Configurando a autenticação Kerberos: configuração passo a passo (SharePoint Server 2010)
Aplica-se a: SharePoint Server 2010
Tópico modificado em: 2016-11-30
Nos próximos artigos de cenário, criamos um ambiente do SharePoint Server 2010 para demonstrar como configurar a delegação em vários cenários comuns com os quais você pode se deparar na sua empresa. As sequências passo a passo supõem que você esteja desenvolvendo um farm do SharePoint expandido semelhante ao descrito na seção a seguir.
Observação
Algumas das etapas de configuração podem mudar, ou talvez não funcionem em determinadas topologias de farm. Por exemplo, uma única instalação de servidor não oferece suporte para serviços C2WTS do Windows Identity Foundation e, portanto, cenários de delegação de tokens de declarações para tokens do Windows não são possíveis com essa configuração de farm.
Ambiente e topologia de farm
O diagrama a seguir ilustra a topologia de farm usada na configuração dos cenários das seções abaixo. A topologia de farm tem balanceamento de carga e se expande entre várias camadas para demonstrar como a delegação de identidade funcionaria em cenários com vários servidores e vários saltos.
Observação
A configuração de farm nas demonstrações não deve ser usada como uma arquitetura de referência ou um exemplo de como projetar uma topologia para ambientes de produção. Por exemplo, a topologia de demonstração executa todos os aplicativos de serviços do SharePoint Server 2010 em um único servidor, que cria um único ponto de falha para esses serviços. Para obter mais informações sobre como projetar e criar um ambiente de produção do SharePoint Server, consulte o artigo sobre arquitetura física e lógica do SharePoint Server 2010 e sobre topologias para o SharePoint Server 2010.
.jpg "Exemplo de diagrama de topologia de farm")
Observação
A sequência passo a passo do cenário supõe que todos os computadores estejam executando o SharePoint Server e que as fontes de dados usadas no cenário a seguir residam em um único domínio. Uma explicação e uma sequência passo a passo da configuração de vários domínios/várias florestas não serão abordadas neste documento.
Especificação do ambiente
Todos os computadores no ambiente de demonstração são virtualizados e executados no Hyper-V do Windows Server 2008 R2. Os computadores estão associados a um único domínio do Windows, vmlab.local, em execução nos níveis de função de Floresta e Domínio do Windows Server 2008.
Computador Cliente
- Windows 7 Professional, 64 bits
Servidores Web front-end do SharePoint Server
Windows Server 2008 R2 Enterprise, 64 bits
Serviços:
- Serviço de Aplicativo Web
Balanceamento de carga com o Windows NLB
Servidor de Aplicativos do SharePoint Server
Windows Server 2008 R2 Enterprise, 64 bits
Microsoft SharePoint Server 2010 (RTM)
Serviços:
Serviço de Tokens de Declarações para Tokens do Windows do WIF
Serviço de Metadados Gerenciados
Índice do SharePoint
Consulta do SharePoint
Serviços do Excel
Serviço de Gráficos do Visio
Serviços Corporativos de Conectividade
Serviços PerformancePoint
SQL Services
Windows Server 2008 R2 Enterprise, 64 bits
Microsoft SQL Server 2008 R2 Enterprise, 64 bits
Configuração Ativa/Passiva
Serviços do SQL Server:
SQL Data Engine
SQL Server Analysis Services
SQL Agent
SQL Browser
SQL Reporting Server
Windows Server 2008 R2 Enterprise, 64 bits (RTM)
Microsoft SQL 2008 R2 Enterprise, 64 bits (RTM)
Microsoft SharePoint Server 2010 (RTM)
Windows NLB, com balanceamento de carga
Modo de integração do SharePoint com o Reporting Services
Reporting Services, modo expandido
Especificação do Aplicativo Web
Os cenários na sequência passo a passo fazem referência a um conjunto de aplicativos Web do SharePoint Server 2010 que serão configurados no Cenário 1. Os aplicativos Web a seguir têm balanceamento de carga usando o Windows NLB em dois servidores Web front-end do SharePoint Server no ambiente de demonstração:
http://sp10CA O aplicativo Web de Administração Central para o farm. O Cenário 1 não mostrará a configuração passo a passo desse aplicativo Web.
http://portal e https://portal Aplicativo Web com portal de publicação de demonstração. Ele é usado para demonstrar como configurar a delegação para aplicativos Web executados em portas padrão (HTTP 80, HTTPS 443)
http://teams:5555 Aplicativo Web com site da equipe de demonstração. Ele é usado para demonstrar como configurar a delegação para aplicativos Web executados em portas não padrão, como a porta 5555 deste exemplo.
.jpg "Diagrama de aplicativo Web")
Configuração SSL
Alguns dos cenários passo a passo usarão SSL para demonstrar como configurar a delegação com HTTPS. Supõe-se que os certificados usados sejam provenientes de uma autoridade de certificação raiz confiável, interna ou pública, ou que você tenha configurado todos os computadores para que eles confiem nos certificados usados. O documento não abordará como configurar adequadamente a confiança de certificados, nem oferecerá orientação sobre como depurar problemas relacionados à instalação de certificados SSL. É altamente recomendável rever esses tópicos e testar sua configuração SSL antes de configurar a delegação restrita de Kerberos com serviços protegidos por SSL. Para obter mais informações, consulte os seguintes artigos:
Visão Geral dos Serviços de Certificados do Active Directory (https://go.microsoft.com/fwlink/?linkid=196660&clcid=0x416)
Guia Passo a Passo dos Serviços de Certificados do Active Directory (https://go.microsoft.com/fwlink/?linkid=196661&clcid=0x416)
Configurando Certificados do SQL Server no IIS 7 (https://go.microsoft.com/fwlink/?linkid=196662&clcid=0x416)
Como Configurar o SSL no IIS 7: Configurando a Segurança: Instalando e Configurando o IIS 7: Site Oficial do Microsoft IIS (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x416)
Adicionar uma Associação a um Site (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196663&clcid=0x416)
Configurar um cabeçalho de host para um site (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196664&clcid=0x416) — (Como usar SSL com cabeçalhos de host)
Criar um certificado de servidor autoassinado no IIS 7 (https://go.microsoft.com/fwlink/?linkid=196665&clcid=0x416)
Balanceamento de carga
O balanceamento de carga nos servidores Web front-end do SharePoint Server e nos servidores do SQL Server Reporting Services foi implementado com o uso do NLB (Balanceamento de Carga de Rede). As etapas para configurar o NLB e as práticas recomendadas para o NLB não será abordadas neste documento. Para obter mais informações sobre o NLB, consulte o artigo de visão geral do Balanceamento de Carga de Rede.
Aliases do SQL
O farm foi criado usando um alias de cliente SQL para conexão com o cluster SQL. Normalmente, essa é uma prática recomendada e foi utilizada para demonstrar como a autenticação Kerberos é configurada quando aliases do SQL são usados. O Cenário 2 supõe que o ambiente esteja configurado dessa maneira, mas não é obrigatório usar aliases do SQL para a conclusão de qualquer um dos cenários abaixo. Para obter mais informações sobre como configurar aliases do SQL, consulte o artigo sobre como criar um alias de servidor para uso por um cliente (SQL Server Configuration Manager).
Dicas para concluir as sequências passo a passo nos cenários
Os cenários abaixo mostram passo a passo várias atividades necessárias para a configuração da delegação Kerberos em funções diferentes da plataforma do SharePoint Server. À medida que você avançar por cada seção:
Todos os cenários supõem que os seus aplicativos Web estejam configurados para autenticação clássica de entrada (Kerberos). Alguns cenários exigem a autenticação clássica e não funcionarão conforme documentado com a autenticação de declarações de entrada.
Ative primeiro os serviços do SharePoint Server sem delegação para garantir que os aplicativos de serviços estejam configurados corretamente antes de prosseguir para configurações mais desafiadoras com delegação.
Tente prestar bastante atenção em cada etapa e tente não omitir nenhuma
Conclua a sequência passo a passo no cenário 1 e reserve um tempo para usar as ferramentas de depuração mencionadas nesse cenário, pois elas podem ser usadas em outros cenários para fazer a triagem de problemas de configuração.
Lembre-se de seguir a sequência passo a passo no cenário 2. Você precisará de um computador que execute o SQL Server e que esteja configurado para aceitar a autenticação Kerberos. Além disso, o banco de dados de teste configurado nesse cenário será necessário para alguns dos cenários posteriores.
Sempre verifique a configuração SPN em cada cenário usando SetSPN -X e SetSPN -Q. Consulte o apêndice para obter mais informações.
Sempre verifique os logs de eventos do servidor e os logs do ULS ao tentar depurar um problema de configuração. Normalmente, existem bons indicadores nesses logs que podem mostrar com rapidez os problemas encontrados.
Ative o registro em log de diagnóstico para a Autenticação de Declarações do SharePoint Foundation e para qualquer aplicativo de serviço cuja triagem você esteja tentando fazer em caso de problemas.
Lembre-se de que cada cenário pode ser afetado pelo armazenamento em cache de aplicativos de serviços. Se você fizer alterações de configuração, mas não conseguir detectá-las no comportamento da plataforma, tente reiniciar o pool de aplicativos do serviço ou o serviço do Windows. Se isso não adiantar, uma reinicialização do sistema poderá ajudar em algumas ocasiões.
Lembre-se de que tíquetes Kerberos são armazenados em cache depois de solicitados. Se você estiver usando uma ferramenta como NetMon para exibir solicitações TGT e TGS, talvez seja necessário esvaziar o cache de tíquetes se não estiver vendo o tráfego de solicitações esperado. O cenário 1, Configurando a autenticação Kerberos: configuração principal (SharePoint Server 2010), explica como fazer isso com os utilitários KLIST e KerbTray.
Lembre-se de executar o NetMon com privilégios Administrativos para capturar o tráfego Kerberos.
Para cenários de depuração avançados, convém ativar o rastreamento do WIF para o Serviço de Tokens de Declarações para Tokens do Windows e o rastreamento do WCF para os Aplicativos de Serviços do SharePoint (serviços WCF). Consulte os seguintes artigos: