Вопросы Теги

Риски, вовлеченные в установку аутентификации Kerberos для WSS Reporting Services

Microsoft делит их продукты на три пула: Сервер, Приложения и Системы.

Лицензии работают по-другому в каждом пуле.

Системный пул включает только Windows Desktop Operating Systems, т.е. XP, Vista и Семь.

Единственным способом купить "полную" лицензию на них является или OEM или FPP. Вы дополнительно заставляете лицензии запускать Windows в виртуальной машине, размещенной на реальной машине, которая имеет определенные типы лицензий (Vista/, Семь Предприятий получают Вас, четыре VM лицензируют для любого выпуска настольного Windows; Семь Бизнеса получает Вас одна лицензия Windows XP VM),

Можно получить лицензию обновления через все системы лицензирования по объему; это дает право Вам обновлять одну машину OEM от версии OEM Windows к версии на лицензии обновления. Можно присоединить Гарантированное программное обеспечение к лицензии обновления (Вы не можете SA лицензия OEM). Поэтому много офисной техники продается с Vista Home Basic - это - лицензия OEM; бизнес может затем применить обновление VL Vista Enterprise и поставить их центральное изображение.

Пул приложений является Office, Visual Studio и их различными промежуточными результатами.

Можно купить их через любой канал, который Вы любите. Office OEM связывается с реальной машиной при замене той машины Вам нужна новая лицензия Office.

Лицензия VL или FPP на Office (и VS) дает право Вам устанавливать одну копию на непортативном компьютере и одну копию на портативном компьютере для использования одного человека и чтобы тот человек получил доступ к копии Office, установленного на терминальном сервере от любого из их двух лицензированных устройств. Вам на самом деле не нужна лицензия для установки на терминальном сервере.

Если пользователь получает доступ к Office через TS от другого компьютера (например, из дома) можно прибавить WAH (работа дома) лицензия, которая присоединяет к существующей лицензии, чтобы дать право им получать доступ к нему отовсюду, им нравится.

Пул Серверов покрывает и серверные операционные системы (Windows Server) и серверные приложения (например, Exchange, SQL, ISA, и т.д.). Им обычно лицензируют один из двух путей

  1. Сервер + CAL, который взимает сумму за каждый сервер и затем дальнейшую сумму для каждого клиента, это получает доступ к серверу; CAL (Лицензия на клиентский доступ) может быть любой в расчете на пользователя (считайте людей), или для каждого устройства (клиентские терминалы количества), но не оба. Можно обычно заставлять лицензию Внешнего коннектора (EC) давать право неограниченному количеству пользователей за пределами организации получать доступ системам. Обратите внимание, в то время как Вам только нужен один CAL для пользователя для доступа к неограниченному количеству серверов, необходимость в одном EC на сервер.
  2. На процессор, который взимает установленную сумму за каждый заполненный сокет процессора в сервере (количество многоядерных процессоров как один процессор, не один на ядро).

SQL позволяет Вам выбрать между двумя системами лицензирования; большинство других продуктов связывает Вас с одним или другим (например, Exchange и Windows являются Server+CAL, ISA на процессор),

3
задан 16 July 2009 в 18:20
3 ответа

Существует некоторый риск для включения делегации Kerberos для разрешения двойных транзитных участков. В основном Вы позволяете IIS исполнять роль пользователя без пользователя, на самом деле вводящего любые учетные данные снова. В среде Active Directory Windows 2000, существует только, что известно как неограниченная делегация. В основном Вы не можете ограничить то, что делает делегацию и туда, где она может делегировать очень хорошо (а также Вы хотели бы). В тех случаях Microsoft настоятельно рекомендует не использовать делегацию Kerberos. Если Вы находитесь в Windows 2003 or 2008 Active Directory, Вы можете и должны использовать ограниченное делегирование. Это позволяет Вам, добираются до довольно определенного с делегацией. В этом случае существует повышенный риск, но обычно то, что у Вас нет пользователей, перепечатывающих учетные данные или Ваши сервисные учетные записи использования или логины SQL Server, стоит повышенного риска.

До, продвинется ли NTLM, он зависит. Если аутентификация Kerberos может быть установлена, она будет использоваться. Это включает в случаи, куда это возвращает ошибку (и Вы не думаете, что это должно быть), такой, как будто SPNs являются неправильными и т.д. Это будет только ронять к NTLM, если аутентификация Kerberos не может использоваться. После этих слов Kerberos является более новым протоколом системы защиты и имеет средства защиты, которые NTLM не делает включая метку времени (предотвращение релейных нападений), способность к клиенту проверить идентификационные данные сервера (который NTLM не может сделать), и использование билетов, которые должны уменьшить полный трафик для аутентификации к DCS.

1
ответ дан 3 December 2019 в 06:52

Мы обычно делаем SharePoint обратной силы NTLM к изменениям аутентификации Kerberos, как Вы предполагаете. То, когда мы устанавливаем наши сайты SharePoint, требуется несколько дней для DNS, изменяется для распространения, и получение нашего набора SPNs на сервисных учетных записях обычно занимает время также.

Таким образом, после нашего SPN's установлены, мы сначала создаем небольшую испытательную площадку на сервере, работающем под пулом приложений SP. Мы включаем WIA и и помещаем единственную тестовую страницу в него:

<%@ Page Language="C#" %>
<script runat="server" language="C#">
  void Page_Load(object Sender,EventArgs E)
  {
    if (User.Identity.IsAuthenticated) {
      lblIdentity.Text = User.Identity.Name;
    } else {
      lblIdentity.Text = "Anonymous";
    }
    lblImpersonation.Text =
      System.Security.Principal.WindowsIdentity.GetCurrent().Name;
  }
</script>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
  <HEAD>
    <TITLE>Test Application</TITLE>
  </HEAD>
  <BODY>
    <FORM id="frmForm1" method="post" runat="server">
      <HR width="100%" size="1">
      <P>
        <ASP:LABEL id="Label1" runat="server">Current Identity:
          </ASP:LABEL>&nbsp;
        <ASP:LABEL id="lblIdentity" runat="server">Label</ASP:LABEL>
      </P>
      <P>
        <ASP:LABEL id="LABEL3" runat="server">Impersonated Identity:
          </ASP:LABEL>&nbsp;
        <ASP:LABEL id="lblImpersonation" runat="server">Label</ASP:LABEL></P>
      <HR width="100%" size="1">
    </FORM>
  </BODY>
</HTML>

Обзор к странице с активным Скрипачом, и определяет, работает ли Kerberos (Вкладка аутентификации скрипача скажет Вам при использовании NTLM или Kerberos).

После того как Вы знаете работы Kerberos для своей сервисной учетной записи/server/URL, разрешения и вносите изменение в SharePoint.

2
ответ дан 3 December 2019 в 06:52

Благодаря обоим респондентам - оба дали некоторый превосходный совет.

Я хотел бы указать на некоторые дополнительные инструменты, которые мы обнаружили на пути при конфигурировании нашей фермы для Kerberos:

DelegConfig V2 (бета!):

  • Brian Murphy-Booth We, возможно, не сделал этого с этой Загрузкой с его Блога, Вы отвечаете на вопросы о конфигурации, которую Вы хотите, и это обеспечивает, где и почему это будет, или работа привычки - даже имеет средства тестирования и если выполнение в соответствии с администраторскими учетными записями может внести необходимые изменения для Вас.

Проводник метабазы

  • Много статей скажут Вам использовать adsutil.vbs для устанавливания значения NTAuthenticationProviders каждого сайта. Мы нашли намного легче использовать Проводник Метабазы - тем более, что мы должны были установить значение на виртуальных каталогах ниже сайта по умолчанию. Это также показывает много много страшных значений в метабазе! Используйте С ОСТОРОЖНОСТЬЮ! Часть инструментов IIS 6.0 Набора Ресурса
0
ответ дан 3 December 2019 в 06:52
  • 1
    Скалы DelegConfig. Я использую MBE так, я забываю что не стандартный инструмент. –  Christopher_G_Lewis 17 June 2009 в 16:40

Теги

Похожие вопросы