Служба Claims to Windows Token Service (C2WTS) и службы Reporting Services
Утверждение SharePoint для службы маркеров Windows (c2WTS) требуется с Reporting Services режиме SharePoint, если вы хотите использовать проверку подлинности Windows для источников данных, которые находятся за пределами фермы SharePoint. Это верно, даже если пользователь обращается к источникам данных с помощью проверки подлинности Windows, так как обмен данными между интерфейсным веб-интерфейсом (WFE) и общей службой Reporting Services всегда будет иметь значение Проверка подлинности с использованием утверждений.
Служба c2WTS необходима, даже если источники данных находятся на одном компьютере с общей службой. Однако в этом случае ограниченное делегирование не требуется.
Токены, созданные службой c2WTS, работают только при наличии ограниченного делегирования (ограничение набором определенных служб) и заданном параметре "Использовать любой протокол проверки подлинности". Как уже отмечалось, если источники данных находятся на одном компьютере с общей службой, ограниченное делегирование не требуется.
Если в среде используется делегирование, ограниченное Kerberos, то внешние источники данных и служба SharePoint Server должны находиться в одном домене Windows. Любая служба, использующая службу токенов Claims to Windows Service (c2WTS), должна применять делегирование, ограниченное Kerberos, чтобы разрешить c2WTS использовать передачу протокола Kerberos для перевода утверждений в учетные данные Windows. Эти требования являются достоверными для всех общих служб SharePoint. Дополнительные сведения см. в статье Обзор проверки подлинности Kerberos для продуктов Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx).
Эта процедура описана в данном разделе.
| Область применения: SharePoint 2013 | SharePoint 2010 |
Предварительные требования
Примечание
Примечание. Некоторые шаги настройки могут отличаться или могут не работать в определенных топологиях фермы. Например, установка одиночного сервера не поддерживает службы c2WTS Windows Identity Foundation, поэтому в этой конфигурации фермы требования сценариев делегирования токенов Windows невозможны.
Основные шаги для настройки службы c2WTS
Настройка учетной записи службы c2WTS. Добавьте учетную запись службы к группе локальных администраторов на каждом сервере приложений с c2WTS. Кроме того, убедитесь, что учетная запись имеет следующие права локальной политики безопасности:
работа в качества части операционной системы;
олицетворение клиента после проверки подлинности;
Вход в систему в качестве службы.
Учетная запись, используемая для c2WTS, также должна быть настроена для ограниченного делегирования с переходом на протоколы и разрешения для делегирования службам, с которыми необходимо взаимодействовать (т. е. подсистема SQL Server, SQL Server Analysis Services). Для настройки делегирования можно использовать оснастку "Пользователи и компьютеры Active Directory".
Щелкните правой кнопкой мыши каждую учетную запись службы и откройте диалоговое окно свойств. В диалоговом окне перейдите на вкладку Делегирование .
Примечание
Примечание. Вкладка делегирования отображается только в том случае, если объекту назначено имя субъекта-службы. c2WTS не требует имени субъекта-службы для учетной записи c2WTS, однако без имени субъекта-службы вкладка Делегирование не будет видна. Другой способ настройки ограниченного делегирования заключается в использовании специальной программы, например ADSIEdit.
Основными параметрами, приведенными на вкладке делегирования, являются следующие:
Выберите "Доверять этому пользователю для делегирования только указанным службам"
Выберите "Использовать любой протокол проверки подлинности".
Дополнительные сведения см. в разделе "Настройка ограниченного делегирования Kerberos для компьютеров и учетных записей служб" следующего технического документа Настройка проверки подлинности Kerberos для продуктов SharePoint 2010 и SQL Server 2008 R2
Настройка c2WTS AllowedCallers
Для c2WTS требуются удостоверения вызывающих лиц, явно перечисленные в файле конфигурации ,c2wtshost.exe.config. c2WTS не принимает запросы от всех пользователей, прошедших проверку подлинности, в системе, если для этого не настроено. В этом случае вызывающим является группа Windows WSS_WPG. Файл c2wtshost.exe.confi хранится в следующем расположении:
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
В следующем примере показан файл конфигурации:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Запустите службу c2WTS операционной системы:
Задайте использование службой учетной записи, настроенной в предыдущем шаге.
Измените тип запуска на "Автоматический" и запустите службу.
Запустите SharePoint "Утверждения к службе маркеров Windows". Запустите приложение Claims to Windows Token Service (Утверждения к службе маркеров Windows) в центре администрирования SharePoint на странице Управление службами на сервере . Служба должна быть запущена на сервере, который будет выполнять действие. Например, если у вас есть сервер, который является WFE, и другой сервер, который является сервером приложений, на котором запущена общая служба Reporting Services, необходимо запустить c2WTS только на сервере приложений. Служба c2WTS не требуется на интерфейсном веб-сервере.
См. также:
Общие сведения о утверждениях в службе маркеров Windows (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Обзор проверки подлинности Kerberos для продуктов Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)