esté en el mismo dominio que la granja de servidores.

   No compruebe el comportamiento correcto de la autenticación NTLM directamente en uno de los equipos que hospedan los sitios web que está buscando. Compruebe este comportamiento en otro equipo del dominio.

2. Abra el explorador web en este otro equipo y busque la dirección URL de la aplicación web que se encuentra en la zona configurada para la autenticación NTLM.

3. Se debe mostrar la página principal de la aplicación web autenticada con NTLM. Si la página principal no se muestra, investigue y corrija el error.

Comprobación de que al rastreador se le ha concedido el nivel de permiso de lectura o un nivel superior en la aplicación web

• Para que la aplicación web autentique al rastreador, el rastreador debe recibir el nivel de permiso de lectura o un nivel de permiso superior en esa aplicación web. En caso contrario, se producirá un error en el rastreo. Asegúrese de que se da una de las siguientes condiciones:

  • Existe una regla de rastreo que especifica una cuenta de dominio a la que se ha concedido el nivel de permiso de lectura o un nivel de permiso superior en la aplicación web.

  • La cuenta de dominio asignada a la cuenta predeterminada de acceso al contenido ha recibido el nivel de permiso de lectura o un nivel de permiso superior en la aplicación web.

  Para obtener información acerca de las reglas de rastreo y la cuenta predeterminada de acceso al contenido, vea Configuración del modo de autenticación del rastreador (Office SharePoint Server 2007).

Confirmación de que el comportamiento de rastreo de la búsqueda es correcto

1. En la sección Búsqueda de la página Administración de servicios compartidos, haga clic en Configuración de búsquedas.

2. En la página Configurar opciones de búsqueda, en la sección Configuración del rastreo, haga clic en Orígenes de contenido y programaciones de rastreo.

3. En la página Administrar orígenes de contenido, seleccione el origen de contenido que incluye la dirección URL para la aplicación web NTLM creada anteriormente, haga clic en la flecha que se muestra y, a continuación, haga clic en Iniciar rastreo completo en el menú que se muestra.

   Nota

   El valor de la columna Estado cambia a Rastreo completo para el origen de contenido seleccionado en este paso. No obstante, el valor de la columna Estado de la página no cambia automáticamente al completar el rastreo. Para actualizar la columna Estado, debe hacer clic en Actualizar para actualizar la página Administrar orígenes de contenido.

   Espere a que se complete el rastreo y, a continuación, busque en los registros de rastreo el origen de contenido rastreado para confirmar que el rastreo no ha generado errores de "acceso denegado". Si el rastreo ha generado errores de "acceso denegado", es posible que la cuenta de acceso al contenido usada por el rastreador no tenga acceso a los sitios web de la aplicación web. Debe corregir este error para poder continuar con el paso siguiente, ya que debe completar un rastreo completo de la aplicación web autenticada con Kerberos para poder confirmar si las consultas de búsqueda devuelven resultados precisos. Para obtener más información acerca de la cuenta de acceso al contenido, vea Comprobación de que al rastreador se le ha concedido el nivel de permiso de lectura o un nivel superior en la aplicación web anteriormente en esta sección.

Confirmación de que las consultas de búsqueda devuelven resultados precisos

1. Inicie sesión en un equipo que esté en el mismo dominio que la granja de servidores. Asegúrese de que el equipo no es un servidor cliente web de la granja.

2. Abra un explorador web en ese equipo y desplácese hasta el sitio de nivel superior de la aplicación web que rastreó.

3. Cuando se muestre la página principal, seleccione el ámbito de búsqueda Este sitio.

4. Escriba una palabra clave en el campo Buscar y presione ENTRAR.

   Sugerencia

   Use una palabra clave que exista en el sitio web.

5. Confirme si se devuelven resultados de la consulta de búsqueda para la aplicación web. En caso negativo, confirme lo siguiente:

   • La palabra clave que ha escrito es una palabra que existe en la aplicación web.

   • Busque en los registros de rastreo el origen de contenido rastreado para confirmar si la indización se está ejecutando correctamente.

   • El servicio Office SharePoint Server Search se está ejecutando en los servidores de índices y de consulta.

   • Si el servidor de índices no es también un servidor de consultas, compruebe que no haya problemas con la propagación de la búsqueda desde el servidor de índices hasta los servidores de consultas.

6. Publique la dirección URL de la aplicación web autenticada con Kerberos para los usuarios finales y asegúrese de que la dirección URL contenga un número de puerto.

Vea también

Otros recursos

Blog acerca de SharePoint de Joel Oleson (en inglés)