lunes, 21 de marzo de 2011

Carrera de relevos o Configuración de Kerberos en SharePoint 2010

 

El presente artículo es un resumen de la Guía para configurar Kerberos provista por Microsoft para SharePoint 2010, no pretende reemplazarlo sino dar un panorama general y una comprensión de lo que se va hacer. El detalle de cada paso esta en la guía en la siguiente dirección:

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=1a794fb5-77d0-475c-8738-ea04d3de1147&displaylang=en

Antes de configurar Kerberos hay que comprender como funciona y se integra con los diferentes servicios.

Kerberos es un protocolo de seguridad que soporta autenticación por etiquetado.

Este protocolo de seguridad es necesario en SharePoint 2010 cuando deseamos conectarnos a una fuente de datos externa y se requiere pasar las credenciales del usuario que se conecto al portal.  Para que comprendamos mejor veamos el siguiente diagrama:

image

Como vemos en la figura de arriba la credenciales son almacenadas en SharePoint como un Claim, es entonces necesario convertirlas de nuevo en un Tiquete de Kerberos, para autenticarse con un sistema externo.

Kerberos se asocia a una o varias cuentas de dominio y a un servicio para su utilización.  Esto se hace a través de crear un SPN o Service Principal Name, en línea de comando en un servidor con Windows Server 2008 que no sea el Controlador de dominio, como se muestra a continuación:

SetSPN –S HTTP/Portal [cuenta de dominio]

También es necesario la delegación de una cuenta o otra para transferir el Tiquete que lleva las credenciales del usuario.  Como lo muestra la imagen de abajo.

image

La delegación la hacemos a través del Directorio Activo.  Para las cuentas que se le asociaron el SPN, en el Directorio Activo sobre las propiedades de la cuenta aparecerá una pestaña llamada Delegation, en ella nos permitirá seleccionar que servicios estarán asociados a la cuenta.

image

En SharePoint como primer paso es habilitar el protocolo de Kerberos para al autenticarse al portal genere dicho Tiquete.

image

Luego deberá registrarse las cuentas que tienen generado el SPN como una cuenta administrada (un concepto viejo en SharePoint pero que toma relevancia en 2010) y luego asociar esta cuenta a un servicio de SharePoint que utilizará el tiquete generado para autenticar o pasar las credenciales del usuario.

image

Hay ciertos servicios asociados a SharePoint que utilizan Basic Kerberos Delegation otros Kerberos constrained delegation. La regla es que si se puede pasar de una basic delegation a una constrarined pero no a la inversa.  Los servicios que requieren Kerberos son constrained delegation son:

· Excel Services

· PerformancePoint Services

· InfoPath Forms Services

· Visio Services

Los que requieren Basic Kerberos delegation son:

· Business Data Connectivity service and Microsoft Business Connectivity Services

· Access Services

· Microsoft SQL Server Reporting Services (SSRS)

· Microsoft Project Server 2010

La diferencia importante entre estos dos sistemas de delegación en la intervención de un Servicio llamada C2WTS o Claims to Windows Token Service. La imagen de abajo muestra claramente lo que debería de suceder.

image

En resumen debemos de configurar Kerberos para:

1. Autenticarnos al portal.

2. Para pasar el Tiquete al Servicio C2WTS.

3. Para el servicio de SharePoint que requiere y pasará las credenciales por ejemplo Performance Point o Excel Services.

4. A la cuenta que inicia el servicio de la fuente de datos externa, por ejemplo SQL Server 2008 R2 Analysis Services o bien Database Engine o ambos.

Para ello debe crearse estas cuentas de Windows asociar el SPN a las mismas, delegarlo a través de Active Directory, configurar SharePoint y configurar las cuentas y asociarlas a los servicios requeridos.

Sugerencia vaya probando como lo sugiere la guía cada paso para asegurarse que ha hecho el procedimiento correcto.  Hay ocasiones que Kerberos no autentica luego de recién configurar un servicio, a veces registrando de nuevo la cuenta asociada al servicio y reiniciándolo hace que funciona o bien como ultimo recurso reiniciar el servidor de SharePoint o del servidor donde se esta configurando la cuenta que deseamos que utilice Kerberos.

Otros aspectos a tomar en cuenta: http://technet.microsoft.com/en-us/library/gg502599.aspx

Y otro buen artículo sobre Kerberos y SharePoint es: http://technet.microsoft.com/en-us/magazine/ee914605.aspx

SharePoint4Fun,

Manolo Herrera

No hay comentarios.: