Configurar sites autenticados por Kerberos para rastreamento

Atualizado em: 2008-08-28

Neste artigo:

Pré-requisitos das soluções

Visão geral das etapas da solução 1

Implantar a solução 1 (Configurar um novo site para usar Kerberos)

Visão geral das etapas da solução 2

Implantar a solução 2 (configurar um site existente para usar Kerberos)

A autenticação Kerberos oferece maior segurança em NTLM, que é o mecanismo de autenticação padrão para os aplicativos Web do Microsoft Office SharePoint Server 2007. Entretanto, tenha em mente que o componente de índice do servidor de indexação, às vezes chamado de rastreador, não pode rastrear sites autenticados por Kerberos se esses sites forem configurados para usar portas fora do padrão. Portas não-padrão são aquelas com qualquer número exceto TCP 80 (HTTP) e SSL 443 (HTTPS).

A ordem de pesquisa para zonas de aplicativos Web afeta o rastreamento. O rastreador sempre começa pesquisando a zona padrão. Se essa zona usar autenticação Kerberos mas não usar a porta 80 TCP ou porta SSL 443, o rastreador não tentará a autenticação usando a próxima zona na ordem de pesquisa e nenhum conteúdo do aplicativo Web será rastreado. Isso significa que o conteúdo não será indexado ou retornado nos resultados das consultas de pesquisa. Para obter mais informações sobre como a ordem de pesquisa funciona com o rastreador, consulte a seção sobre como "Planejar autenticação para rastreamento de conteúdo" na página Planejar métodos de autenticação (Office SharePoint Server).

Este artigo se aplica às implantações do Office SharePoint Server 2007 autônomas e no farm de servidores. Este artigo fornece uma solução para rastrear sites que usam autenticação Kerberos na zona padrão e uma solução para rastrear sites que usam NTLM na zona padrão e autenticação Kerberos em outra zona. Independentemente da solução usada, os usuários finais com acesso a aplicativos Web que usam Kerberos para autenticação poderão obter resultados em suas consultas de pesquisa. As soluções são:

• Solução 1: Criar um aplicativo Web que use Kerberos para autenticação na zona Padrão e configurá-lo para usar uma porta padrão. Essa é a solução preferida, pois os usuários autenticados com o uso de Kerberos não precisam especificar um número de porta na URL dos seus sites. Se não for possível implantar essa solução, use a Solução 2.

• Solução 2: Criar um aplicativo Web que use autenticação NTLM e estender esse aplicativo para usar autenticação Kerberos na segunda zona. Desse modo, o rastreador pode rastrear o conteúdo na zona padrão usando autenticação NTLM. Implante essa solução se não for possível usar autenticação Kerberos em uma porta padrão.

Pré-requisitos das soluções

Os procedimentos dessas soluções exigem os seguintes tipos de administradores:

• Administrador de DNS (Sistema de Nomes de Domínio)

• Administrador de servidor

• Administrador de serviço de pesquisa

• Administrador de farm

• Administrador de IIS (Serviços de Informações da Internet)

Outros requisitos são:

• Configuração de software conforme descrito em Configurar a autenticação Kerberos (Office SharePoint Server).

• Controlador de domínio do Active Directory que executa Windows Server 2003 com o mais recente service pack e as mais recentes atualizações aplicadas do site do Windows Update (https://go.microsoft.com/fwlink/?linkid=101614\&clcid=0x416).

• A ferramenta Setspn.exe, incluída nas Ferramentas de Suporte do Microsoft Windows Server 2003. Para instalar as Ferramentas de Suporte do Windows Server 2003, clique duas vezes em SUPPTOOLS.MSI na pasta Suporte\Ferramentas, no CD do Windows Server 2003. A ferramenta Setspn.exe também está incluída no Microsoft Windows 2000 Resource Kit. Para obtê-la, visite o site das ferramentas do Windows 2000 Resource Kit : Setspn.exe (em inglês) (https://go.microsoft.com/fwlink/?linkid=28103\&clcid=0x416) (em inglês).

Estas soluções pressupõem que:

• Seu farm de servidores já esteja configurado e em execução.

• O serviço oSearch (Office SharePoint Server Search) esteja em execução e que todas as configurações necessárias para rastrear conteúdo tenham sido implementadas. Para obter mais informações, consulte Planejar o rastreamento de conteúdo (Office SharePoint Server) e Rastreando o seu conteúdo (Office SharePoint Server 2007).

• Você tenha permissões no nível de administrador de domínio para criar um SPN (Nome Principal de Serviço).

• Você tenha as informações necessárias para criar um SPN. Para obter mais informações, consulte Configurar a autenticação Kerberos (Office SharePoint Server).

• (Solução 1 somente) Você não tenha outro aplicativo Web que esteja usando os mesmos números de porta TCP padrão (porta TCP 80 ou SSL 443) e nome de host.

Visão geral das etapas da solução 1

1. Criar um aplicativo Web que use autenticação Kerberos.

2. Atribuir a porta 80 ou 443 ao novo aplicativo Web.

3. Criar SPNs no Active Directory.

4. Confirmar se a navegação até o aplicativo Web é bem-sucedida.

5. Verificar se o rastreador recebeu o nível de permissão de leitura ou superior no aplicativo Web.

6. Confirmar o comportamento correto do rastreamento de pesquisa.

7. Confirmar se as consultas de pesquisa retornam resultados exatos.

8. Publicar a URL para os usuários finais.

Implantar a solução 1

Criar um aplicativo Web que use autenticação Kerberos.

1. Clique em Iniciar, aponte para Todos os Programas, para Ferramentas Administrativas e clique em Administração Central do SharePoint 3.0.

2. Clique na guia Gerenciamento de Aplicativos.

3. Na página Gerenciamento de Aplicativo, na seção Gerenciamento de Aplicativos Web do SharePoint, clique em Criar ou estender aplicativo Web.

4. Na página Criar ou Estender Aplicativo Web, clique em Criar um novo aplicativo Web.

5. Na página Criar Novo Aplicativo Web, na seção Site do IIS, aceite a configuração padrão Criar um novo site do IIS e digite um um nome para o site na caixa Descrição.

6. Na caixa Porta, digite 80 ou 443. Se você usar a porta 443, deverá selecionar também Usar SSL.

7. Especifique um cabeçalho de host do IIS para o site.

   Para obter mais informações sobre a configuração do SSL para um site usando um cabeçalho de host do IIS, consulte a página sobre configuração de cabeçalhos de host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285\&clcid=0x416).

8. Na seção Configuração de Segurança, selecioneNegociar (Kerberos).

9. Na seção Pool de Aplicativos, aceite a configuração padrão Criar novo pool de aplicativos e especifique a conta de segurança do novo pool de aplicativos.

10. Clique em OK.

11. Reinicie o IIS.

    Para reiniciar o IIS, no prompt de comando, digite o seguinte comando e pressione ENTER:

    Iisreset /restart /noforce

12. Feche o prompt de comando.

13. Atualize o DNS/WINS para resolver o cabeçalho de host do IIS no endereço IP do servidor Web front-end.

Criar SPNs no Active Directory.

• Use a ferramenta Setspn.exe nas Ferramentas de Suporte do Windows Server 2003 para criar dois SPNs para o aplicativo Web configurado para autenticação Kerberos. Um SPN deverá usar o nome NetBIOS do aplicativo Web; o outro deverá usar o nome de domínio totalmente qualificado do DNS (FQDN) do aplicativo Web. Use a seguinte sintaxe:

  **Setspn.exe -A HTTP/**Nome_do_Servidor AdDomain/Nome_de_Usuário

  onde HTTP é a Classe de Serviço; Nome_do_Servidor é o nome NetBIOS ou o FQDN; AdDomain é o domínio do Active Directory e Nome_de_Usuário é a identidade do pool de aplicativos do aplicativo Web.

  Os exemplos a seguir mostram a aparência dos SPNs se o cabeçalho de host configurado por você para um aplicativo Web for server1.contoso.com.

  • NetBIOS SPN: HTTP/server1

  • FQDN SPN: HTTP/server1.contoso.com

Confirmar se a navegação até o aplicativo Web com o uso da autenticação Kerberos é bem-sucedida

1. Faça logon em um computador que esteja no mesmo domínio do seu farm de servidores. Verifique se o computador não é um servidor Web front-end no farm.

   Importante

   Não confirme o comportamento da autenticação Kerberos diretamente em um computador que esteja hospedando os sites usando a autenticação Kerberos. Faça essa confirmação em um outro computador do domínio.

2. Abra um navegador da Web nesse outro computador e navegue até a URL do aplicativo Web.

   A home page do aplicativo Web autenticado por Kerberos deverá ser exibida. Para obter mais informações sobre a confirmação do uso da autenticação Kerberos para acessar o aplicativo Web, consulte a seção sobre como "Confirmar o êxito no acesso aos aplicativos Web usando autenticação Kerberos" em Configurar a autenticação Kerberos (Office SharePoint Server).

Verificar se o rastreador recebeu o nível de permissão de leitura ou superior no aplicativo Web

• Para permitir que o rastreador seja autenticado pelo aplicativo Web, é preciso que o rastreador tenha nível de permissão de leitura ou superior nesse aplicativo Web. Caso contrário, o rastreamento falhará. Verifique se uma das seguintes condições é verdadeira:

  • Há uma regra de rastreamento especificando que uma conta de domínio tem nível de permissão de leitura ou superior no aplicativo Web.

  • A conta de domínio atribuída à conta de acesso a conteúdo padrão recebeu o nível de permissão de leitura ou superior no aplicativo Web.

  Para obter mais informações sobre as regras de rastreamento e a conta de acesso a conteúdo padrão, consulte a página sobre Configurar modo de autenticação do rastreador (Office SharePoint Server 2007)

Confirmar o comportamento correto do rastreamento de pesquisa

1. Na página Administração de Serviços Compartilhados, na seção Pesquisar, clique em Definições de Pesquisa.

2. Na página Configurar Definições de Pesquisa, na seção Definições de Rastreamento, clique em Fontes de conteúdo e agendamentos de rastreamento.

   Dica

   Por padrão, quando um administrador de farm cria ou estende um aplicativo Web, a URL desse aplicativo é automaticamente adicionada à fonte de conteúdo padrão. Essa fonte de conteúdo tem, por padrão, o nome de Sites Locais do Office SharePoint Server. Você pode usar a fonte de conteúdo padrão para executar um rastreamento completo do novo aplicativo Web, mas essa opção também rastreará todos os outros aplicativos Web especificados nessa fonte de conteúdo. Como você deve executar um rastreamento completo da nova fonte de conteúdo, o uso da fonte de conteúdo padrão para esse rastreamento poderá aumentar significativamente o tempo de execução, dependendo do volume rastreado. Considere a possibilidade de criar uma nova fonte de conteúdo para rastrear o novo aplicativo Web, para evitar o rastreamento de todo o conteúdo da fonte padrão. Se você decidir fazê-lo, deverá primeiramente remover a URL do aplicativo Web da fonte de conteúdo padrão. Para obter informações sobre a criação de uma fonte de conteúdo padrão, consulte Adicionar uma fonte de conteúdo para rastrear sites do SharePoint, sites em geral, compartilhamento de arquivos ou pastas públicas do Microsoft Exchange (Office SharePoint Server).

3. Na página Gerenciar Fontes de Conteúdo, aponte para a fonte de conteúdo a ser rastreada, clique na seta exibida e, em seguida, clique em Iniciar Rastreamento Completo no menu exibido.

   Dica

   O valor na coluna Status muda para Rastreamento Completo na fonte de conteúdo selecionada nesta etapa. Entretanto, o valor na coluna Status na página não muda automaticamente quando o rastreamento é concluído. Para atualizar a coluna Status, você deverá atualizar a página Gerenciar Fontes de Conteúdo clicando em Atualizar.

4. Aguarde a conclusão do rastreamento. Se ele falhar, com a ocorrência de erros de "acesso negado", isso ocorreu porque a conta de acesso a conteúdo não tem acesso à fonte de conteúdo ou porque a autenticação Kerberos falhou. Você deverá corrigir esse erro para poder prosseguir, pois deverá concluir um rastreamento completo do aplicativo Web autenticado por Kerberos para poder confirmar se as consultas de pesquisa retornam resultados exatos. Para obter mais informações sobre a conta de acesso de conteúdo, consulte Verificar se o rastreador recebeu o nível de permissão de leitura ou superior no aplicativo Web.

Confirmar se as consultas de pesquisa retornam resultados exatos

1. Faça logon em um computador que esteja no mesmo domínio do seu farm de servidores. Verifique se o computador não é um servidor Web front-end no farm.

2. Abra o navegador da Web nesse computador e navegue para o site de nível superior do aplicativo Web rastreado.

3. Quando a home page for exibida, selecione o escopo da pesquisa Neste Site.

4. Digite uma palavra-chave no campo Pesquisa e pressione ENTER.

   Observação

   Use uma palavra-chave existente no site.

5. Confirme se os resultados de Consulta de Pesquisa são retornados para o aplicativo Web. Se isso não ocorrer, confirme os seguintes pontos:

   • A palavra-chave digitada existe no aplicativo Web.

   • A indexação está sendo executada corretamente.

   • O serviço Office SharePoint Server Search está em execução nos servidores de indexação e de consulta.

   • Se o servidor de indexação não for também servidor de consulta, verifique se não há problemas com a propagação da pesquisa do servidor de indexação para os servidores de consulta.

6. Publique a URL do aplicativo Web autenticado por Kerberos para os usuários finais.

Visão geral das etapas da solução 2

1. Criar um aplicativo Web que use autenticação NTLM, que é o método de autenticação padrão.

2. Estender o novo aplicativo Web configurado para autenticação NTLM na zona Padrão e configurar outra zona para usar autenticação Kerberos.

3. Deixar que o IIS atribua uma porta aleatória ou fornecer uma porta não-padrão escolhida por você e configurar a zona do aplicativo Web estendido para autenticação Kerberos.

4. Criar SPNs para a zona configurada para autenticação Kerberos para incluir o número da porta e configurar seu navegador.

5. Confirmar se a navegação até o aplicativo Web estendido com o uso de autenticação Kerberos é bem-sucedida.

6. Confirmar se a navegação até o aplicativo Web estendido com o uso de autenticação NTLM é bem-sucedida.

7. Verificar se o rastreador recebeu o nível de permissão de leitura ou superior no aplicativo Web.

8. Confirmar o comportamento correto do rastreamento de pesquisa.

9. Confirmar se as consultas de pesquisa retornam resultados exatos.

10. Publicar a URL do aplicativo Web que usou autenticação Kerberos para os usuários finais. Verificar se a URL contém um número de porta.

Implantar a solução 2

Criar um aplicativo Web que use autenticação NTLM.

1. Na home page da Administração Central, clique na guia Gerenciamento de Aplicativos.

2. Na página Gerenciamento de Aplicativo, na seção Gerenciamento de Aplicativos Web do SharePoint, clique em Criar ou estender aplicativo Web.

3. Na página Criar ou Estender Aplicativo Web, clique em Criar um novo aplicativo Web.

4. Na página Criar Novo Aplicativo Web, na seção Site do IIS, aceite a configuração padrão Criar um novo site do IIS e digite um um nome para o site na caixa Descrição.

5. Na caixa Porta, siga um destes procedimentos:

   • Digite 80 ou 443. Se você usar a porta 443, deverá selecionar também Usar SSL.

   • Digite um número de porta não-padrão ou deixe que o IIS atribua um número de porta não-padrão.

6. Especifique um cabeçalho de host do IIS para o site.

   Para obter mais informações sobre a configuração do SSL para um site usando um cabeçalho de host do IIS, consulte a página sobre como configurar cabeçalhos de host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285\&clcid=0x416).

7. Na seção Configuração de Segurança, aceite a definição padrão, NTLM.

8. Na seção Pool de Aplicativos, aceite a configuração padrão Criar novo pool de aplicativos e especifique a conta de segurança do novo pool de aplicativos.

9. Clique em OK.

10. Reinicie o IIS.

    Para reiniciar o IIS, no prompt de comando, digite o seguinte comando e pressione ENTER:

    Iisreset /restart /noforce

11. Feche o prompt de comando.

12. Atualize o DNS/WINS para resolver o cabeçalho de host do IIS no endereço IP do servidor Web front-end.

Estender um aplicativo Web para usar autenticação Kerberos.

1. Na página Criar ou Estender Aplicativo Web, clique em Estender um aplicativo Web existente.

2. Na página Estender Aplicativo Web para Outro Site do IIS, na seção Aplicativo Web, no menu Aplicativo Web, clique em Alterar Aplicativo Web.

3. Na página Selecionar Aplicativo Web, clique no aplicativo Web recém-criado.

4. Na seção Site do IIS, defina configurações de um aplicativo Web estendido.

5. Na caixa Descrição, digite, como opção, uma descrição para o aplicativo Web para o aplicativo Web estendido.

6. Siga um destes procedimentos:

   1. Na caixa Porta, digite o número da porta que deseja usar.

   2. Deixe que o IIS atribua um número de porta aleatório.

7. Na seção Configuração de Segurança, selecioneNegociar (Kerberos).

8. Na seção URL com Carga Equilibrada, selecione a zona que deseja usar, por exemplo, Intranet.

9. Clique em OK.

10. Reinicie o IIS.

    Para reiniciar o IIS, no prompt de comando, digite o seguinte comando e pressione ENTER:

    iisreset /restart /noforce

    Execute este procedimento em todos os servidores Web front-end no farm de servidores.

11. Feche o prompt de comando.

Criar SPNs no Active Directory e configurar o seu navegador

1. Use a ferramenta Setspn.exe nas Ferramentas de Suporte do Windows Server 2003 para criar dois SPNs para o aplicativo Web. Use a seguinte sintaxe:

   **Setspn.exe -A HTTP/**Nome_do_Servidor:Porta AdDomain/Nome_de_Usuário

   onde HTTP é a Classe de Serviço; Nome_do_Servidor é o nome NetBIOS ou o FQDN; Port é a porta não-padrão ou aleatória atribuída ao aplicativo Web estendido; AdDomain é o domínio do Active Directory e Nome_de_Usuário é a identidade do pool de aplicativos do aplicativo Web estendido.

2. Se você estiver usando o Internet Explorer como navegador, configure-o para que reconheça números de portas em SPNs. Para obter informações sobre a configuração do Internet Explorer para que inclua números de portas em SPNs, consulte o artigo da Base de Dados de Conhecimento 908209 (https://go.microsoft.com/fwlink/?linkid=99681\&clcid=0x416).

Confirmar se houve êxito na busca do aplicativo Web, usando a autenticação Kerberos

1. Faça logon em um computador que esteja no mesmo domínio do seu farm de servidores.

   Importante

   Não confirme o comportamento da autenticação Kerberos diretamente em um computador que hospede os sites, usando a autenticação Kerberos. Em vez disso, confirme o comportamento em um computador separado, no domínio.

2. Abra um navegador da Web nesse outro computador e navegue até a URL do aplicativo Web que se encontra na zona configurada para autenticação Kerberos.

   A home page do aplicativo Web autenticado por Kerberos deverá ser processada. Para obter mais informações sobre a confirmação do uso da autenticação Kerberos para acessar o aplicativo Web, consulte a seção sobre como "Confirmar o êxito no acesso aos aplicativos Web usando autenticação Kerberos" emConfigurar a autenticação Kerberos (Office SharePoint Server).

Confirmar se a navegação até o aplicativo Web estendido com o uso de autenticação NTLM é bem-sucedida

1. Faça logon em um computador que esteja no mesmo domínio do farm de servidores.

   Não confirme o comportamento da autenticação NTLM diretamente em um computador que esteja hospedando os sites que você está navegando. Faça essa confirmação em um outro computador do domínio.

2. Abra um navegador da Web nesse outro computador e navegue até a URL do aplicativo Web que se encontra na zona configurada para autenticação NTLM.

3. A home page do aplicativo Web autenticado por NTLM deverá ser processada. Se ela não for exibida, investigue e corrija o erro.

Verificar se o rastreador recebeu o nível de permissão de leitura ou superior no aplicativo Web

• Para permitir que o rastreador seja autenticado pelo aplicativo Web, é preciso que o rastreador tenha nível de permissão de leitura ou superior nesse aplicativo Web. Caso contrário, o rastreamento falhará. Verifique se uma das seguintes condições é verdadeira:

  • Há uma regra de rastreamento especificando que uma conta de domínio recebeu o nível de permissão de leitura ou superior no aplicativo Web.

  • A conta de domínio atribuída à conta padrão de acesso a conteúdo tem nível de permissão de leitura ou superior no aplicativo Web.

  Para obter mais informações sobre as regras de rastreamento e a conta de acesso a conteúdo padrão, consulte a página sobre Configurar modo de autenticação do rastreador (Office SharePoint Server 2007)

Confirmar o comportamento correto do rastreamento de pesquisa

1. Na página Administração de Serviços Compartilhados, na seção Pesquisar, clique em Definições de Pesquisa.

2. Na página Configurar Definições de Pesquisa, na seção Definições de Rastreamento, clique em Fontes de conteúdo e agendamentos de rastreamento.

3. Na página Gerenciar Fontes de Conteúdo, aponte para a fonte de conteúdo a ser rastreada, clique na seta exibida e, em seguida, clique em Iniciar Rastreamento Completo no menu exibido.

   Dica

   O valor na coluna Status muda para Rastreamento Completo na fonte de conteúdo selecionada nesta etapa. Entretanto, o valor na coluna Status na página não muda automaticamente quando o rastreamento é concluído. Para atualizar a coluna Status, você deverá atualizar a página Gerenciar Fontes de Conteúdo clicando em Atualizar.

   Aguarde a conclusão do rastreamento e exiba os logs dessa operação relativos à fonte de conteúdo rastreado para verificar se não houve falha com a ocorrência de erros de "acesso negado". Em caso afirmativo, talvez a conta de acesso de conteúdo usada pelo rastreador não tenha acesso aos sites no aplicativo Web. Você deverá corrigir esse erro para poder prosseguir, pois deverá concluir um rastreamento completo do aplicativo Web autenticado por Kerberos para poder confirmar se as consultas de pesquisa retornam resultados exatos. Para obter mais informações sobre a conta de acesso de conteúdo, consulte a seção sobre Verificar se o rastreador recebeu o nível de permissão de leitura ou superior no aplicativo Web acima.

Confirmar se as consultas de pesquisa retornam resultados exatos

1. Faça logon em um computador que esteja no mesmo domínio do farm de servidores. Verifique se o computador não é um servidor Web front-end no farm.

2. Abra o navegador da Web nesse computador e navegue para o site de nível superior do aplicativo Web rastreado.

3. Quando a home page for processada, selecione o escopo da pesquisa Neste Site.

4. Digite uma palavra-chave de pesquisa no campo Pesquisa e pressione ENTER.

   Observação

   Use uma palavra-chave existente no site.

5. Confirme se os resultados de Consulta de Pesquisa são retornados para o aplicativo Web. Se isso não ocorrer, confirme os seguintes pontos:

   • A palavra-chave digitada é uma palavra que existe no aplicativo Web.

   • Exiba os logs do rastreamento relacionados à fonte de conteúdo rastreado para verificar se a indexação está sendo executada corretamente.

   • O serviço Office SharePoint Server Search está em execução nos servidores de indexação e de consulta.

   • Se o servidor de indexação não for também servidor de consulta, verifique se não há problemas com a propagação da pesquisa do servidor de indexação para os servidores de consulta.

6. Publique a URL do aplicativo Web que usou autenticação Kerberos para os usuários finais e verifique se a URL contém um número de porta.

Consulte também

Outros recursos

Joel Oleson's Blog SharePoint Land (em inglês)