Поделиться через


Подготовка к обходу именованных сайтов, которые используют проверку подлинности на основе форм

Содержание:

  • Обязательные компоненты решения

  • Общий обзор решения

  • Развертывание решения

При настройке веб-приложения для использования именованных сайтов поставщики услуг размещения в Интернете обычно используют проверку подлинности на основе форм для зоны по умолчанию. Компонент индексирования поискового сервера, который иногда называют обходчиком, не может совершать обход развернутых именованных веб-сайтов обычным способом, что обусловлено следующими причинами:

  • Обходчик не имеет возможности проверять подлинность, используя проверку подлинности на основе форм.

  • Сайты на основе имени не позволяют компоненту индекса сервера поиска проходить проверку подлинности при помощи другой зоны в порядке опроса.

Дополнительные сведения о порядке опроса в случае с сайтами, основанными на пути, см. в разделе "Требования к проверке подлинности для обхода контента" в главе Планирование способов проверки подлинности (Windows SharePoint Services).

В данной статье приводится описание процесса создания решения в службах Windows SharePoint Services 3.0, позволяющего программе-обходчику обходить сайты, основанные на имени сайта. Ниже перечислены задачи, которые позволяет осуществлять предложенное решение.

  • Создание двух зон для веб-приложения.

  • Прямые запросы конечных пользователей к зоне по умолчанию, которая настроена на проверку подлинности на основе форм.

  • Направление запросов от пользователей интрасети и программы-обходчика непосредственно в зону интрасети, настроенную для работы с проверкой подлинности NTLM.

Обязательные компоненты решения

Для выполнения действий в рамках данного решения требуются следующие типы администраторов:

  • Администратор DNS-сервера

  • Администратор сервера

  • Администратор фермы

Также должны выполняться указанные ниже дополнительные требования.

  • Два DNS-сервера: один подключенный к Интернету и один подключенный к интрасети.

  • Два статических IP-адреса: один DNS-сервера, подключенного к Интернету, а другой DNS-сервера, подключенного к интрасети. Эти два IP-адреса должны быть связаны с одним именем сайта.

Решение предполагает выполнение следующих условий.

  • Администратор сервера либо настраивает отдельные сетевые адаптеры (NIC) на все интерфейсные веб-серверы фермы серверов с двумя статистическими IP-адресами, либо добавляет оба IP-адреса в один NIC.

  • Сервер поиска, который будет использоваться для веб-приложения, запущен.

  • Порт 80 не используется каким-либо другим веб-приложением.

    Примечание

    Несмотря на то что решение позволяет использовать любой номер порта (при условии, что обе зоны используют один и тот же номер), обычно используется порт 80, с которым конечные пользователи не будут видеть номер порта в URL-адресе именованных сайтов.

  • В среде уже реализована проверка подлинности на основе форм. Обратите внимание, что проверку подлинности можно реализовать, используя несколько разных поставщиков проверки подлинности. Поставщик проверки подлинности, используемый для реализации проверки подлинности на основе форм, определяет место хранения учетных записей пользователей.

Общий обзор решения

На следующем рисунке представлен общий обзор решения.

Именованные сайты с проверкой подлинности форм

Для решения требуются два DNS-сервера. Каждый DNS-сервер сопоставляет одно и то же имя сайта разным статическим IP-адресам. Это обычно называется разделенной средой DNS. Подключенный к Интернету DNS-сервер предоставляет разрешение URL-адресу именованного сайта для зоны веб-приложения по умолчанию. Это зона, которую конечные пользователи используют для доступа к сайту с использованием проверки подлинности на основе форм. Подключенный к интрасети DNS-сервер предоставляет разрешение тому же URL-адресу для IP-адресов, которые сопоставлены зоне интрасети веб-приложения. Это зона, которую пользователи интрасети и обходчик используют для доступа к сайту с использованием проверки подлинности NTLM.

Такое сопоставление возможно благодаря тому, что при создании новой зоны путем расширения веб-приложения службы Windows SharePoint Services 3.0 создают веб-сайт служб IIS для этой зоны. Администратор сервера может при помощи диспетчера служб IIS сопоставить статический IP-адрес непосредственно с веб-сайтом служб IIS, связанным с определенной зоной определенного веб-приложения.

Действия на верхнем уровне

Далее приводится список шагов на верхнем уровне для данного решения.

  1. На веб-сайте центра администрирования администратор фермы создает веб-приложение для порта 80 без назначения заголовка сайта.

  2. Администратор фермы настраивает зону по умолчанию для веб-приложения на использование проверки подлинности на основе форм.

  3. Чтобы указать имя службы проверки подлинности, используемой для проверке подлинности на основе форм, администратор сервера добавляет настроенный элемент XML в соответствующие файлы Web.config.

  4. Администратор сервера создает файл с именем stsadm.exe.config, чтобы включить программу командной строки Stsadm для определения метода поиска службы проверки подлинности, которую необходимо использовать для проверки подлинности на основе форм.

  5. Администратор фермы расширяет веб-приложение, указывает сначала имя заголовка узла, а затем проверку подлинности NTLM зоны интрасети.

  6. Администратор DNS-сервера сопоставляет имя сайта со статическими IP-адресами в DNS-среде.

  7. Администратор сервера использует диспетчер служб IIS для следующих действий:

    • Сопоставление статических IP-адресов подключенного к Интернету DNS-сервера веб-сайту служб IIS, связанному с зоной по умолчанию (то есть с зоной, использующей проверку подлинности на основе форм) для веб-приложения.

    • Сопоставление статических IP-адресов подключенного к интрасети DNS-сервера веб-сайту служб IIS, связанному с зоной интрасети (то есть с зоной, использующей проверку подлинности NTLM) для веб-приложения и удаление заголовка сайта служб IIS, который был назначен сайту в шаге 5.

  8. Администратор сервера создает именованное семейство сайтов при помощи средства командной строки Stsadm.

    Примечание

    Программа командной строки Stsadm используется для указания URL-адреса, который необходимо применять для основанного на заголовке сайта семейства сайтов.

  9. Администратор фермы может предоставить разрешения на веб-приложение, а администратор семейства сайтов — на семейство сайтов.

Развертывание решения

Для развертывания описанного в данной статье решения следует выполнить перечисленные далее действия в указанном порядке.

Создание веб-приложения

  1. Нажмите кнопку Пуск, последовательно выберите пункты Все программы, Администрирование и щелкните Центр администрирования SharePoint 3.0.

  2. В верхней панели ссылок на домашней странице центра администрирования щелкните Управление приложениями.

  3. На странице "Управление приложениями" в разделе Управление веб-приложениями SharePoint щелкните Создание или расширение веб-приложения.

  4. На странице "Создание или расширение веб-приложения" в разделе Добавление веб-приложения SharePoint выберите Создать веб-приложение.

  5. В разделе Веб-узел IIS на странице "Создание веб-приложения" настройте следующие параметры для нового веб-приложения.

    1. Примите значение по умолчанию — Создать веб-сайт IIS — и в поле Описание введите имя веб-сайта.

    2. В поле Порт введите 80.

    3. Оставьте поле Заголовок узла пустым.

  6. В разделе пула приложений выберите Использовать существующий пул приложений или примите параметр по умолчанию, Создать пул приложений. Если необходимо создать новый пул приложений, укажите, какая учетная запись безопасности будет использована для нового пула приложений.

  7. В разделе Сервер поиска в списке Выберите сервер поиска Windows SharePoint Services выберите сервер поиска, который необходимо использовать для индексирования данного веб-приложения.

  8. Нажмите кнопку ОК.

Выполните следующие действия на всех интерфейсных веб-серверах в ферме серверов.

Перезапуск служб IIS

  1. Нажмите кнопку Пуск и щелкните Выполнить.

  2. В диалоговом окне Запуск программы в поле Открыть введите cmd и затем нажмите кнопку ОК.

  3. В командном окне введите указанную далее команду, затем нажмите клавишу Ввод**:**

    iisreset /noforce

  4. Закройте окно командной строки.

Выполните следующую процедуру, чтобы настроить веб-приложение на использование проверки подлинности на основе форм.

Настройка зоны по умолчанию для использования проверки подлинности на основе форм

  1. На странице центра администрирования нажмите Управление приложениями.

  2. На странице "Управление приложениями" в разделе Безопасность приложений щелкните Поставщики проверки подлинности.

  3. На странице "Поставщики проверки подлинности" в столбце Зона щелкните По умолчанию.

  4. На странице "Изменение параметров проверки подлинности" в разделе Тип проверки подлинности выберите На основе форм.

  5. В разделе "Имя поставщика контроля членства" в поле Имя поставщика контроля членства укажите соответствующее имя.

  6. При необходимости в разделе Имя управляющего ролями в поле Имя управляющего ролями укажите соответствующее имя.

  7. Нажмите Сохранить.

Добавление параметров конфигурации в файлы Web.config

Администратору сервера необходимо добавить XML-элемент в файл Web.config зоны по умолчанию для веб-приложения, процедура создания которого описана выше в данной статье, и в файл Web.config сайта центра администрирования. Данный XML-элемент должен указывать имя поставщика проверки подлинности и может содержать другую информацию о поставщике проверки подлинности на основе форм.

Обратите внимание, что контент данного XML-элемента (и даже имя самого элемента) отличается для каждой организации. Дополнительные сведения о создании данного обязательного XML-элемента см. в статье Примеры проверки подлинности (Windows SharePoint Services).

После создания XML-элемента его необходимо добавить в соответствующие файлы Web.config на соответствующих серверах фермы серверов. На каждом сервере фермы, на котором работает служба веб-приложений Windows SharePoint Services, добавьте необходимый XML-элемент в файл Web.config веб-сайта службы IIS, связанного с зоной по умолчанию веб-приложения. На каждом сервере фермы, на котором работает служба центра администрирования, добавьте необходимый XML-элемент в файл Web.config сайта центра администрирования.

Примечание

Страница "Службы на сервере" центра администрирования используется администраторами ферм и позволяет определить, на каких серверах запущены данные службы.

Добавление настроенного элемента XML на сервера с запущеными службами веб-приложений Windows SharePoint Services

  1. Зайдите на сервер фермы, где запущены службы веб-приложений Windows SharePoint Services.

  2. В меню Пуск нажмите Выполнить. В диалоговом окне Выполнить введите значение inetmgr и нажмите кнопку ОК.

  3. В дереве консоли диспетчера IIS разверните последовательно разделы Локальный компьютер и Веб-узлы.

  4. Щелкните правой кнопкой мыши на веб-сайт, связанный с зоной по умолчанию созданного ранее веб-приложения, затем выберите пункт Просмотр.

  5. В столбце Имя щелкните правой кнопкой мыши на значении web.config, выберите Открыть, а затем откройте файл с помощью текстового редактора ASCII, например Notepad.

  6. Вставьте настроенный элемент XML с именем <connectionStrings> сразу под элементом </configSections>.

  7. Если дополнительно необходимо вставить элементы <membership> или <roleManager>, то они должны вставляться внутрь элемента <system.web>.

  8. Сохраните и закройте файл Web.config.

  9. Повторите шаги 1-7 на всех дополнительных серверах фермы, где запущены службы веб-приложений Windows SharePoint Services.

Для выполнения следующей процедуры необходимо быть участником группы администраторов.

Добавление настроенного элемента XML на серверы с запущенной службой центра администрирования

  1. Зайдите на сервер фермы, где запущена служба центра администрирования.

  2. В меню Пуск нажмите Выполнить. В диалоговом окне Выполнить введите значение inetmgr и нажмите кнопку ОК.

  3. В дереве консоли диспетчера IIS разверните последовательно разделы Локальный компьютер и Веб-узлы.

  4. Щелкните правой кнопкой мыши на веб-сайте центра администрирования, затем выберите пункт Просмотр. По умолчанию имя сайта — SharePoint Central Administration v3.

  5. В столбце Имя щелкните правой кнопкой мыши на значении web.config, выберите Открыть, затем откройте файл с помощью текстового редактора ASCII, например Notepad.

  6. Вставьте настроенный элемент XML с именем <connectionStrings> сразу под элементом </configSections>.

  7. Если используются настроенные элементы <membership> или <roleManager>, то их необходимо вставить внутрь элемента <system.web>.

  8. Сохраните и закройте файл Web.config.

  9. Повторите шаги 1-7 на всех дополнительных серверах фермы, где запущена служба центра администрирования.

Создайте файл stsadm.exe.config, руководствуясь описанной ниже процедурой. Этот файл должен содержать тот же XML-элемент, который был добавлен в файлы Web.config. Данный файл позволит программе командной строки Stsadm определить метод нахождения требуемого поставщика проверки подлинности.

Создание файла stsadm.exe.config

  1. Откройте текстовый редактор ASCII, например Notepad, и добавьте следующий текст:

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <configuration>
    <system.web>
    </system.web>
    </configuration>
    
  2. Вставьте тот же настроенный XML-элемент с именем <connectionStrings>, который был добавлен в файлы Web.config на предыдущих шагах, после маркера <configuration>.

  3. Если используются настроенные элементы <membership> или <roleManager>, то их необходимо вставить внутрь элемента <system.web>.

  4. Сохраните файл под именем stsadm.exe.config.

  5. Удостоверьтесь, что используемый текстовый редактор не добавил расширение TXT к имени файла. Если это случилось, удалите расширение TXT, прежде чем перейти к следующему шагу.

  6. Скопируйте файл stsadm.exe.config в указанную далее папку на каждом сервере фермы, с которого администратор фермы может использовать программу stsadm.exe:

    системный_диск:\Program Files\Common Files\Microsoft Shared\web server extensions\12\BIN

    Рекомендуется скопировать данный файл на каждый сервер фермы.

Расширение веб-приложения

Чтобы создать новую зону с проверкой подлинности NTLM, расширьте веб-приложение, выполнив описанные далее действия.

Расширение веб-приложения

  1. На странице центра администрирования нажмите Управление приложениями.

  2. На странице "Управление приложениями" в разделе Управление веб-приложениями SharePoint щелкните Создание или расширение веб-приложения.

  3. На странице "Создание или расширение веб-приложения" в разделе Добавление веб-приложения SharePoint выберите Расширить существующее веб-приложение.

  4. На странице "Расширение веб-приложения в другой веб-сайт IIS" в разделе Веб-приложение выберите пункт Заменить веб-приложение в меню веб-приложения.

  5. На странице "Выбор веб-приложения" выберите из списка веб-приложение, которое необходимо расширить.

  6. В разделе Веб-узел IIS выполните следующие действия.

    1. В поле Описание введите описание нового сайта.

    2. В поле Порт введите 80.

    3. В поле Заголовок узла введите имя заголовка узла.

  7. Убедитесь, что в разделе Настройка безопасности выбран пункт NTLM.

  8. В разделе URL-адрес домена со сбалансированной нагрузкой выберите зону, которую необходимо использовать (в данном примере Интрасеть.)

    Примечание

    DNS-сервер, подключенный к интрасети, должен разрешать указанный URL-адрес домена со сбалансированной нагрузкой в статический IP-адрес веб-сайта, настроенного для работы с проверкой подлинности NTLM.

  9. Нажмите кнопку ОК.

Выполните следующие действия на всех интерфейсных веб-серверах в ферме серверов.

Перезапуск служб IIS

  1. В меню Пуск выберите пункт Выполнить.

  2. В диалоговом окне "Запуск программы" в поле Открыть введите команду cmd, затем нажмите кнопку ОК.

  3. В командной строке введите указанную ниже команду, затем нажмите клавишу Ввод.

    iisreset /noforce

  4. Закройте окно командной строки.

Сопоставление имен сайтов со статическими IP-адресами на DNS-сервере

Именованные сайты позволяют администраторам ферм выбирать имена, которые используются в URL-адресах сайтов. Обратите внимание, что имя (то есть URL-адрес) должно быть уникальным именем домена. Администратор подключенного к Интернету DNS-сервера должен сопоставить выбранное администратором фермы имя сайта соответствующему статическому IP-адресу. В одном из следующих шагов администратор сервера сопоставляет данный статический IP-адрес веб-сайту IIS, который настроен на использование зоны по умолчанию веб-приложения.

Аналогичным образом, администратор подключенного к интрасети DNS-сервера должен сопоставить то же имя сайта другому статическому IP-адресу. На одном из последующих шагов администратор сервера сопоставляет данный статический IP-адрес веб-сайту IIS, который настроен на использование зоны интрасети веб-приложения. Также администратор сервера DNS должен сопоставить имя заголовка узла, которое администратор фермы использовал при расширении веб-приложения, данному статическому IP-адресу. Несмотря на то что имя узла удаляется в последующей процедуре, данное имя узла используется обходчиком для доступа к веб-приложению через зону интрасети.

Следующая процедура должна быть выполнена администратором сервера на каждом интерфейсном сервере фермы.

Сопоставление статических IP-адресов с веб-сайтами

  1. Нажмите кнопку Пуск, последовательно выберите Все программы, Администрирование и Диспетчер служб IIS.

  2. В дереве консоли расширьте разделы Локальный компьютер, Веб-узлы, щелкните правой кнопкой мыши на веб-сайте, настроенном на использование форм, затем выберите пункт Свойства.

  3. В диалоговом окне Свойства на вкладке Веб-узел в разделе Идентификация веб-сайта выберите IP-адреса, которые необходимо сопоставить предназначенному для клиентов веб-сайту из списка IP-адрес.

  4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.

  5. В дереве консоли щелкните правой кнопкой мыши на веб-сайт, настроенный на использование проверки подлинности NTLM, затем выберите пункт Свойства.

  6. В диалоговом окне Свойства на вкладке Веб-узел в разделе Идентификация веб-сайта щелкните Дополнительно.

  7. В диалоговом окне Расширенная идентификация веб-узла в разделе Удостоверения данного веб-узла выберите строку, содержащую имя заголовка сайта, настроенное для веб-сайта, который использует проверку подлинности NTLM, затем щелкните Изменить.

  8. В диалоговом окне Добавление и изменение идентификации веб-сайта выберите IP-адреса, которые необходимо сопоставить веб-сайту, использующему проверку подлинности NTLM, из списка IP-адреса.

  9. Запишите имя заголовка узла, указанное в поле Значение заголовка узла. Это имя заголовка, назначенное сайту, настроенному для работы с проверкой подлинности NTLM. Оно будет использоваться в следующей процедуре.

  10. В поле Значение заголовка узла удалите имя заголовка узла, затем нажмите кнопку ОК.

  11. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Расширенная идентификация веб-сайта.

  12. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.

  13. Закройте диспетчер служб IIS.

Используйте следующую процедуру для создания семейства сайтов для веб-приложения. Для выполнения этих действий необходимо быть администратором сервера.

Создание семейства сайтов для веб-приложения

  1. Нажмите кнопку Пуск и щелкните Выполнить.

  2. В диалоговом окне Запуск программы в поле Открыть введите cmd и затем нажмите кнопку ОК.

  3. Перейдите к следующей папке:

    системный_диск:\Program Files\Common Files\Microsoft Shared\web server extensions\12\BIN

    где системный_диск — диск, на котором установлены службы Windows SharePoint Services 3.0.

  4. В окне командной строки введите следующую команду и нажмите клавишу "ВВОД":

    stsadm.exe -o createsite -url http://<адрес_именованного_сайта>

    -ownerlogin <имя_поставщика:имя_пользователя> -owneremail <пользователь@домен.ru>

    -hostheaderwebapplicationurl http://<адрес_веб-приложения>

В следующей таблице описаны переменные, использованные на шаге 4 предыдущей процедуры.

Переменная Описание

адрес_сайта_на_основе_имени

URL-адрес, выбранный администратором фермы для доступа пользователей к сайту верхнего уровня в семействе сайтов. Администратор DNS-сервера сопоставляет это имя с IP-адресом для доступа к зоне по умолчанию веб-приложения.

имя_поставщика:имя_пользователя

Первичный владелец семейства сайтов, основанного на заголовке узла.

username@example.com

Адрес электронной почты владельца семейства сайтов.

URL-адрес_веб-приложения

URL-адрес зоны по умолчанию веб-приложения. Данный адрес можно найти на странице "Список веб-приложений" центра администрирования.

Предоставление разрешений пользователям

Прежде чем пользователи смогут получить доступ в веб-сайтам созданного веб-приложения, им необходимо предоставить соответствующие разрешения на сайты. Для управления безопасностью на уровне веб-приложения администратор фермы может создать политику для предоставления разрешений на веб-приложение. Кроме того, для управления безопасностью на уровне семейства сайтов или более низких уровнях администраторы семейства сайтов могут добавить пользователей в соответствующие группы SharePoint.

Сведения об использовании политики для предоставления разрешений пользователям см. в разделе "Использование политики для управления разрешениями" в справочной системе. Дополнительные сведения об управлении разрешениями на уровне семейства сайтов или более низких уровнях см. в разделе Планирование безопасности сайта и контента (Windows SharePoint Services).

Загрузите эту книгу

Для удобства чтения и печати этот раздел включен в следующую книгу, доступную для загрузки и печати:

Полный список доступных книг см. в разделе Загружаемые книги для Windows SharePoint Services.