Планирование реализации проверки подлинности Kerberos (SharePoint Server 2010)
Применимо к: SharePoint Foundation 2010, SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
Microsoft SharePoint Server 2010 поддерживает несколько методов проверки подлинности. В развертываниях, требующих безопасной проверки подлинности, делегирования удостоверений клиентов и небольшого объема сетевого трафика, можно использовать проверку подлинности Kerberos. Дополнительные сведения см. в разделе Планирование способов проверки подлинности (SharePoint Server 2010).
Содержание статьи
Проверка подлинности Kerberos и SharePoint 2010
Проверка подлинности Kerberos и проверка подлинности на основе утверждений
Преимущества проверки подлинности Kerberos | Причины, по которым проверка подлинности Kerberos может быть неприемлема в ситуации развертывания |
---|---|
Kerberos — это наиболее безопасный протокол проверки подлинности, встроенный в Windows. Он поддерживает дополнительные функции безопасности, включая шифрование данных AES и взаимную проверку подлинности. |
Проверка подлинности Kerberos для правильного функционирования требует дополнительной настройки инфраструктуры и среды. Во многих случаях для настройки Kerberos требуются разрешения администратора домена. Проверка подлинности Kerberos может быть трудна в настройке и управлении. Неправильная настройка Kerberos может привести к невозможности проверки подлинности на сайтах. |
Kerberos позволяет делегировать учетные данные клиентов. |
Проверка подлинности Kerberos требует подключения клиентского компьютера к центру распределения ключей (KDC) и контроллеру домена доменных служб Active Directory (AD DS). В развертывании Windows центр распределения ключей является контроллером домена доменных служб Active Directory. Хотя такая конфигурация сети и распространена в средах предприятий, развертывания с выходом в Интернет обычно не настраиваются таким образом. |
Протокол Kerberos поддерживает взаимную проверку подлинности клиентов и серверов. |
|
Среди доступных методов безопасной проверки подлинности Kerberos требует наименьшего объема сетевого трафика к контроллерам домена. В некоторых случаях Kerberos может уменьшить задержку отображения страниц или увеличить число страниц, которые может обрабатывать интерфейсный веб-сервер. Kerberos также может уменьшить нагрузку на контроллеры домена. |
|
Kerberos является открытым протоколом, поддерживаемым многими платформами и производителями. |
Kerberos — это безопасный протокол, поддерживающий проверку подлинности на основе билетов, предоставляемых доверенным источником. Билеты Kerberos представляют сетевые учетные данные пользователя, связанного с клиентским компьютером. Протокол Kerberos определяет способ, которым пользователи взаимодействуют с сетевой службой проверки подлинности, чтобы получить доступ к сетевым ресурсам. Центр распределения ключей Kerberos выпускает билет для клиентского компьютера от имени пользователя. После того как клиентский компьютер устанавливает сетевое соединение с сервером, клиентский компьютер запрашивает сетевой доступ, представляя серверу билет проверки подлинности Kerberos. Если запрос содержит допустимые учетные данные пользователя, центр распределения ключей удовлетворяет запрос. Для приложений-служб билет проверки подлинности должен содержать также допустимое имя участника-службы (SPN). Чтобы использовать проверку подлинности Kerberos, компьютеры сервера и клиента должны уже иметь доверенное подключение к центру распределения ключей. Клиентский компьютер и сервер также должны иметь доступ к доменным службам Active Directory.
Делегирование Kerberos
Проверка подлинности Kerberos поддерживает делегирование удостоверений клиентов. Это значит, что служба может выполнить олицетворение удостоверения клиента, прошедшего проверку подлинности. Олицетворение позволяет службе передавать удостоверение, прошедшее проверку подлинности, другим сетевым службам от имени клиента. Для делегирования учетных данных клиента может также использоваться проверка подлинности на основе утверждений, но это требует, чтобы серверное приложение поддерживало утверждения. Некоторые важные службы в настоящее время не поддерживают утверждения.
При использовании вместе с Microsoft SharePoint Server 2010 делегирование Kerberos позволяет интерфейсной службе выполнять проверку подлинности клиента и затем использовать удостоверение клиента для проверки подлинности в серверной системе. Серверная система затем выполняет свою собственную проверку подлинности. Когда клиент использует проверку подлинности Kerberos для прохождения проверки подлинности в интерфейсной службе, делегирование Kerberos можно использовать для передачи удостоверения клиента в серверную систему. Протокол Kerberos поддерживает два типа делегирования:
Базовое делегирование Kerberos (неограниченное).
Ограниченное делегирование Kerberos.
Базовое и ограниченное делегирование Kerberos
Хотя базовое делегирование Kerberos и может пересекать границы домена в пределах одного леса, оно не может пересекать границы леса. Ограниченное делегирование Kerberos же не может пересекать границы домена или леса. В зависимости от приложений-служб, являющихся частью развертывания SharePoint Server 2010, реализация проверки подлинности Kerberos с SharePoint Server 2010 может потребовать использования ограниченного делегирования Kerberos. Поэтому для развертывания проверки подлинности Kerberos с любыми из следующих приложений-служб сервер SharePoint Server 2010 и все внешние источники данных должны размещаться в одном домене Windows:
Службы Excel
PerformancePoint Services
InfoPath Forms Services
Службы Visio
Чтобы развернуть проверку подлинности Kerberos с любыми из следующих приложений-служб, SharePoint Server 2010 может использовать либо базовое, либо ограниченное делегирование Kerberos:
Служба подключения к бизнес-данным и Microsoft Business Connectivity Services
Службы Access
отчетов Microsoft SQL Server (SSRS)
Microsoft Project Server 2010
Службы, поддерживающие проверку подлинности Kerberos, могут делегировать удостоверения несколько раз. По мере передвижения удостоверения от службы к службе метод делегирования может меняться с базового на ограниченное делегирование Kerberos. Однако обратное направление невозможно. Метод делегирования не может измениться с ограниченного делегирования Kerberos на базовое. Поэтому важно рассчитать и спланировать, потребуется ли серверной службе базовое делегирование Kerberos. Этот процесс может затрагивать планирование реализации и проектирование границ доменов.
Служба с поддержкой протокола Kerberos может использовать перенос протокола для преобразования удостоверения, отличного от Kerberos, в удостоверение Kerberos, которое может делегироваться другим службам с поддержкой Kerberos. Эту возможность можно использовать, например, для делегирования удостоверения, не являющегося Kerberos, из интерфейсной службы в удостоверение Kerberos в серверной службе.
Важно!
Для переноса протокола требуется ограниченное делегирование Kerberos. Поэтому удостоверения с переносом протокола не могут выходить за пределы домена.
В качестве альтернативы делегированию Kerberos может использоваться проверка подлинности на основе утверждений. Проверка подлинности на основе утверждений позволяет передавать утверждение проверки подлинности клиента между двумя разными службами, если службы удовлетворяют всем следующим требованиям:
Между службами должно быть отношение доверия.
Обе службы должны поддерживать утверждения.
Дополнительные сведения о проверке подлинности Kerberos см. в следующих источниках:
Принципы работы протокола проверки подлинности Kerberos версии 5 (https://go.microsoft.com/fwlink/?linkid=196644&clcid=0x419)
Microsoft Kerberos (https://go.microsoft.com/fwlink/?linkid=125740&clcid=0x419)
SharePoint Server 2010 поддерживает проверку подлинности на основе утверждений. Проверка подлинности на основе утверждений встроена в Windows Identity Foundation (WIF) и представляет собой набор классов .NET Framework, используемых для реализации удостоверений на основе утверждений. Проверка подлинности на основе утверждений основывается на таких стандартах как WS-Federation и WS-Trust. Дополнительные сведения о проверке подлинности на основе утверждений см. в следующих источниках:
Удостоверения на основе утверждений для Windows: введение в службы федерации Active Directory 2.0, Windows CardSpace 2.0 и Windows Identity Foundation (технический документ) (https://go.microsoft.com/fwlink/?linkid=198942&clcid=0x419)
Домашняя страница Windows Identity Foundation (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x419)
Общие сведения об утверждениях (https://go.microsoft.com/fwlink/?linkid=217399&clcid=0x419)
Удостоверение на основе утверждений в SharePoint (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x419)
При создании веб-приложения SharePoint Server 2010 имеется выбор между двумя режимами проверки подлинности: на основе утверждений и классическим. Для новых реализаций SharePoint Server 2010 рекомендуется использовать проверку подлинности на основе утверждений. При использовании проверки подлинности на основе утверждений веб-приложениям доступны все поддерживаемые типы проверки подлинности.
Следующие приложения-службы требуют преобразования учетных данных на основе утверждений в учетные данные Windows. Этот процесс преобразования использует службу "Утверждения для службы маркеров Windows" (C2WTS):
Службы Excel
PerformancePoint Services
InfoPath Forms Services
Службы Visio
Приложения-службы, которым требуется служба C2WTS, должны использовать ограниченное делегирование Kerberos. Это обусловлено тем, что служба C2WTS требует преобразования протокола, а оно поддерживается только ограниченным делегированием. Для приложений-служб, приведенных в предыдущем списке, служба C2WTS преобразует утверждения в пределах фермы в учетные данные Windows для исходящей проверки подлинности. Важно понимать, что указанные приложения-службы могут использовать службу C2WTS только при условии, что для входящей проверки подлинности используется либо метод на основе утверждений, либо классический режим. Приложения-службы, доступ к которым осуществляется через веб-приложения и которые используют утверждения SAML или утверждения проверки подлинности на основе форм, не используют службу C2WTS и поэтому не могут преобразовывать утверждения в учетные данные Windows.
Подробное руководство по настройке Kerberos в девяти конкретных случаях, включая основное развертывание, три решения Microsoft SQL Server и ситуации, в которых используется службами Службы Excel, PowerPivot для SharePoint, Службы Visio, PerformancePoint Services и Business Connectivity Services, см. в документе Настройка проверки подлинности Kerberos для продуктов SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x419).