Freigeben über

Authentifizierung per Kerberos-Ticket

  • Artikel

Mit Kerberos und Negotiate-Protokoll (SPNEGO) können Sie die Authentifizierung anhand ordnungsgemäß konfigurierter Instanzen von Visual Studio Team Foundation Server vornehmen. Bei Authentifizierung mit einem Kerberos-Ticket ist eine sicherere Authentifizierung unterstützter Clients beim Server möglich, ohne dass ein Kennwort angegeben werden muss. Wenn Sie ein Kerberos-Ticket erhalten haben, können Sie den Client für Team Explorer Everywhere 2010 für die Verwendung von Kerberos konfigurieren.

In diesem Thema

  • Team Foundation Server-Plug-In für Eclipse

  • Plattformübergreifender Befehlszeilenclient für Team Foundation Server

  • Konfigurieren von Team Foundation Server 2008 für die Verwendung von Kerberos-Tickets

  • Problembehandlung

Team Foundation Server-Plug-In für Eclipse

Wenn Sie im Team Foundation Server-Plug-In für Eclipse zum Eingeben von Authentifizierungsinformationen aufgefordert werden, können Sie Als derzeit angemeldeten Benutzer authentifizieren angeben, statt die Windows-Domänenanmeldeinformationen einzugeben. Wenn Sie diese Option angeben, erfolgt die Authentifizierung über das Kerberos-Ticket.

Wenn im Dialogfeld Neuen Server hinzufügen die Option Als derzeit angemeldeten Benutzer authentifizieren verfügbar ist, müssen Sie sicherstellen, dass Kerberos in Ihrer Instanz von Team Foundation Server und auf dem lokalen Computer richtig konfiguriert ist.

Weitere Informationen zum Herstellen einer Verbindung mit einer Instanz von Team Foundation Server finden Sie unter Herstellen von Verbindungen mit Teamprojekten.

Plattformübergreifender Befehlszeilenclient für Team Foundation Server

Die Kerberos-Authentifizierung können Sie im Plattformübergreifender Befehlszeilenclient für Team Foundation Server nur verwenden, wenn Sie die useDefaultCredentials für die Profileigenschaften auf den Wert true festlegen. Um beispielsweise die Kerberos-Authentifizierung für das Profil ProfileName zu aktivieren, verwenden Sie den folgenden Befehl:

tf profile -edit -boolean:useDefaultCredentials=true  ProfileName

Wenn ein Authentifizierungsfehler ausgegeben wird, müssen Sie sicherstellen, dass Kerberos in Ihrer Instanz von Team Foundation Server und auf dem lokalen Computer richtig konfiguriert ist.

Konfigurieren von Team Foundation Server 2008 für die Verwendung von Kerberos-Tickets

Tipp

Visual Studio Team Foundation Server 2010 ist standardmäßig so konfiguriert, dass die Kerberos-Authentifizierung akzeptiert wird. Die Schritte in diesem Abschnitt müssen Sie nur ausführen, wenn Sie Visual Studio Team System 2008 Team Foundation Server verwenden.

Standardmäßig sind Team Foundation Server und Internetinformationsdienste nicht für die Kerberos-Authentifizierung konfiguriert. Der Netzwerkadministrator muss Kerberos ggf. manuell konfigurieren.

Konfigurieren von Internetinformationsdienste für die Unterstützung von Kerberos

Internetinformationsdienste (IIS) muss für das Negotiate-Protokoll der Kerberos-Authentifizierung konfiguriert werden. Weitere Informationen finden Sie auf der folgenden Seite der Microsoft-Website: 215383: So konfigurieren Sie IIS darauf, sowohl das Kerberos- als auch das NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen.

Registrieren des richtigen Dienstprinzipalnamens (Service Principal Name, SPN) für den Server

Wenn Sie IIS für das Negotiate-Protokoll konfiguriert haben, müssen Sie möglicherweise den SPN für die Instanz von Team Foundation Server konfigurieren. Um beispielsweise den Server mit Team Foundation Server an den Benutzer Domain\UserName zu binden, verwenden Sie den folgenden Befehl:

setspn -a http/tfs.example.com Domain\UserName

Weitere Informationen finden Sie auf der folgenden Seite der Microsoft-Website: Setspn-Übersicht: Active Directory.

Problembehandlung

In den folgenden Abschnitten werden Methoden zur Behebung häufiger Probleme bei der Verwendung der Kerberos-Authentifizierung beschrieben.

Überprüfen, ob die Kerberos-Authentifizierung in der Instanz von Team Foundation Server aktiviert ist

Dieser Abschnitt gilt für Clients von Team Foundation Server auf Computern, auf denen kein Windows-Betriebssystem ausgeführt wird. Für die Authentifizierung von Team Explorer Everywhere 2010-Clients unter einem Windows-Betriebssystem wird Microsoft Security Support Provider Interface (SSPI) verwendet. Unter anderen Betriebssystemen unterstützen Team Explorer Everywhere 2010-Clients die Kerberos-Implementierung des Massachusetts Institute of Technology (MIT) sowie Heimdal.

Zum Testen der Kerberos-Authentifizierung greifen Sie in einem Browser, der die Kerberos-Authentifizierung unterstützt, auf Ihre Instanz von Team Foundation Server über deren Uniform Resource Identifier (URI) zu. Internet Explorer, Mozilla Firefox und Apple Safari unterstützen die Authentifizierung per Kerberos-Ticket über das Negotiate-Protokoll. Beispielsweise können Sie die folgende Adresse verwenden:

http://tfs.example.com:8080/

Wenn Sie diese Seite öffnen, werden Sie normalerweise nicht nach einem Kennwort gefragt, und es sollte kein Fehler ausgegeben werden, dass die Anzeige der Verzeichnisliste verweigert wird. Wenn Sie nach einem Kennwort gefragt werden, wird die Kerberos-Authentifizierung nicht ordnungsgemäß ausgeführt.

Wenn Sie Firefox verwenden, müssen Sie zudem überprüfen, ob der URI der Instanz von Team Foundation Server in der Liste vertrauenswürdiger URIs (network. negotiate-auth.trusted-uris) der Firefox-Konfiguration enthalten ist. Weitere Informationen finden Sie auf der folgenden Seite der MozillaZine-Website: About:config.

Überprüfen, ob Sie ein Kerberos Ticket-Granting Ticket (TGT) erhalten haben

Führen Sie an einer Eingabeaufforderung folgenden Befehl aus:

klist -5fea

Für den Dienstprinzipal krbtgt/Domäne@Domäne muss ein gültiges Ticket angezeigt werden. Wenn Sie für den Dienstprinzipal krbtgt kein Ticket besitzen, ist die Authentifizierung mit Kerberos nicht möglich. Wenden Sie sich an den Netzwerkadministrator, oder suchen Sie in der Betriebssystemdokumentation nach Informationen zum Abrufen eines Kerberos TGT.

Überprüfen, ob die richtigen Kerberos-Bibliotheken geladen wurden

Team Explorer Everywhere 2010-Clients unterstützen MIT- und Heimdal-basierte Kerberos-Verteilungen, die ihrerseits Kerberos 5 und die General Security Services-Anwendungsprogrammierschnittstelle (GSSAPI) unterstützen. Die letzte Version der Kerberos-Implementierung des MIT wird empfohlen, insbesondere, wenn Active Directory als Key Distribution Center (KDC) verwendet wird. Wenn Sie Kerberos-Bibliotheken aktualisieren, müssen Sie möglicherweise mit der Umgebungsvariable LD_LIBRARY_PATH (unter den meisten Betriebssystemen), der Umgebungsvariable SHLIB_PATH (unter HP-UX) oder der Umgebungsvariable LIBPATH (unter AIX) den Standardsuchpfad überschreiben.

Weitere Informationen erhalten Sie vom Systemadministrator oder Kerberos-Anbieter.

Siehe auch

Weitere Ressourcen

Befehl "Profile"

Erste Schritte mit Team Explorer Everywhere und Team Foundation Server