Настройка проверки подлинности (Office SharePoint Server)

В этой статье:

• Настройка анонимного доступа (Office SharePoint Server)

• Настройка краткой проверки подлинности (Office SharePoint Server)

• Настройка проверки подлинности на основе форм (Office SharePoint Server)

• Настройка проверки подлинности службой единого входа с использованием служб ADFS (Office SharePoint Server)

• Настройка проверки подлинности Kerberos (Office SharePoint Server)

Проверка подлинности — это процесс проверки удостоверения клиента, обычно с использованием специального органа. Проверка подлинности веб-сайта помогает установить, что пользователь, который предпринимает попытку доступа к ресурсам веб-сайта, проходит проверку. Приложение проверки подлинности получает учетные данные от пользователя, запрашивающего доступ на веб-сайт. Учетные данные могут быть в виде удостоверений различных типов, например в виде имени пользователя и пароля. Приложение проверки подлинности пытается проверить учетные данные в соответствии с имеющимися данными. Если учетные данные являются верными, пользователь, предоставивший эти данные, получает разрешение на доступ.

Настройка проверки подлинности Office SharePoint Server

Чтобы определить наиболее подходящий механизм проверки подлинности для использования в Office SharePoint Server, рассмотрим следующие факторы.

• Чтобы использовать механизм проверки подлинности Windows, требуется среда, которая поддерживает учетные записи пользователей, допускающие проверку надежным органом.

• Если используется механизм проверки подлинности Windows, операционная система выполняет задачи управления учетными записями пользователей. Если используется поставщик проверки подлинности, отличный от Windows, например проверка подлинности формы, необходимо спланировать и внедрить систему управления учетными записями, а также определить, где хранить учетные записи пользователей.

• Возможно, потребовалось бы внедрить модель олицетворения или делегирования, которая передает контекст безопасности системы управления пользователя пользователя между уровнями. Это позволяет операционной системе олицетворять пользователя и делегировать контекст безопасности пользователя следующей подсистеме.

Приложение Microsoft Office SharePoint Server — это распределенное приложение, которое разделено логически на три уровня: уровень интерфейсного веб-сервера, уровень сервера приложений и уровень базы данных. Каждый уровень является надежной подсистемой, и для доступа на каждый уровень может требоваться проверка подлинности. Для проверки учетных данных требуется поставщик проверки подлинности. Поставщики проверки подлинности — это программные компоненты, которые поддерживают определенные механизмы проверки подлинности. Проверка подлинности Office SharePoint Server 2007 строится на модели проверки подлинности ASP.NET и включает три поставщика проверки подлинности:

• Поставщик проверки подлинности Windows

• Поставщик проверки подлинности форм

• Поставщик веб-проверки подлинности SSO

Можно использовать службу каталогов Active Directory для проверки подлинности или спроектировать срежу для проверки учетных данных пользователя по другим источникам данных, например базе данных Microsoft SQL Server, каталогу LDAP или любому другому каталогу, содержащему поставщика ASP.NET 2.0. Поставщик контроля членства определяет тип хранилища данных, которое планируется использовать. Поставщик контроля членства ASP.NET 2.0 по умолчанию использует базу данных SQL Server. Office SharePoint Server 2007 включает поставщика контроля членства LDAP v3, а ASP.NET 2.0 включает поставщика контроля членства SQL Server.

Можно также развернуть несколько поставщиков проверки подлинности, чтобы включить, например, доступ в интрасеть с использованием проверки подлинности Windows и внешний доступ с использованием проверки подлинности форм. Использование нескольких поставщиков проверки подлинности требует использования нескольких веб-приложений. Каждое веб-приложение должно иметь выделенную зону и одного поставщика проверки подлинности.

Поставщики проверки подлинности используются для проверки относительно учетных записей пользователя и группы, которые хранятся в Active Directory, в базе данных SQL Server или службе каталогов LDAP, отличной от Active Directory (например, NDS). Дополнительные сведения о поставщиках контроля членства ASP.NET см. в разделе Настройка приложения ASP.NET для использования контроля членства (https://go.microsoft.com/fwlink/?linkid=87014&clcid=0x419).

Поставщик проверки подлинности Windows

Поставщик проверки подлинности Windows поддерживает следующие методы проверки подлинности.

• Анонимная проверка подлинности

  Благодаря анонимной проверки подлинности пользователи могут находить ресурсы в общедоступных областях веб-сайтов, избегая необходимости предоставлять учетные данные проверки подлинности. Службы IIS создают учетную запись IUSR_имя_компьютера для проверки подлинности анонимных пользователей в ответ на запрос на веб-контент. Учетная запись имя_компьютера, где имя_компьютера — имя сервера с работающими службами IIS, предоставляет пользователю анонимный доступ к ресурсам в контексте учетной записи IUSR. Можно сбросить анонимный доступ пользователя и использовать любую другую допустимую учетную запись Windows. В изолированной среде учетная запись IUSR_имя_компьютера находится на локальном сервере. Если этот сервер является контроллером домена, учетная запись IUSR_имя_компьютера определяется для домена. По умолчанию анонимный доступ отключается при создании нового веб-приложения. Это обеспечивает дополнительный уровень безопасности, поскольку службы IIS отклоняют запросы на анонимный доступ до их обработки при отключении анонимного доступа.

• Базовая проверка подлинности

  Для использования основной проверки подлинности требуются предварительно назначенные учетные данные Windows для доступа пользователей. Основная проверка подлинности позволяет веб-браузеру предоставлять учетные данные при отправке запросов во время передачи HTTP-данных. Поскольку учетные данные пользователя не шифруются для передачи в сети, а отправляются в виде открытого текста, основную проверку подлинности не рекомендуется использовать при HTTP-подключении по незащищенному каналу. Для использования основной проверки подлинности необходимо включить шифрование по протоколу SSL.

• Краткая проверка подлинности

  Краткая проверка подлинности предусматривает те же функциональные возможности, что и обычная проверка подлинности, но с усилением безопасности. Учетные данные пользователей шифруются, а не отправляются по сети открытым текстом. Учетные данные пользователей отправляются в форме хэша MD5, где исходное имя пользователя и пароль расшифровать невозможно. Краткая проверка подлинности использует запросно-ответный протокол, который требует от инициатора проверки подлинности ввести надлежащие учетные данные в ответ на запрос сервера. Чтобы пройти проверку подлинности на сервере, клиент должен отправить в ответ хэш MD5, содержащий строку с общим секретным паролем. Алгоритм хэш-функции MD5 подробно описан в стандарте RFC 1321. Стандарт RFC 1321 (http://www.ietf.org///.

  Для использования дайджест-проверки подлинности необходимо принять во внимание представленные ниже требования.

  • Пользователь и сервер IIS должны принадлежать одному домену или быть доверенными в нем.

  • Пользователи должны иметь допустимую учетную запись пользователя Windows, хранящуюся в службе каталогов Active Directory контроллера домена.

  • Контроллер домена должен работать под управлением Microsoft Windows Server 2003.

  • На контроллере домена должен быть установлен файл IISSuba.dll. Этот файл копируется автоматически во время установки Windows Server 2003.

• Встроенная проверка подлинности Windows

  Встроенная проверка подлинности Windows может быть реализована с использованием либо NTLM либо ограниченного делегирования Kerberos. Ограниченное делегирование Kerberos является самым защищенным методом проверки подлинности. Встроенная проверка подлинности Windows хорошо работает в среде интрасети, где пользователи имеют учетные записи домена Windows. Во встроенной проверке подлинности Windows браузер пытается использовать учетные данные текущего пользования из данных, введенных при входе в доме, и если попытка является неуспешной, пользователю выдается запрос на ввод имени пользователя и пароля. Если используется встроенная проверка подлинности Windows, пароль пользователя не передается на сервер. Если пользователь уже вошел на локальный компьютер в качестве пользователя домена, то пользователю не придется повторно проходить проверку подлинности при доступе на сетевой компьютер в данном домене.

• Проверка подлинности Kerberos

  Этот метод предназначен для серверов, на которых запущена служба Active Directory в системе Microsoft Windows 2000 Server, а также в более поздних версиях Windows. Kerberos — это безопасный протокол, который поддерживает проверку подлинности на основе билетов. При использовании проверки подлинности Kerberos сервер предоставляет билет в ответ на запрос клиентского компьютера, содержащий действительные учетные данные пользователя. Затем клиентский компьютер использует билет для доступа к сетевым ресурсам. Чтобы включить проверку подлинности Kerberos, клиентский компьютер и компьютер сервера должны иметь надежное подключение к домену KDC (Key Distribution Center). Клиентский компьютер и компьютер сервера также должны иметь возможность доступа к службе Active Directory. Дополнительные сведения о настройке виртуального сервера для использования проверки подлинности Kerberos см. в статье базе знаний Microsoft 832769: Настройка виртуального сервера служб Windows SharePoint Services на использование проверки подлинности Kerberos и переключение с проверки подлинности Kerberos обратно на проверку подлинности NTLM (https://go.microsoft.com/fwlink/?linkid=115572&clcid=0x419).

• Ограниченное делегирование Kerberos

  Ограниченная проверка подлинности является наиболее безопасной конфигурацией для связи между несколькими уровнями приложений. Можно использовать ограниченное делегирование для передачи удостоверения original caller через несколько уровней приложения: например, от веб-сервера на сервер приложения, на сервер базы данных. Ограниченное делегирование Kerberos также является наиболее безопасной конфигурацией для доступа к фоновым источникам данных с серверов приложений. Олицетворение   позволяет запускать поток только в контексте безопасности процесса, которым он владеет. В большинстве развертываний фермы серверов, где интерфейсные веб-серверы и серверы приложений запускаются на разных компьютерах, для олицетворения потребуется ограниченное делегирование Kerberos.

• Олицетворение и делегирование Kerberos

  Делегирование Kerberos позволяет проверенной записи проверять учетные записи пользователя или компьютера в том же лесе. Когда включено олицетворение, олицетворяющему объекту разрешается использовать учетные данные для выполнения зада от имени олицетворяемого пользователя или компьютера.

  Во время олицетворения приложения ASP.NET можно запускать с использованием учетных данных другого проверенного объекта. По умолчанию олицетворение ASP.NET отключено. Если олицетворение включено для приложения ASP.NET, то это приложение запускается с использованием учетных данных, которые маркер доступа рекомендует для передачи в ASP.NET. Этим маркером может быть либо маркер проверенного пользователя, например маркер для пользователя, вошедшего в систему Windows, или маркер, который служба IIS предоставляет для анонимных пользователей (обычно удостоверение IUSR_имя_компьютера).

  Когда включено олицетворение, в контексте олицетворенного пользователя выполняется только код вашего приложения. Приложения компилируются, и загружаются данные конфигурации с использованием удостоверения процесса ASP.NET.

  Дополнительные сведения об олицетворении см. в разделе Олицетворение ASP.NET (https://go.microsoft.com/fwlink/?linkid=115573&clcid=0x419).

• Проверка подлинности NTLM

  Этот метод предназначен для серверов Windows, которые не используют службу Active Directory на контроллере домена. Проверка подлинности NTLM требуется для сетей, получающих запросы проверки подлинности с клиентских компьютеров, которые не поддерживают проверку подлинности Kerberos. NTLM — это безопасный протокол, поддерживающий шифрование учетных данных пользователей и передачу их по сети. Протокол NTLM основан на шифровании имен пользователей и паролей перед их отправкой по сети. Проверка подлинности NTLM требуется в сетях, где сервер получает запросы с клиентских компьютеров, не поддерживающих проверку подлинности Kerberos. NTLM — это протокол проверки подлинности, который используется в средах рабочих групп Windows NT Server и Windows 2000 Server, а также во многих развертываниях служб Active Directory. NTLM используется в смешанных средах доменов Windows 2000 Active Directory, которые должны выполнять проверку подлинности систем Windows NT. Когда Windows 2000 Server преобразуется в собственный режим, в котором не существует контроллеров доменов Windows NT нижнего уровня, протокол NTLM отключается. В этом случае по умолчанию для предприятия используется протокол проверки подлинности Kerberos.

Поставщик проверки подлинности форм

Поставщик проверки подлинности на основе форм поддерживает сверку с учетными данными из Active Directory, базы данных (например, SQL Server) или хранилища данных LDAP (например, Novell eDirectory, Novell Directory Services (NDS) или Sun ONE). Проверка подлинности на основе форм позволяет проверять учетные данные, введенные в форму входа в систему. Запросы, не прошедшие проверку подлинности, перенаправляются на страницу входа, где пользователь должен указать допустимые учетные данные и отправить форму. Если проверка подлинности проходит успешно, система создает файл "cookie" с ключом для восстановления удостоверения при последующих запросах.

Поставщик системы проверки подлинности единого входа

Единый вход для интернет-решений также называют федеративной проверкой подлинности или делегированной проверкой подлинности, поскольку она поддерживает безопасную связь по границам сети.

Единый вход — это метод проверки подлинности, который обеспечивает доступ на несколько защищенных источников после однократной успешной проверки учетных данных пользователя. Существует несколько различных реализаций проверки подлинности единого входа. В проверке подлинности единого входа для интернет-решений поддерживается безопасная связь по границам сети и для тех пользователей, которые прошли проверку подлинности в одной организации, разрешается доступ к веб-приложениям в другой организации. Службы федерации Active Directory (ADFS) поддерживают единый вход для интернет-решений. В сценарии ADFS две организации могут создавать доверительные отношения федерации, которые позволяют пользователям в одной организации получать доступ к веб-приложения, управляемым другой организацией. Сведения об использовании ADFS для настройки проверки подлинности единого входа для интернет-решений см. в разделе Настройка проверки подлинности службой единого входа с использованием служб ADFS (Office SharePoint Server). Сведения о том, как выполнить эту процедуру с использованием программы командной строки Stsadm, см. в разделе Authentication: операция Stsadm (Office SharePoint Server).

Загрузить эту книгу

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

• Развертывание Office SharePoint Server 2007 (на английском языке)

Полный список доступных книг см. в технической библиотеке Office SharePoint Server.