Планирование проверки подлинности Kerberos в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365
Протокол Kerberos поддерживает метод проверки подлинности на основе билетов, предоставляемых доверенным источником. Билеты Kerberos указывают, что сетевые учетные данные пользователя, связанного с клиентским компьютером, прошли проверку подлинности. Протокол Kerberos определяет способ, которым пользователи взаимодействуют с сетевой службой, чтобы получить доступ к сетевым ресурсам. Центр распределения ключей Kerberos выпускает билет для выдачи билета для клиентского компьютера от имени пользователя. В Windows клиентский компьютер является участником домена доменных служб Active Directory (AD DS), а билет для выдачи билета является свидетельством того, что контроллер домена проверил подлинность учетных данных пользователя.
Перед установлением сетевого соединения с сетевой службой клиентский компьютер представляет свой билет для выдачи билета в центр распределения ключей и запрашивает билет службы. На основании ранее выданного билета для выдачи билета, который подтверждает подлинность клиентского компьютера, центр распределения ключей выпускает билет службы для клиентского компьютера. Затем клиентский компьютер передает билет службы сетевой службе. Билет службы также должен содержать допустимое имя участника-службы, которое определяет службу. Для включения проверки подлинности Kerberos компьютеры сервера и клиента уже должны иметь доверенное подключение к центру распределения ключей. Компьютеры сервера и клиента также должны иметь доступ к службам AD DS.
Проверка подлинности Kerberos и SharePoint Server
Ниже приводятся преимущества проверки подлинности Kerberos:
Kerberos — это самый надежный протокол проверки подлинности, встроенный в Windows. Он поддерживает дополнительные функции безопасности, включая шифрование данных AES и взаимную проверку подлинности клиентов и серверов.
Протокол Kerberos обеспечивает делегирование учетных данных клиентов.
Среди доступных методов безопасной проверки подлинности Kerberos требует наименьшего объема сетевого трафика к контроллерам домена AD DS. В некоторых случаях Kerberos может уменьшить задержку отображения страниц или увеличить число страниц, которые может обрабатывать интерфейсный веб-сервер. Kerberos также может уменьшить нагрузку на контроллеры домена.
Kerberos является открытым протоколом, который поддерживается многими платформами и производителями.
Ниже приводятся причины, по которым проверка подлинности Kerberos может быть неприемлема:
В отличие от других методов проверки подлинности проверка подлинности Kerberos для правильного функционирования требует дополнительной настройки инфраструктуры и среды. Во многих случаях для настройки проверки подлинности Kerberos, которая может оказаться сложной в развертывании и обслуживании, требуются разрешения администратора домена. Неправильная настройка Kerberos может привести к невозможности проверки подлинности на сайтах.
Проверка подлинности Kerberos требует подключения клиентского компьютера к центру распределения ключей и контроллеру домена служб Active Directory (AD DS). В развертывании Windows и SharePoint центр распределения ключей является контроллером домена служб AD DS. Хотя такая конфигурация сети и распространена в интрасети предприятий, развертывания с выходом в Интернет обычно таким образом не настраиваются.
Делегирование Kerberos
Проверка подлинности Kerberos поддерживает делегирование удостоверений клиентов. Это значит, что служба может выполнить олицетворение удостоверения клиента, прошедшего проверку подлинности. Олицетворение позволяет службе передавать удостоверение, прошедшее проверку подлинности, другим сетевым службам от имени клиента. Для делегирования учетных данных клиента может также использоваться проверка подлинности на основе утверждений, но это требует, чтобы серверное приложение поддерживало утверждения.
При использовании вместе с SharePoint Server делегирование Kerberos позволяет службе переднего плана выполнять проверку подлинности клиента и затем использовать удостоверение клиента для проверки подлинности в серверной системе. Серверная система затем выполняет собственную проверку подлинности. Когда клиент использует проверку подлинности Kerberos для прохождения проверки подлинности в интерфейсной службе, делегирование Kerberos можно использовать для передачи удостоверения клиента в серверную систему. Протокол Kerberos поддерживает два типа делегирования:
Базовое делегирование Kerberos (неограниченное).
Ограниченное делегирование Kerberos.
Базовое и ограниченное делегирование Kerberos
Базовое делегирование Kerberos может выходить за пределы домена в одном лесу, но не может пересекать границы леса. Ограниченное делегирование Kerberos не позволяет переходить границы домена или леса за исключением случаев, когда используются контроллеры домена, запущенные в Windows Server 2012.
В зависимости от приложений-служб, входящих в состав развертывания SharePoint Server, для реализации проверки подлинности Kerberos в SharePoint Server может потребоваться ограниченное делегирование Kerberos.
Важно!
Чтобы развернуть проверку подлинности Kerberos в любом из следующих приложений-служб, SharePoint Server и все внешние источники данных должны находиться в одном домене Windows: > Excel Services > PerformancePoint Services > InfoPath Forms Services > Visio Services > Эти приложения-службы служб служб не доступны в SharePoint Foundation 2013. Службы Excel не доступен в SharePoint Server 2016.
Чтобы развернуть проверку подлинности Kerberos с любыми из следующих приложений-служб или продуктами, SharePoint Server может использовать либо базовое, либо ограниченное делегирование Kerberos:
Служба Служба подключения к бизнес-данным (это приложение-служба недоступно SharePoint Foundation 2013)
Службы Службы Access (это приложение-служба недоступно в SharePoint Foundation 2013)
Службы SQL Server Reporting Services (SSRS) (отдельный продукт)
Project Server 2016 (отдельный продукт)
Службы, поддерживающие проверку подлинности Kerberos, могут делегировать удостоверения несколько раз. По мере передвижения удостоверения от службы к службе метод делегирования может меняться с базового на ограниченное делегирование Kerberos. Однако обратное направление невозможно. Метод делегирования не может измениться с ограниченного делегирования Kerberos на базовое. Поэтому важно рассчитать и спланировать, потребуется ли серверной службе базовое делегирование Kerberos. Этот процесс может затрагивать планирование реализации и проектирование границ доменов.
Служба с поддержкой протокола Kerberos может использовать перенос протокола для преобразования удостоверения, отличного от Kerberos, в удостоверение Kerberos, которое может делегироваться другим службам с поддержкой Kerberos. Эту возможность можно использовать, например, для делегирования удостоверения, не являющегося Kerberos, из интерфейсной службы в удостоверение Kerberos в серверной службе.
Важно!
[!Важно!] Для переноса протокола требуется ограниченное делегирование Kerberos. Поэтому удостоверения с переносом протокола не могут выходить за пределы домена.
В качестве альтернативы делегированию Kerberos может использоваться проверка подлинности на основе утверждений. Проверка подлинности на основе утверждений позволяет передавать утверждение проверки подлинности клиента между разными службами, если службы удовлетворяют всем следующим требованиям:
Между службами должно быть отношение доверия.
Службы должны поддерживать утверждения.
Дополнительные сведения о проверке подлинности Kerberos см. в следующих источниках:
Проверка подлинности Kerberos и проверка подлинности на основе утверждений
SharePoint 2013 и SharePoint Server 2016 поддерживает проверку подлинности на основе утверждений. Проверка подлинности на основе утверждений основана на Windows Identity Foundation (WIF), которая представляет собой набор классов .NET Framework, которые используются для реализации удостоверений на основе утверждений. Проверка подлинности на основе утверждений основывается на таких стандартах как WS-Federation и WS-Trust. Дополнительные сведения о проверке подлинности на основе утверждений см. в указанных ниже ресурсах.
При создании веб-приложения SharePoint Server с помощью центра администрирования необходимо выбрать один или несколько типов проверки подлинности на основе утверждений. При создании веб-приложения SharePoint Server с помощью командлета Microsoft PowerShell New-SPWebApplication можно указать типы проверки подлинности утверждений и утверждений или классический режим проверки подлинности. Проверка подлинности утверждений рекомендуется для всех веб-приложений SharePoint Server. При использовании проверки подлинности на основе утверждений для веб-приложений доступны все поддерживаемые типы проверки подлинности, при этом можно применять межсерверную проверку подлинности и проверку подлинности приложений. Дополнительные сведения см. в статье Новые возможности проверки подлинности для SharePoint Server 2013.
Важно!
The following service applications in SharePoint Server require the translation of claims-based credentials to Windows credentials. В этом процессе преобразования используется приложение Claims to Windows Token Service (C2WTS): >Excel Services>PerformancePoint Services>InfoPath Forms Services>Visio Services>> . Эти приложения-службы недоступны в SharePoint Foundation 2013. Excel Services is not available in SharePoint Server 2016.
Приложения-службы, которым требуется служба C2WTS, должны использовать ограниченное делегирование Kerberos. Это обусловлено тем, что служба C2WTS требует преобразования протокола, а оно поддерживается только ограниченным делегированием Kerberos. Для приложений-служб, приведенных в предыдущем списке, служба C2WTS преобразует утверждения в пределах фермы в учетные данные Windows для исходящей проверки подлинности. Важно понимать, что указанные приложения-службы могут использовать службу C2WTS только при условии, что для входящей проверки подлинности используется либо метод на основе утверждений, либо классический режим Windows. Приложения-службы, доступ к которым осуществляется через веб-приложения и которые используют утверждения SAML или утверждения проверки подлинности на основе форм, не используют службу C2WTS и поэтому не могут преобразовывать утверждения в учетные данные Windows.
Проверка подлинности Kerberos и новая модель приложений SharePoint
Если для проверки подлинности пользователей используется режим утверждений Windows, а для веб-приложения задано использование только проверки подлинности Kerberos без обращения к NTLM в качестве протокола проверки подлинности, то проверка подлинности приложений работать не будет. Дополнительные сведения см. в статье Plan for app authentication in SharePoint Server.
См. также
Понятия
Планирование методов проверки подлинности для пользователей в SharePoint Server