若想让 Kerberos 在环境中正常工作,您还应该完成另外两个重要步骤。您必须配置用于委派的计算机帐户和一些服务帐户,还必须在管理中心为 Kerberos 配置场。Kerberos 中的委派的原理是:如果用户向最终资源发出请求,则一些中介帐户必须处理该请求,这些中介帐户是可信任的,能够代表用户进行委派。可以将 Active Directory 用户和计算机作为域管理员,从而来配置用于委派的帐户。在用户或计算机帐户的“委派”选项卡下,选择“信任此用户/计算机来委派任何服务(Kerberos)”。您应该为前端、应用程序和 SQL Server 计算机帐户启用委派,还应为应用程序池(SSPAdmin、MySite、各种 Web 应用程序)和场服务帐户启用委派。
此外,您还需要在“组件服务”中设置权限。在默认属性下,将“模拟级别”设置为“委派”。在“IIS WAMREG Admin Service”下,定位到“安全”选项卡,为应用程序池帐户授予“本地激活”权限。有关详细信息,请参阅知识库文章 917409 和 920783。
启用委派后,即可通过启用 Kerberos 作为 SSP 和 Web 应用程序的首选协议来完成具体的配置工作。对于新安装,可以在 SharePoint 产品和技术配置向导中为管理中心网站进行此操作。否则,请在管理中心的“应用程序管理”下定位到“验证提供程序”,单击“默认值”并将方法设置为“协商(Kerberos)”。不要忘记运行 iisreset /noforce,将更改应用于应用程序池,并为 SSP 启用 Kerberos。
IIS 7 和 Windows Server 2008 中的变化
截止目前,我们讨论的内容主要限于 Windows Server 2003 和 IIS 6 上的 SharePoint 2007。如果您迁移到 Windows Server 2008 和 IIS 7,则在体系结构上有一些变化,可能需要其他一些配置步骤。IIS 7 中的最显著变化也许是它支持内核模式 Kerberos 身份验证。在内核模式身份验证中,网络服务帐户(实际上就是上文所述的计算机帐户)将对票证进行解密,除非您指定了其他设置。当您迁移到 IIS 7 或安装一个新场时,默认情况下将启用内核模式身份验证。正如上文所述,网络服务帐户是本地帐户。如果运行的是单个服务器,则解密可以正常进行。但在场中,解密会失败,因为您需要使用可以通过 KDC 验证的域帐户。这一变化还意味着您可以使用网络服务帐户进行协议转换(允许客户端向 IIS 进行非 Kerberos 身份验证,允许 IIS 将 Kerberos 用于后端通信),因为该帐户已经具有 LocalSystem 权限。
若要在运行 IIS 7 的 SharePoint 场中配置 Kerberos,需要手动更改 %WinDir%\System32\inetsrv\config\ApplicationHost.config 文件 — 当前没有 GUI 选项。相关条目如下所示。
<security>
<authentication>
<windowsAuthentication enabled="true" useKernelMode="true" useAppPoolCredentials="true" />
</authentication>
</security>
</system.webServer>
不要忘记运行 iisreset /noforce 以应用更改,并检查最新更新以发现问题,例如在知识库文章 962943 中详细说明的蓝屏更新。
如果您的配置使用了身份模拟(web.config 中的 )和集成模式管道,则还应注意另外一个配置细节。在此情况下,需要将 validateIntegratedModeConfiguration 设置为 false,或在经典模式管道中运行 .aspx 页。
结论
虽然 Kerberos 身份验证需要一些额外配置步骤,还需要 NTLM 之外的更多知识,但目前的趋势是向 Kerberos 迁移。Microsoft 在 II7 中将 Kerberos 作为默认选中选项,并且为 Kerberos 提供了良好的支持,因为它是一个开放的标准。使用 Kerberos 物有所值。现在有大量文档介绍 Kerberos 的部署、验证和故障排除,这也为我们实际使用 Kerberos 提供了支持。您无需进行很多更改即可避免由于过多身份验证跃点而导致的性能下降问题,享受 Kerberos 的良好安全性。
