Настройка обхода сайтов, использующих проверку подлинности Kerberos

Содержание:

Предварительные требования для решения

Обзор этапов для решения 1

Решение развертывания 1 (настройка нового веб-сайта для использования Kerberos)

Обзор этапов для решения 2

Решение развертывания 2 (настройка существующего веб-сайта для использования Kerberos)

Проверка подлинности Kerberos обеспечивает повышенный уровень защиты NTLM — механизма проверки подлинности веб-приложений Microsoft Office SharePoint Server 2007 по умолчанию. Однако, необходимо знать, что компонент индекса сервера индексирования, называемый иногда обходчиком, не может обходить сайты, проверку подлинности которых выполняет Kerberos, если эти сайты настроены на использование нестандартных портов. Нестандартными портами считаются все номера портов, за исключением TCP порт 80 (HTTP) и SSL порт 443 (HTTPS).

Порядок опроса зон веб-приложений влияет на порядок обхода. Обход всегда начинается с опроса зоны по умолчанию. Если эта зона использует проверку подлинности Kerberos, но не использует порт TCP порт 80 или SSL порт 443, обходчик не будет предпринимать попытку проверки подлинности с использованием следующей по порядку зоны опроса, и обход контента веб-приложения выполнен не будет. Это означает, что контент не будет индексирован и не будет возвращаться в результатах поисковых запросов. Подробные сведения о том, как работает порядок опроса с обходчиком, см. в разделе "Планирование проверки подлинности для обхода контента" в разделе Планирование способов проверки подлинности (Office SharePoint Server).

В этой статье рассматривается развертывание Office SharePoint Server 2007 как изолированно, так и в ферме серверов. Здесь представлено решение для обхода сайтов, использующих проверку подлинности Kerberos в зоне по умолчанию, и решение для обхода сайтов, использующих NTLM в зоне по умолчанию и проверку подлинности Kerberos — в другой зоне. Независимо от того, какое решение будет использовано, конечные пользователи, получающие доступ к веб-приложениям, использующим Kerberos, смогут также получать результаты запросов. Предлагаются следующие решения.

• Решение 1. Создание веб-приложения, использующего Kerberos для проверки подлинности в зоне по умолчанию, и настройка его для использования стандартного порта. Это решение является предпочтительным, поскольку пользователи, проходящие проверку подлинности с использованием Kerberos, не должны будут указывать номер порта в URL-адресе своих сайтов. Если развертывание этого решения невозможно, воспользуйтесь вторым решением.

• Решение 2. Создание веб-приложения, использующего проверку подлинности NTLM, с последующим расширением веб-приложения для использования проверки подлинности Kerberos во второй зоне. Таким образом обходчик сможет обходить контент зоны по умолчанию, используя механизм проверки подлинности NTLM. Это решение рекомендуется использовать при невозможности применения проверки подлинности Kerberos в условиях стандартного порта.

Предварительные требования для решения

Для выполнения процедур, входящих в состав данных решений, требуются следующие типы администраторов:

• администратор службы доменных имен (DNS);

• администратор сервера;

• администратор службы поиска;

• администратор фермы;

• администратор службы IIS.

Дополнительные требования:

• Конфигурация программного обеспечения, как описано в разделе Настройка проверки подлинности Kerberos (Office SharePoint Server).

• Контроллер домена Active Directory, на котором выполняется Windows Server 2003 с пакетом обновлений наиболее поздней версии и последними обновлениями, загруженными с сайта обновлений Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419).

• Инструмент Setspn.exe, входящий в Microsoft Windows Server 2003 Support Tools. Для установки Windows Server 2003 Support Tools дважды щелкните файл SUPPTOOLS.MSI в папке Support\Tools на установочном диске Windows Server 2003. Инструмент Setspn.exe также входит в состав набора инструментов Microsoft Windows 2000 Resource Kit. Его можно загрузить с сайта Windows 2000 Resource Kit Tool: Setspn.exe (https://go.microsoft.com/fwlink/?linkid=28103&clcid=0x419).

Эти решения предполагают следующее.

• Ферма серверов уже настроена и работает.

• Запущена служба Office SharePoint Server Search (oSearch) и настроены все параметры конфигурации, необходимые для обхода контента. Подробные сведения см. в разделах Планирование обхода содержимого (Office SharePoint Server) и Организация обхода содержимого (Office SharePoint Server 2007).

• У вас есть права администратора домена и возможность создать имя участника-службы (SPN).

• Имеется необходимая информация для создания SPN. Дополнительные сведения см. в разделе Настройка проверки подлинности Kerberos (Office SharePoint Server).

• Только для решения 1. Отсутствует второе веб-приложение, использующее тот же стандартный номер порта TCP (либо TCP 80, либо SSL порт 443) и имя узла.

Обзор этапов для решения 1

1. Создание веб-приложения, использующего проверку подлинности Kerberos.

2. Присвоение веб-приложению порта 80 или 443.

3. Создание SPN в Active Directory.

4. Подтверждение успешности перехода к веб-приложению.

5. Проверка предоставления обходчику прав чтения или более высоких прав для веб-приложения.

6. Подтверждение правильного поведения обходчика при поиске.

7. Подтверждение возвращения точных результатов на поисковые запросы.

8. Публикация URL-адреса для конечных пользователей.

Развертывание решения 1

Создание веб-приложения, использующего проверку подлинности Kerberos

1. Нажмите кнопку Пуск, а затем последовательно выберите пункты Все программы, Администрирование и Центр администрирования SharePoint 3.0.

2. Перейдите на вкладку Управление приложением.

3. На странице управления приложениями в разделе Управление веб-приложениями SharePoint выберите Создание или расширение веб-приложения.

4. На странице "Создание или расширение веб-приложения" выберите Создать новое веб-приложение.

5. На странице "Создать новое веб-приложение" в разделе Веб-узел IIS примите параметры по умолчанию, выберите Создать новый веб-узел IIS и укажите имя веб-сайта в поле Описание.

6. В поле Порт введите 80 или 443. Если используется порт 443, необходимо также выбрать Использовать SSL.

7. Укажите заголовок сайта IIS для веб-сайта.

   Подробные сведения о настройке SSL для веб-сайта с использованием заголовка сайта IIS см. в разделе Настройка заголовков сайта SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x419).

8. В разделе Конфигурация системы безопасности выберите Согласование (Kerberos).

9. В разделе Пул приложений примите параметры по умолчанию, выберите Создать новый пул приложений и укажите учетную запись безопасности для нового пула приложений.

10. Нажмите кнопку ОК.

11. Перезапустите IIS.

    В командной строке введите следующую команду и нажмите клавишу ВВОД:

    Iisreset /restart /noforce

12. Закройте окно командной строки.

13. Обновите DNS/WINS для сопоставления заголовка узла IIS и IP-адреса интерфейсного веб-сервера.

Создание SPN в Active Directory

• С помощью инструмента Setspn.exe из пакета Windows Server 2003 Support Tools создайте два SPN для веб-приложения, настроенного на использование проверки подлинности Kerberos. Одно имя участника-службы (SPN) должно использовать имя NetBIOS веб-приложения, а другое — полное доменное имя DNS веб-приложения. Используется следующий синтаксис:

  **Setspn.exe -A HTTP/**ServerName AdDomain/UserName

  где HTTP — это класс службы; ServerName — это либо имя NetBIOS, либо полное доменное имя (FQDN); AdDomain — домен Active Directory; UserName — удостоверение пула приложений веб-приложения.

  В следующих примерах показано, как будут выглядеть имена участников-служб (SPN), если заголовок узла, настроенный для веб-приложения, — server1.contoso.com.

  • NetBIOS SPN: HTTP/server1

  • FQDN SPN: HTTP/server1.contoso.com

Проверка выполнения перехода к веб-приложению с использованием проверки подлинности Kerberos

1. Войдите в компьютер, находящийся в том же домене, что и ферма серверов. Убедитесь, что компьютер не является интерфейсным сервером фермы.

   Важно!

   Не проверяйте поведение механизма проверки подлинности Kerberos непосредственно на компьютере, на котором размещены веб-сайты, использующие проверку подлинности Kerberos. Делайте это с отдельного компьютера в том же домене.

2. Откройте браузер на другом компьютере и перейдите по URL-адресу веб-приложения.

   Должна отобразиться домашняя страница веб-приложения с проверкой подлинности Kerberos. Дополнительные сведения о подтверждении использования проверки подлинности Kerberos для доступа к веб-приложению см. в подразделе "Подтверждение успешного доступа к веб-приложениям, использующи проверку подлинности Kerberos" раздела Настройка проверки подлинности Kerberos (Office SharePoint Server).

Проверка предоставления обходчику прав чтения или более высоких прав для веб-приложения.

• Чтобы обходчик мог пройти проверку подлинности веб-приложения, обходчику должны быть предоставлены права чтения или более высокие права для данного веб-приложения. В противном случае обход не будет выполнен. Проверьте, чтобы выполнялось одно из следующих условий.

  • Существует правило обхода, указывающее учетную запись домена, которому предоставлены права на чтение или более высокие права для веб-приложения.

  • Учетная запись домена, присвоенная учетной записи по умолчанию доступа к контенту, получила право чтения или более высокое право для данного веб-приложения.

  Подробные сведения о правилах обхода и учетной записи по умолчанию для доступа к контенту см. в разделе Настройка метода проверки подлинности обходчика (Office SharePoint Server 2007)

Подтверждение правильного поведения обходчика при поиске

1. На странице "Администрирование общих служб" в разделе Поиск щелкните Параметры поиска.

2. На странице "Настройка параметров поиска" в разделе Параметры обхода содержимого щелкните ссылку Источники содержимого и расписания обхода.

   Примечание

   Когда администратор фермы создает или расширяет веб-приложение, URL-адрес веб-приложения автоматически добавляется к источнику контента по умолчанию. Этот источник контента по умолчанию имеет имя локальных сайтов сайтов Office SharePoint Server. Этот источник контента по умолчанию можно использовать для выполнения полного обхода веб-приложения, но при этом также будет выполнен и обход всех других веб-приложений, указанных в этом источнике контента. Поскольку необходимо выполнить полный обход нового источника контента, используя источник контента по умолчанию, обход может занять достаточно много времени в зависимости от объема контента. Чтобы избежать обхода всего контента источника по умолчанию, рассмотрите возможность создания нового источника контента для обхода нового веб-приложения. Для этого потребуется удалить URL-адрес веб-приложения из источника контента по умолчанию. Подробные сведения о создании источника контента см. в разделе Добавление источника содержимого для выполнения обхода сайтов SharePoint, веб-сайтов, общих файлов или общих папок сервера Microsoft Exchange (Office SharePoint Server).

3. На странице Управление источниками содержимого наведите указатель мыши на источник контента, обход которого необходимо выполнить, щелкните появившуюся стрелку, а затем выберите Начать полный обход контента в отобразившегося меню.

   Примечание

   Значение в столбце Состояние для источника контента, выбранного на этом этапе, меняется на Полный обход контента. Однако, значение в столбце Состояние на этой странице не меняется автоматически по завершении операции обхода. Чтобы обновить столбец Состояние, необходимо обновить страницу Управление источниками содержимого, нажав кнопку Обновить.

4. Дождитесь завершения обхода. Если обход завершается неудачей с ошибкой отказа в доступе, причиной может быть либо отсутствие у учетной записи права доступа к источнику контента, либо отказ механизма проверки подлинности Kerberos. Перед дальнейшими действиями необходимо устранить ошибку, поскольку необходимо выполнить полный обход веб-приложения с проверкой подлинности Kerberos прежде чем можно будет подтвердить точность возвращаемых по поисковым запросам результатов. Дополнительные сведения об учетной записи для доступа к контенту см. в разделе Проверка предоставления обходчику прав чтения или более высоких прав для веб-приложения.

Подтверждение возвращения точных результатов на поисковые запросы

1. Войдите в компьютер, находящийся в том же домене, что и ферма серверов. Убедитесь, что компьютер не является интерфейсным сервером фермы.

2. Откройте на этом компьютере браузер и перейдите к сайту верхнего уровня веб-приложения, обход которого был выполнен.

3. На открывшейся домашней странице выберите область поиска Этот узел.

4. Введите ключевое слово в поле Поиск и нажмите клавишу ВВОД.

   Совет

   Используйте при поиске слово, которое присутствует на веб-сайте.

5. Убедитесь, что результат поискового запроса возвращен веб-приложению. В противном случае проверьте следующее.

   • Существует ли в веб-приложении введенное слово?

   • Корректно ли выполняется индексирование?

   • Запущена ли на сервере запросов и сервере индексирования служба Office SharePoint Server Search?

   • Если сервер индексирования и сервер запросов не является одним и тем же сервером, убедитесь в отсутствии ошибок при передаче поиска от сервера индексирования серверам запросов.

6. Опубликуйте URL-адрес веб-приложения с проверкой подлинности Kerberos для конечных пользователей.

Обзор этапов для решения 2

1. Создание веб-приложения, использующего механизм проверки подлинности NTLM, являющийся механизмом по умолчанию.

2. Расширение нового веб-приложения, настроенного на использование проверки подлинности NTLM в зоне по умолчанию, и настройка другой зоны на использование проверки подлинности Kerberos.

3. Присвоение службой IIS случайно выбранного порта или указание нестандартного порта с последующей настройкой зоны расширенного веб-приложения на использование проверки подлинности Kerberos.

4. Создание имен SPN для зоны, настроенной на использование проверки подлинности Kerberos, для включения номера порта ил настройки браузера.

5. Подтверждение успешного перехода к расширенному веб-приложению с использованием проверки подлинности Kerberos.

6. Подтверждение успешного перехода к веб-приложению с использованием проверки подлинности NTLM.

7. Проверка предоставления обходчику прав чтения или более высоких прав для веб-приложения.

8. Подтверждение правильного поведения обходчика при поиске.

9. Подтверждение возвращения точных результатов на поисковые запросы.

10. Публикация URL-адреса веб-приложения использующего проверку подлинности Kerberos, для конечных пользователей. Проверка наличия указания номера порта в URL-адресе.

Развертывание решения 2

Создание веб-приложения, использующего проверку подлинности NTLM

1. На домашней странице центра администрирования щелкните вкладку Управление приложениями.

2. На странице управления приложениями в разделе Управление веб-приложениями SharePoint выберите Создание или расширение веб-приложения.

3. На странице "Создание или расширение веб-приложения" выберите Создать новое веб-приложение.

4. На странице "Создать новое веб-приложение" в разделе Веб-узел IIS примите параметры по умолчанию, выберите Создать новый веб-узел IIS и укажите имя веб-сайта в поле Описание.

5. В поле Порт выполните одно из следующих действий.

   • Введите 80 или 443. Если используется порт 443, необходимо также выбрать Использовать SSL.

   • Укажите номер нестандартного порта или разрешите службе IIS присвоить нестандартный номер самостоятельно.

6. Укажите заголовок сайта IIS для веб-сайта.

   Подробные сведения о настройке SSL для веб-сайта с использованием заголовка сайта IIS см. в разделе Настройка заголовков сайта SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x419).

7. В разделе Конфигурация системы безопасности примите параметры по умолчанию (NTLM).

8. В разделе Пул приложений примите параметры по умолчанию, выберите Создать новый пул приложений и укажите учетную запись безопасности для нового пула приложений.

9. Нажмите кнопку ОК.

10. Перезапустите IIS.

    Для этого в командной строке введите следующую команду и нажмите клавишу ВВОД:

    Iisreset /restart /noforce

11. Закройте окно командной строки.

12. Обновите DNS/WINS для сопоставления заголовка узла IIS и IP-адреса интерфейсного веб-сервера.

Расширьте веб-приложение для использования проверки подлинности Kerberos

1. На странице "Создание или расширение веб-приложения" щелкните Расширить существующее веб-приложение.

2. На странице "Расширение веб-приложения в другой веб-узел IIS" в разделе Веб-приложение в меню Веб-приложение выберите пункт Изменить веб-приложение.

3. На странице "Выбор веб-приложения" выберите созданное веб-приложение.

4. В разделе Веб-узел IIS настройте параметры расширенного веб-приложения.

5. При желании в поле Описание введите описание расширенного веб-приложения.

6. Выполните одно из следующих действий.

   1. В поле Порт укажите номер порта, который планируется использовать.

   2. Разрешите службе IIS самостоятельно присвоить произвольно выбранный номер порта.

7. В разделе Конфигурация системы безопасности выберите Согласование (Kerberos).

8. В разделе URL-адрес домена со сбалансированной нагрузкой выберите зону, которую необходимо использовать (например, интрасеть).

9. Нажмите кнопку ОК.

10. Перезапустите IIS.

    Для этого в командной строке введите следующую команду и нажмите клавишу ВВОД:

    iisreset /restart /noforce

    Выполните эту процедуру на всех интерфейсных веб-серверах фермы серверов.

11. Закройте окно командной строки.

Создание адресов участников-служб (SPN) в Active Directory и настройка браузера

1. С помощью инструмента Setspn.exe из пакета Windows Server 2003 Support Tools создайте два SPN для веб-приложения. Используется следующий синтаксис:

   **Setspn.exe -A HTTP/**ServerName:Port AdDomain/UserName

   где HTTP — класс службы; ServerName — это либо имя NetBIOS, либо полное доменное имя (FQDN); Port — нестандартный порт или произвольно выбранный порт, назначенный расширенному веб-приложению; AdDomain — домен Active Directory; UserName — удостоверение пула приложений расширенного веб-приложения.

2. Если в качестве браузера используется Internet Explorer, настройте его так, чтобы он распознавал номера портов SPN. Подробные сведения о настройке Internet Explorer и добавлении номеров портов в SPN, см. статью базы знаний 908209 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x419).

Проверка выполнения перехода к веб-приложению с использованием проверки подлинности Kerberos

1. Войдите в компьютер, находящийся в том же домене, что и ферма серверов.

   Важно!

   Не проверяйте поведение механизма проверки подлинности Kerberos непосредственно на компьютере, на котором размещены веб-сайты, использующие проверку подлинности Kerberos. Делайте это с отдельного компьютера в том же домене.

2. Откройте браузер на этом компьютере и перейдите по URL-адресу веб-приложения, находящегося в зоне, настроенной на проверку подлинности Kerberos.

   Должна отобразиться домашняя страница веб-приложения с проверкой подлинности Kerberos. Дополнительные сведения о подтверждении использования проверки подлинности Kerberos для доступа к веб-приложению см. в подразделе "Подтверждение успешного доступа к веб-приложениям, использующи проверку подлинности Kerberos" раздела Настройка проверки подлинности Kerberos (Office SharePoint Server).

Подтверждение успешного перехода к веб-приложению с использованием проверки подлинности NTLM

1. Войдите в компьютер, находящийся в том же домене, что и ферма серверов.

   Не проверяйте поведение механизма проверки подлинности NTLM непосредственно на компьютере, на котором размещены веб-сайты, использующие проверку подлинности NTLM. Делайте это с отдельного компьютера в том же домене.

2. Откройте браузер на этом компьютере и перейдите по URL-адресу веб-приложения, находящегося в зоне, настроенной на проверку подлинности NTLM.

3. Должна отобразиться домашняя страница веб-приложения с проверкой подлинности NTLM. Если домашняя страница не отобразилась, найдите и устраните ошибку.

Проверка предоставления обходчику прав чтения или более высоких прав для веб-приложения

• Чтобы обходчик мог пройти проверку подлинности веб-приложения, обходчику должны быть предоставлены права чтения или более высокие права для данного веб-приложения. В противном случае обход не будет выполнен. Проверьте, чтобы выполнялось одно из следующих условий.

  • Существует правило обхода, указывающее учетную запись домена, которому предоставлены права на чтение или более высокие права для веб-приложения.

  • Учетная запись домена, присвоенная учетной записи по умолчанию доступа к контенту, получила право чтения или более высокое право для данного веб-приложения.

  Подробные сведения о правилах обхода и учетной записи по умолчанию для доступа к контенту см. в разделе Настройка метода проверки подлинности обходчика (Office SharePoint Server 2007)

Подтверждение правильного поведения обходчика при поиске

1. На странице "Администрирование общих служб" в разделе Поиск щелкните Параметры поиска.

2. На странице "Настройка параметров поиска" в разделе Параметры обхода содержимого щелкните ссылку Источники содержимого и расписания обхода.

3. На странице управления источниками контента укажите источник контента, содержащий URL-адрес для созданного ранее веб-приложения NTLM, нажмите стрелку и в раскрывшемся меню выберите Начать полный обход контента.

   Примечание

   Значение в столбце Состояние для источника контента, выбранного на этом этапе, меняется на Полный обход контента. Однако, значение в столбце Состояние на этой странице не меняется автоматически по завершении операции обхода. Чтобы обновить столбец Состояние, необходимо обновить страницу управления источниками контента, нажав кнопку Обновить.

   Дождитесь завершения обхода и просмотрите журналы обхода для источника контента, чтобы убедиться, что обход выполнен без ошибок. Если обход завершается неудачей с ошибкой отказа в доступе, причиной может быть отсутствие у учетной записи права доступа к веб-сайтам в веб-приложении. Перед дальнейшими действиями требуется устранить ошибку, поскольку необходимо выполнить полный обход веб-приложения с проверкой подлинности Kerberos, прежде чем можно будет подтвердить точность возвращаемых по поисковым запросам результатов. Дополнительные сведения об учетной записи для доступа к контенту см. в разделе Проверка предоставления обходчику прав чтения или более высоких прав для веб-приложения в этой главе.

Подтверждение возвращения точных результатов на поисковые запросы

1. Войдите в компьютер, находящийся в том же домене, что и ферма серверов. Убедитесь, что компьютер не является интерфейсным сервером фермы.

2. Откройте на этом компьютере браузер и перейдите к сайту верхнего уровня веб-приложения, обход которого был выполнен.

3. На открывшейся домашней странице выберите область поиска Этот узел.

4. Введите ключевое слово в поле Поиск и нажмите клавишу ВВОД.

   Совет

   Используйте при поиске слово, которое присутствует на веб-сайте.

5. Убедитесь, что результат поискового запроса возвращен веб-приложению. В противном случае проверьте:

   • Существует ли в веб-приложении введенное слово?

   • Просмотрите журнал обхода по данному источнику контента и убедитесь, что индексирование выполнено верно.

   • Запущена ли на сервере запросов и сервере индексирования служба Office SharePoint Server Search?

   • Если сервер индексирования и сервер запросов не является одним и тем же сервером, убедитесь в отсутствии ошибок при передаче поиска от сервера индексирования серверам запросов.

6. Опубликуйте URL-адрес веб-приложения для конечных пользователей, использующего проверку подлинности Kerberos, и проверьте наличие указания номера порта в URL-адресе.

См. также

Другие ресурсы

Блог Джоэла Олесона (Joel Oleson) о SharePoint (на английском языке)