Поделиться через

Подготовка к обходу контента именованных сайтов, использующих обычную проверку подлинности

  • Статья

Содержание:

  • Обязательные компоненты решения

  • Общий обзор решения

  • Развертывание решения

При настройке веб-приложения для работы с сайтами на основе имени поставщики услуг веб-размещения, как правило, используют обычную проверку подлинности для зоны по умолчанию. Компонент индекса сервера поиска, иногда называемый программой-обходчиком, не может обойти веб-сайты на основе имени, развернутые обычным способом, по перечисленным ниже причинам.

  • Программа-обходчик не может пройти обычную проверку подлинности.

  • Сайты на основе имени не позволяют компоненту индекса сервера поиска проходить проверку подлинности при помощи другой зоны в порядке опроса.

Дополнительные сведения о порядке опроса в случае с сайтами, основанными на пути, см. в разделе "Требования к проверке подлинности для обхода контента" в главе Планирование способов проверки подлинности (Windows SharePoint Services).

В данной статье приводится описание процесса создания решения в службах Windows SharePoint Services 3.0, позволяющего программе-обходчику обходить сайты, основанные на имени сайта. Ниже перечислены задачи, которые позволяет осуществлять предложенное решение.

  • Создание двух зон для веб-приложения.

  • Направление запросов от конечных пользователей в зону по умолчанию, настроенную для работы с обычной проверкой подлинности.

  • Направление запросов от пользователей интрасети и программы-обходчика непосредственно в зону интрасети, настроенную для работы с проверкой подлинности NTLM.

Обязательные компоненты решения

Для выполнения действий в рамках данного решения требуются следующие типы администраторов:

  • Администратор DNS-сервера

  • Администратор сервера

  • Администратор фермы

Также должны выполняться указанные ниже дополнительные требования.

  • Два DNS-сервера: один DNS-сервер с доступом к Интернету и один DNS-сервер, подключенный к местной интрасети.

  • Два статических IP-адреса: один адрес DNS-сервера с доступом к Интернету и второй статический IP-адрес DNS-сервера, подключенного к местной интрасети. Оба IP-адреса должны быть связаны с одним и тем же именем сайта.

Решение предполагает выполнение следующих условий.

  • Администратор сервера настраивает отдельные сетевые интерфейсные платы на всех интерфейсных веб-серверах в ферме серверов, используя оба статических IP-адреса, или добавляет оба IP-адреса в одну сетевую плату.

  • Сервер поиска, который будет использоваться для веб-приложения, запущен.

  • Порт 80 не используется каким-либо другим веб-приложением.

    Примечание

    Несмотря на то что для реализации решения можно использовать другой порт (при условии, что в обеих зонах используется один порт), как правило, используется порт 80, чтобы в URL-адресе сайта на основе имени конечные пользователи не видели номера порта.

Общий обзор решения

На следующем рисунке представлен общий обзор решения.

Обход веб-сайтов, использующих указание имен — основная проверка подлинности

Для данного решения требуется использование двух DNS-серверов. Каждый DNS-сервер сопоставляет одно и то же имя узл разным статическим IP-адресам. Такую среду обычно называют раздельной DNS-средой. DNS-сервер с доступом к Интернету разрешает URL-адрес сайта на основе имени в зону по умолчанию веб-приложения. В этой зоне конечные пользователи получают доступ к сайту, пройдя обычную проверку подлинности. DNS-сервер, подключенный к местной интрасети, разрешает тот же URL-адрес в IP-адрес, сопоставленный с зоной местной интрасети веб-приложения. В этой зоне пользователи местной интрасети и программа-обходчик получают доступ к сайту через проверку подлинности NTLM.

Такое сопоставление возможно благодаря тому, что при создании новой зоны путем расширения веб-приложения службы Windows SharePoint Services 3.0 создают веб-сайт служб IIS для этой зоны. Администратор сервера может при помощи диспетчера служб IIS сопоставить статический IP-адрес непосредственно с веб-сайтом служб IIS, связанным с определенной зоной определенного веб-приложения.

Действия на верхнем уровне

Далее приводится список шагов на верхнем уровне для данного решения.

  1. На веб-сайте центра администрирования администратор фермы создает веб-приложение для порта 80 без назначения заголовка узла.

  2. Администратор фермы настраивает зону по умолчанию данного веб-приложения для использования обычной проверки подлинности.

  3. Администратор фермы расширяет веб-приложение, указывает имя заголовка узла и затем задает проверку подлинности NTLM в зоне интрасети.

  4. Администратор DNS-сервера сопоставляет имя сайта со статическими IP-адресами в DNS-среде.

  5. Администратор сервера при помощи диспетчера служб IIS выполняет следующие действия.

    • Сопоставление статического IP-адреса DNS-сервера с доступом к Интернету с веб-сайтом IIS, связанным с зоной по умолчанию (то есть зоной с обычной проверкой подлинности) веб-приложения.

    • Сопоставление статического IP-адреса DNS-сервера, подключенного к интрасети, с веб-сайтом IIS, связанным с зоной местной интрасети (то есть зоной с проверкой подлинности NTLM) веб-приложения, и удаление заголовка узла IIS, назначенного этому сайту на шаге 3.

  6. Администратор сервера создает семейство сайтов на основе заголовка узла при помощи средства командной строки Stsadm.

    Примечание

    Средство командной стройки Stsadm используется для указания URL-адреса, выбранного для семейства сайтов на основе заголовка узла.

  7. Администратор фермы может предоставить разрешения на веб-приложение, а администратор семейства сайтов — на семейство сайтов.

Развертывание решения

Для развертывания описанного в данной статье решения следует выполнить перечисленные далее действия в указанном порядке.

Создание веб-приложения

  1. Нажмите кнопку Пуск , а затем последовательно выберите пункты Все программы , Администрирование и Центр администрирования SharePoint .

  2. В верхней панели ссылок на домашней странице центра администрирования щелкните Управление приложениями.

  3. В разделе Управление веб-приложениями SharePoint страницы "Управление приложениями" щелкните Создание или расширение веб-приложения .

  4. На странице "Создание или расширение веб-приложения" в разделе Добавление веб-приложения SharePoint выберите Создать веб-приложение.

  5. В разделе Веб-узел IIS на странице "Создание веб-приложения" настройте следующие параметры для нового веб-приложения.

    1. Примите значение по умолчанию — Создать веб-сайт IIS — и в поле Описание введите имя веб-сайта.

    2. В поле Порт введите 80.

    3. Оставьте поле Заголовок узла пустым.

  6. В разделе Пул приложений выберите пункт Использовать существующий пул приложений или примите параметр по умолчанию — Создать пул приложений. При создании пула приложений укажите учетную запись безопасности для нового пула приложений.

  7. В разделе Сервер поиска в списке Выберите сервер поиска Windows SharePoint Services выберите сервер поиска, который необходимо использовать для индексирования данного веб-приложения.

  8. Нажмите кнопку ОК.

Выполните следующие действия на всех интерфейсных веб-серверах в ферме серверов.

Перезапуск служб IIS

  1. Нажмите кнопку Пуск и щелкните Выполнить.

  2. В диалоговом окне Запуск программы в поле Открыть введите cmd и затем нажмите кнопку ОК.

  3. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    iisreset /noforce

  4. Закройте окно командной строки.

Чтобы настроить веб-приложение для работы с обычной проверкой подлинности, выполните описанные далее действия.

Настройка зоны по умолчанию для использования обычной проверки подлинности

  1. На странице центра администрирования нажмите Управление приложениями.

  2. На странице "Управление приложениями" в разделе Безопасность приложений щелкните Поставщики проверки подлинности .

  3. На странице "Поставщики проверки подлинности" в столбце Зона щелкните По умолчанию.

  4. В разделе Параметры проверки подлинности IIS выберите Простая проверка подлинности (незашифрованный пароль).

  5. Нажмите кнопку Сохранить.

Расширение веб-приложения

Чтобы создать новую зону с проверкой подлинности NTLM, расширьте веб-приложение, выполнив описанные далее действия.

Расширение веб-приложения

  1. На странице центра администрирования нажмите Управление приложениями.

  2. В разделе Управление веб-приложениями SharePoint страницы "Управление приложениями" щелкните Создание или расширение веб-приложения .

  3. На странице "Создание или расширение веб-приложения" в разделе Добавление веб-приложения SharePoint выберите Расширить существующее веб-приложение.

  4. На странице "Расширение веб-приложения в другой веб-сайт IIS" в разделе Веб-приложение выберите пункт Заменить веб-приложение в меню веб-приложения.

  5. На странице "Выбор веб-приложения" выберите расширяемое веб-приложение, созданное ранее в этой статье.

  6. В разделе Веб-узел IIS выполните следующие действия.

    1. В поле Описание введите описание нового сайта.

    2. В поле Порт введите 80.

    3. В поле Заголовок узла введите имя заголовка узла.

  7. Убедитесь, что в разделе Настройка безопасности выбран пункт NTLM.

  8. В разделе URL-адрес домена со сбалансированной нагрузкой выберите необходимую зону (в данном примере это Интрасеть.)

    Примечание

    DNS-сервер, подключенный к интрасети, должен разрешать указанный URL-адрес домена со сбалансированной нагрузкой в статический IP-адрес веб-сайта, настроенного для работы с проверкой подлинности NTLM.

  9. Нажмите кнопку ОК.

Выполните следующие действия на всех интерфейсных веб-серверах в ферме серверов.

Перезапуск служб IIS

  1. Нажмите кнопку Пуск и щелкните Выполнить.

  2. В диалоговом окне Запуск программы в поле Открыть введите cmd и затем нажмите кнопку ОК.

  3. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    iisreset /noforce

  4. Закройте окно командной строки.

Сопоставление имен сайтов со статическими IP-адресами на DNS-сервере

Сайты на основе имен позволяют администраторам фермы выбирать имя для использования в URL-адресе своих сайтов. Следует отметить, что имя (то есть URL-адрес) должно быть уникальным в домене. Администратор DNS-сервера с доступом к Интернету должен сопоставить имя сайта, выбранное администратором фермы, с соответствующим статическим IP-адресом. Затем администратор сервера сопоставляет этот статический IP-адрес с веб-сайтом IIS, настроенным для использования зоны по умолчанию веб-приложения.

Подобным образом администратор DNS-сервера, подключенного к интрасети, должен сопоставить то же имя сайта с другим статическим IP-адресом. Позднее администратор сервера сопоставит этот статический IP-адрес с веб-сайтом IIS, настроенным для использования зоны интрасети веб-приложения. Кроме того, этот же администратор DNS-сервера также должен сопоставить имя заголовка узла, использованного администратором фермы при расширении веб-приложения, с этим статическим IP-адресом. Несмотря на то что это имя узла будет позднее удалено, оно используется программной-обходчиком для доступа к веб-приложению в зоне интрасети.

Следующие действия администратор сервера должен выполнить на каждом интерфейсном веб-сервере в ферме серверов.

Сопоставление статических IP-адресов с веб-сайтами

  1. Нажмите кнопку Пуск, последовательно выберите Все программы, Администрирование и Диспетчер служб IIS.

  2. В дереве консоли последовательно разверните узлы локальный компьютер, Веб-узлы, правой кнопкой мыши щелкните веб-сайт, настроенный для использования обычной проверки подлинности, и выберите пункт Свойства.

  3. В диалоговом окне Свойства на вкладке Веб-узел в разделе Идентификация веб-сайта в списке IP-адрес выберите IP-адрес, который необходимо сопоставить с веб-сайтом, связанным с пользователем.

  4. Нажмите кнопку ОК для закрытия диалогового окна Properties.

  5. В дереве консоли щелкните правой кнопкой мыши веб-сайт, настроенный для работы с проверкой подлинности NTLM, и выберите пункт Свойства.

  6. В диалоговом окне Свойства на вкладке Веб-узел в разделе Идентификация веб-сайта щелкните Дополнительно.

  7. В диалоговом окне Расширенная идентификация веб-узла в разделе Удостоверения данного веб-узла выберите строку с именем заголовка узла, указанным для веб-сайта с проверкой подлинности NTLM, и щелкните Изменить.

  8. В диалоговом окне Добавление и изменение идентификации веб-сайта из списка IP-адрес выберите IP-адрес, который необходимо сопоставить с веб-сайтом, использующим проверку подлинности NTLM.

  9. Запишите имя заголовка узла, указанное в поле Значение заголовка узла. Это имя заголовка, назначенное сайту, настроенному для работы с проверкой подлинности NTLM. Оно будет использоваться в следующей процедуре.

  10. Удалите имя заголовка узла из поля Значение заголовка узла и нажмите кнопку ОК.

  11. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Расширенная идентификация веб-сайта.

  12. Нажмите кнопку ОК для закрытия диалогового окна Properties.

  13. Закройте диспетчер служб IIS.

Используйте следующую процедуру для создания семейства сайтов для веб-приложения. Для выполнения этих действий необходимо быть администратором сервера.

Создание семейства сайтов для веб-приложения

  1. Нажмите кнопку Пуск и щелкните Выполнить.

  2. В диалоговом окне Запуск программы в поле Открыть введите cmd и затем нажмите кнопку ОК.

  3. Перейдите к следующей папке:

    системный_диск:\Program Files\Common Files\Microsoft Shared\web server extensions\12\BIN

    где системный_диск — диск, на котором установлены службы Windows SharePoint Services 3.0.

  4. В окне командной строки введите следующую команду и нажмите клавишу "ВВОД":

    stsadm.exe -o createsite -url http://<адрес_сайта_на_основе_имени> -ownerlogin <имя_домена\имя_пользователя> -owneremail <username@example.com> -hostheaderwebapplicationurl http://<URL-адрес_веб-приложения>

В следующей таблице описаны переменные, использованные на шаге 4 предыдущей процедуры.

Переменная Описание

адрес_сайта_на_основе_имени

URL-адрес, выбранный администратором фермы для доступа пользователей к сайту верхнего уровня в семействе сайтов. Администратор DNS-сервера сопоставляет это имя с IP-адресом для доступа к зоне по умолчанию веб-приложения.

имя_домена\имя_пользователя

Основной владелец семейства сайтов на основе заголовка узла.

username@example.com

Адрес электронной почты владельца семейства сайтов.

URL-адрес_веб-приложения

URL-адрес зоны по умолчанию веб-приложения. Этот URL-адрес отображается на странице "Список веб-приложений" в центре администрирования.

Предоставление разрешений пользователям

Прежде чем пользователи смогут получить доступ в веб-сайтам созданного веб-приложения, им необходимо предоставить соответствующие разрешения на сайты. Для управления безопасностью на уровне веб-приложения администратор фермы может создать политику для предоставления разрешений на веб-приложение. Кроме того, для управления безопасностью на уровне семейства сайтов или более низких уровнях администраторы семейства сайтов могут добавить пользователей в соответствующие группы SharePoint.

Сведения об использовании политики для предоставления разрешений пользователям см. в разделе "Использование политики для управления разрешениями" в справочной системе. Дополнительные сведения об управлении разрешениями на уровне семейства сайтов или более низких уровнях см. в разделе Планирование безопасности сайта и контента (Windows SharePoint Services).

Загрузка данной книги

Этот раздел включен в следующую загружаемую книгу для упрощения чтения и печати:

Полный список доступных книг см. в разделе Загружаемые книги для Windows SharePoint Services.