3 votos

Riesgos involucrados en la configuración de la autenticación Kerberos para WSS Reporting Services

Hemos establecido una Intranet basada en WSS con dos extremos frontal y una base de datos.

En la actualidad todos autenticación NTLM.

Hemos instalado Reporting Services En el Modo de Integración.

RS funciona siempre como el front-end web que ha RS instalado en se encarga de las transacciones.

Si el extremo delantero sin RS gestiona la solicitud a continuación, obtenemos un error no autorizado.

En el intento de solucionar este problema, las búsquedas en la web, etc. - han aludido a que el problema sea causado por la granja de servidores que necesitan para llevarlos a cabo "doble salto" autenticación - lo que no puede suceder a través de NTLM.

Así que tenemos que configurar la Intranet de la granja a aceptar la autenticación Kerberos.

He encontrado esta útil guía , Pero toma la postura de que estamos empezando la granja desde cero.

Por eso necesitamos saber si hay algún tipo de riesgo en forma retroactiva la configuración de Kerberos? Se NTLM seguir como antes, mientras y después de que nos han llevado a cabo los pasos para habilitar la compatibilidad con Kerberos?

2voto

JCCyC Puntos328

Nosotros solemos hacer retroactiva de SharePoint NTLM para la autenticación Kerberos cambios como el que estamos proponiendo. Cuando establecemos nuestros sitios de SharePoint, se tarda un par de días para cambios de DNS se propaguen, y conseguir que nuestras Spn conjunto de cuentas de servicio normalmente se toma algún tiempo también.

Así que después de nuestra SPN se establecen, en primer lugar debemos crear un pequeño sitio de pruebas en el servidor que se ejecuta bajo el SP de la aplicación de la piscina. Giramos en WIA y poner una página de prueba en:

<%@ Page Language="C#" %>
<script runat="server" language="C#">
  void Page_Load(object Sender,EventArgs E)
  {
    if (User.Identity.IsAuthenticated) {
      lblIdentity.Text = User.Identity.Name;
    } else {
      lblIdentity.Text = "Anonymous";
    }
    lblImpersonation.Text =
      System.Security.Principal.WindowsIdentity.GetCurrent().Name;
  }
</script>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
  <HEAD>
    <TITLE>Test Application</TITLE>
  </HEAD>
  <BODY>
    <FORM id="frmForm1" method="post" runat="server">
      <HR width="100%" size="1">
      <P>
        <ASP:LABEL id="Label1" runat="server">Current Identity:
          </ASP:LABEL>&nbsp;
        <ASP:LABEL id="lblIdentity" runat="server">Label</ASP:LABEL>
      </P>
      <P>
        <ASP:LABEL id="LABEL3" runat="server">Impersonated Identity:
          </ASP:LABEL>&nbsp;
        <ASP:LABEL id="lblImpersonation" runat="server">Label</ASP:LABEL></P>
      <HR width="100%" size="1">
    </FORM>
  </BODY>
</HTML>

Vaya a la página con el Violinista activo, y determinar si funciona Kerberos (Violinista de la ficha autenticación le dirá si usted está utilizando la autenticación NTLM o Kerberos).

Una vez que usted sabe que funciona Kerberos para su cuenta de servicio/servidor/URL, seguir adelante y hacer el cambio en SharePoint.

1voto

K. Brian Kelley Puntos7714

Existe algún riesgo para la habilitación de la delegación de Kerberos en el fin de permitir la doble saltos. Básicamente, usted está permitiendo que IIS para suplantar al usuario sin que el usuario realmente entrar en cualquiera de las credenciales de nuevo. En un Active Directory de Windows 2000 en el ambiente, no es sólo lo que se conoce como sin restricciones de la delegación. Básicamente, usted no puede restringir lo que está haciendo la delegación y a donde se puede delegar muy bien (tan bien como le gustaría). En esos casos, Microsoft recomienda encarecidamente no utilizar la delegación de Kerberos. Si estás en Windows 2003 o 2008 Active Directory, puede y debe hacer uso de la delegación restringida. Esto permite llegar a los más específicos con la delegación. En este caso hay un mayor riesgo, pero por lo general el hecho de que usted no tiene usuarios que volver a introducir las credenciales o el uso de las cuentas de servicio de SQL Server o inicios de sesión es la pena el riesgo mayor.

Tan lejos como sea o no NTLM continuará, depende. Si la autenticación Kerberos puede ser establecido, que será utilizado. Esto incluye, en los casos donde se devuelve un error (y usted no cree que debería ser), como si el Spn están mal, etc. Sólo la posibilidad de volver a NTLM si la autenticación Kerberos no se puede utilizar. Con eso dicho, Kerberos es el más reciente protocolo de seguridad y funciones de seguridad que NTLM no incluyendo la marca de tiempo (prevención de la retransmisión de los ataques), la capacidad del cliente para verificar la identidad del servidor (que NTLM no puede hacer), y el uso de los boletos que se debe reducir el tráfico global para la autenticación en el DCs.

0voto

Jørgen Puntos276

Gracias a los socorristas - ambos dieron algunos consejos excelentes.

Me gustaría señalar algunas herramientas adicionales que hemos descubierto en el camino, mientras que la configuración de nuestra granja para Kerberos:

DelegConfig V2( beta!):

  • Por Brian Murphy-Stand no podríamos haber hecho con este Descargar desde su Blog responder a preguntas acerca de la configuración que desea y proporciona dónde y por qué se hará o no el trabajo - incluso tiene instalaciones de pruebas y si se ejecuta en las cuentas de administración puede hacer los cambios necesarios para usted.

Metabase Explorer

  • Muchos de los artículos que te diga que utilizar adsutil.vbs para establecer cada sitio NTAuthenticationProviders valor. Hemos encontrado que es mucho más fácil de usar de la Metabase Explorer - especialmente en lo que había que establecer el valor de los directorios virtuales bajo el sitio por defecto. También revela muchos de miedo valores en la metabase! Usar con PRECAUCIÓN! Parte de los Recursos de IIS 6.0 Kit de Herramientas

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: