Autenticação usando Tíquete de Kerberos
Você pode autenticar para as instâncias corretamente configuradas de Visual Studio Team Foundation Server usando o Kerberos sobre o protocolo de Negociação (SPNEGO). Usando a autenticação com um tíquete de Kerberos, você pode autenticar os clientes ao seu servidor com mais segurança, sem fornecer sua senha. Depois de obter um tíquete de Kerberos, você pode configurar seu cliente para Team Explorer Everywhere usar o Kerberos.
Neste tópico
Team Foundation Server Plug-in for Eclipse
Cross-platform Command-line Client for Team Foundation Server
Configure Team Foundation Server to use Kerberos Tickets
Troubleshooting
Plug-in Team Foundation Server para o Eclipse
Quando você for solicitado para obter informações sobre autenticação no Plug-in do Team Foundation Server para Eclipse, você pode especificar Autenticar como usuário conectado no momento em vez de fornecer suas credenciais de domnínio Windows. Se você especificar esta opção, você fará a autenticação usando seu tíquete de Kerberos.
Se a opção Autenticar como usuário atualmente conectado estiver disponível na caixa de diálogo Adicionar Novo Servidor, você deve assegurar que o Kerberos está configurado corretamente em sua instância de Team Foundation Server e em seu computador local.
Para obter mais informações sobre como conectar a uma instância de Team Foundation Server, consulte Connecting to Team Projects.
Cliente de Linha de comando da Plataforma Cruzada para Team Foundation Server
Para usar a autenticação Kerberos no Cliente de linha de comando de plataforma híbrida para Team Foundation Server, você deve definir a propriedade de perfil useDefaultCredentials para o valor true. Por exemplo, para habilitar autenticação Kerberos para o perfil ProfileName, use o seguinte comando:
tf profile -edit -boolean:useDefaultCredentials=true ProfileName
Se você receber um erro de autenticação, você deve ter certeza que aquele Kerberos está configurado corretamente em sua instância de Team Foundation Server e em seu computador local.
Configure o Team Foundation Server 2008 para usar tíquetes de Kerberos
.gif "Observação") Observação |
|---|
O Visual Studio Team Foundation Server 2010 é configurado, por padrão, para aceitar autenticação Kerberos. Você só terá que seguir as etapas nesta seção se estiver usando o Visual Studio Team System 2008 Team Foundation Server. |
Por padrão, o Team Foundation Server e os Serviços de Informações da Internet não são configurados para permitir a autenticação Kerberos. Seu administrador de rede pode ter que configurar o Kerberos manualmente.
Configure Serviços de Informações da Internet para suportar Kerberos
O Internet Information Services (IIS) devem ser configurado para permitir a autenticação Kerberos pelo protocolo Negotiate. Para obter mais informações, consulte a seguinte página no site da Microsoft: 215383: Como configurar o IIS para suportar ambos os protocolos Kerberos e NTLM na autenticação de rede.
Registre o nome correto da entidade de serviço (SPN) para o servidor
Depois que você configurar o IIS para permitir o protocolo de Negociação, você pode ter que configurar o SPN para sua instância de Team Foundation Server. Por exemplo, associar seu servidor que está executando o Team Foundation Server ao usuário Domínio\UserName, use o seguinte comando:
setspn -a http/tfs.example.com Domain\UserName
Para obter mais informações, consulte a seguinte página no site da Microsoft: Visão Geral do Setspn: Diretório Ativo.
Solução de problemas
As seguintes seções descrevem métodos para resolver problemas comuns que você pode encontrar quando tentar usar a autenticação Kerberos.
Verifique se a autenticação Kerberos está habilitada em sua instância de Team Foundation Server
Esta seção se aplica a clientes de Team Foundation Server em computadores que não estão executando um sistema operacional Windows. Clientes Team Explorer Everywhere que executam no sistema operacional Windows usam a Interface SSPI da Microsoft para autenticação. Em outros sistemas operacionais, clientes Team Explorer Everywhere suportam as implementações de Kerberos do Instituto de Massachusetts de Tecnologia (MIT) e da Heimdal.
Para testar a autenticação Kerberos, acesse sua instância de Team Foundation Server usando seu Uniform Resource Identifier (URI) em um navegador que suporta a autenticação Kerberos. Internet Explorer, Mozilla Firefox e Apple Safari suportam autenticação usando um tíquete de Kerberos pelo protocolo Negotiate. Por exemplo, você pode usar os seguintes endereços:
Quando você abrir esta página, uma senha não deve ser solicitada e um erro não deve indicar que a Listagem de Diretório está Negada. Se uma senha for solicitada, a autenticação Kerberos não está funcionando corretamente.
Se você estiver usando o Firefox, você também terá que verificar se o URI de sua instância de Team Foundation Server está na lista de URIs Confiáveis e Negociáveis (rede. negocia-auth.trusted-uris) em sua configuração de Firefox. Para obter mais informações, consulte a seguinte página no site da MozillaZine: About:config.
Verifique se você obteve um Tíquete da Concessão de Tíquete (TGT) Kerberos
No prompt de comando, execute o seguinte comando:
klist -5fea
Um tíquete válido deveria aparecer para o serviço principal krbtgt/Domínio@. Se você não tiver um tíquete para a entidade de serviço krbtgt , você não poderá autenticar usando o Kerberos. Consulte seu administrador de rede ou sua documentação do sistema operacional para saber mais informações sobre como obter um Kerberos TGT.
Verifique se as bibliotecas de Kerberos corretas estão carregadas
Clientes de Team Explorer Everywhere suportam distribuições de MIT e Kerberos baseadas em Heimdal que suportam Kerberos 5 e Interface de Programa de Aplicação aos Serviçços de Segurança Geral (GSSAPI). A versão mais recente do MIT Kerberos é recomendada, principalmente quando o Active Directory é usado como Centro de Cistribuição de Chaves (KDC). Se você atualizar as bibliotecas de Kerberos, voce pode ter que anular o caminho de pesquisa padrão usando a variável de ambiente LD_LIBRARY_PATH (na maioria dos sistemas operacionais), a variável de ambiente de SHLIB_PATH (em HP-UX) ou a variável do ambiente de LIBPATH (em AIX).
Para obter mais informações, entre em contato com o administrador de sistema ou fornecedor Kerberos.
Consulte também
Outros recursos
Guia de Introdução com Team Explorer Everywhere e Team Foundation Server