A continuación detallo el escenario de configuración y luego los tips para configurarlo y documentación de soporte que pueden ayudarte.
Escenario:
Windows Server 2008 R2 DataCenter Edition
SQL Server 2008 SP2 Standard Edition
SharePoint Server 2010 Enterprise Edition with Service Pack 1.0
Configuración de Servidores:
Servidor de Base de Datos 12 GB RAM, Discos 2 de 100 GB, Quad Core.
Servidor Front End: 8 GB RAM, Disco de 100 GB, Quad Core.
Cuentas de Dominio Administrativas para configuración de SharePoint:
Cuenta de Instalación de SharePoint: SPAdmin
Cuenta de administrador de la granja de SharePoint: SPFarm
Cuenta para Servicio de Secure Store y Cuenta para Acceso deshatenido: SPSS y SPUAA
Cuenta para Servicios de Busqueda y Contenido: SPSearch y SPContent
Cuenta para Servicio de Sincronización con el AD. SPSyncAD
Cuenta para el portal con NTLM: SPWebApp
Cuenta para servicios de aplicaciones: SPSvcApp
Cuentas de dominio para delegar tickets de Kerberos:
Cuenta para el portal que implementa Kerberos: SPPortalKB
Cuenta de base de datos: SPDB
Cuenta de Analysis Servies: SPAS
Cuenta para Claims to Windows Token Service: SPC2WTS
Cuenta para Excel, Visio, BDC y PerformancePoint: SPExcel, SPVisio, SPDBC, SPPP
Cuenta para el Servicio de Reporting Services: SPRS
Primero lo primero:
Debes de configurar el SharePoint manualmente y utilizar la opción Avanzada y Completa de instalación y no la versión Stand Alone.
Luego de configurar todos los servicios y crear las aplicaciones Web y percatarse que todo esta funcionando, reinicie el servidor y valide que todo lo configurado funciona correctamente.
Primer tip y error común:
Si configura las cuentas de super user y super reader percátese que le ha dado acceso de full control y full reader a nivel de aplicación Web a estas cuentas respectivamente.
Iniciando la configuración de Kerberos:
Les recomiendo empiecen con la Aplicación Web que implementará Kerberos, validando que los usuarios se autentican con Kerberos y no con NTLM, para ello puede revisar el visor de eventos en la sección de Seguridad, también puedes utilizar FIDDLER para monitorear cuando se autentique si utiliza un ticket de Kerberos. Para esta tarea hay una excelente guía a continuación el enlace: http://blog.blksthl.com/2012/09/26/the-final-kerberos-guide-for-sharepoint-technicians/.
Importante que cuando este haciendo el registro de los nombre principales con setspn registre el nombre corto y el FQDN. Siempre valide estos nombres haciendo un ping al nombre corto y largo, no asuma valores sino compruébelos, incluyendo los nombres de las cuentas de usuario, con su respecto dominio. Revise detenidamente los nombres de los servidores y dominios ya que estos no son validados si usted los escribe incorrectamente.
Importante que los servidores tengan habilitado: "On the Delegation tab, click ‘Trust this computer for delegation to any service (Kerberos only)".
Si ya esta autenticando reinicie el servidor de SharePoint y pruebe de nuevo para asegurarse.
Delegando las cuentas registradas por SetSPN
Es importante conocer como deben de delegarse las cuentas. Para ejecutar SetSPN necesitas una cuenta que sea Domain Admin o tenga permisos para registrar estos nombres en el AD.
La cuenta del Portal SPPortal por ejemplo se asocia así misma, hacia las cuentas de servicios de SQL y a la cuenta de Reporting Services. No se delega a C2WTS, ni a los servicios de Excel, Visio, y PerformancePoint.
Las cuentas de los servicios Excel, Visio, PerformancePoint y C2Wts se delegan a las cuentas de los servicios de SQL.
Las cuentas de servicios de SQL no se delegan a ningún otro ya que funcionan como End-Points.
Para todas las cuentas registradas con SetSPN es recomendable habilitar la opción Advanced Futures del Active Directory Users & Computers para acceder la pestaña de Security de cada cuenta y asignar el permiso de Read al grupo Authenticated Users.
Los códigos de los servicios son los siguientes:
Servicio
Código de Servicio
HTTP o HTTPS
HTTP
SQL Server Database Engine
MSSQLSVC
SQL Server Analysis Service
MSOLAPSvc.3
Claims To Windows Token Service
SP/C2WTS
Excel Service
SP/ExcelServices
PerformancePoint Service
SP/PPS
Visio Service
SP/VisioServices
Reporting Services
HTTP
Business Data Connectivity Service
HTTP
La guía completa la puede encontrar como Configuring Kerberos Authentication for Microsoft SharePoint 2010 Products en: http://www.microsoft.com/en-us/download/details.aspx?id=23176
SharePonit4Fun!,
Juan Manuel Herrera Ocheita
No hay comentarios.:
Publicar un comentario