jueves, 21 de marzo de 2013

Actualización de problemas comunes encontrados en la implementación de Kerberos para SharePoint 2010

A continuación detallo el escenario de configuración y luego los tips para configurarlo y documentación de soporte que pueden ayudarte.

Escenario:

Windows Server 2008 R2 DataCenter Edition

SQL Server 2008 SP2 Standard Edition

SharePoint Server 2010 Enterprise Edition with Service Pack 1.0

Configuración de Servidores:

Servidor de Base de Datos  12 GB RAM, Discos 2 de 100 GB, Quad Core.

Servidor Front End: 8 GB RAM, Disco de 100 GB, Quad Core.

Cuentas de Dominio Administrativas para configuración de SharePoint:

Cuenta de Instalación de SharePoint: SPAdmin

Cuenta de administrador de la granja de SharePoint: SPFarm

Cuenta para Servicio de Secure Store y Cuenta para Acceso deshatenido: SPSS y SPUAA

Cuenta para Servicios de Busqueda y Contenido: SPSearch y SPContent

Cuenta para Servicio de Sincronización con el AD. SPSyncAD

Cuenta para el portal con NTLM: SPWebApp

Cuenta para servicios de aplicaciones: SPSvcApp

Cuentas de dominio para delegar tickets de Kerberos:

Cuenta para el portal que implementa Kerberos: SPPortalKB

Cuenta de base de datos: SPDB

Cuenta de Analysis Servies: SPAS

Cuenta para Claims to Windows Token Service: SPC2WTS

Cuenta para Excel, Visio, BDC y PerformancePoint: SPExcel, SPVisio, SPDBC, SPPP

Cuenta para el Servicio de Reporting Services: SPRS

Primero lo primero:

Debes de configurar el SharePoint manualmente y utilizar la opción Avanzada y Completa de instalación y no la versión Stand Alone.

Luego de configurar todos los servicios y crear las aplicaciones Web y percatarse que todo esta funcionando, reinicie el servidor y valide que todo lo configurado funciona correctamente.

Primer tip y error común:

Si configura las cuentas de super user y super reader percátese que le ha dado acceso de full control y full reader a nivel de aplicación Web a estas cuentas respectivamente.

Iniciando la configuración de Kerberos:

Les recomiendo empiecen con la Aplicación Web que implementará Kerberos, validando que los usuarios se autentican con Kerberos y no con NTLM, para ello puede revisar el visor de eventos en la sección de Seguridad, también puedes utilizar FIDDLER para monitorear cuando se autentique si utiliza un ticket de Kerberos. Para esta tarea hay una excelente guía a continuación el enlace: http://blog.blksthl.com/2012/09/26/the-final-kerberos-guide-for-sharepoint-technicians/.

Importante que cuando este haciendo el registro de los nombre principales con setspn registre el nombre corto y el FQDN.   Siempre valide estos nombres haciendo un ping al nombre corto y largo, no asuma valores sino compruébelos, incluyendo los nombres de las cuentas de usuario, con su respecto dominio.  Revise detenidamente los nombres de los servidores y dominios ya que estos no son validados si usted los escribe incorrectamente.

Importante que los servidores tengan habilitado: "On the Delegation tab, click ‘Trust this computer for delegation to any service (Kerberos only)".

Si ya esta autenticando reinicie el servidor de SharePoint y pruebe de nuevo para asegurarse.

Delegando las cuentas registradas por SetSPN

Es importante conocer como deben de delegarse las cuentas. Para ejecutar SetSPN necesitas una cuenta que sea Domain Admin o tenga permisos para registrar estos nombres en el AD.

La cuenta del Portal SPPortal por ejemplo se asocia así misma, hacia las cuentas de servicios de SQL y a la cuenta de Reporting Services.  No se delega a C2WTS, ni a los servicios de Excel, Visio, y PerformancePoint.

Las cuentas de los servicios Excel, Visio, PerformancePoint y C2Wts se delegan a las cuentas de los servicios de SQL.

Las cuentas de servicios de SQL no se delegan a ningún otro ya que funcionan como End-Points.

Para todas las cuentas registradas con SetSPN es recomendable habilitar la opción Advanced Futures del Active Directory Users & Computers para acceder la pestaña de Security de cada cuenta y asignar el permiso de Read al grupo Authenticated Users.

Los códigos de los servicios son los siguientes:

Servicio

Código de Servicio

HTTP o HTTPS

HTTP

SQL Server Database Engine

MSSQLSVC

SQL Server Analysis Service

MSOLAPSvc.3

Claims To Windows Token Service

SP/C2WTS

Excel Service

SP/ExcelServices

PerformancePoint Service

SP/PPS

Visio Service

SP/VisioServices

Reporting Services

HTTP

Business Data Connectivity Service

HTTP

 

La guía completa la puede encontrar como Configuring Kerberos Authentication for Microsoft SharePoint 2010 Products en: http://www.microsoft.com/en-us/download/details.aspx?id=23176 

SharePonit4Fun!,

Juan Manuel Herrera Ocheita

No hay comentarios.: