Windows LiveWindows Live
 
 
Marco's profileMarco Scheel aka GeekDot...PhotosBlogListsMore Tools Help

Blog
    May 16

    SharePoint (MOSS) und Kerberos

    Iimagech mache viele reine Intranet-Konfigurationen/Installationen. Einen grossen Teil davon versuche ich, mit Kerberos Authentifizierung zu realisieren. Es ist etwas an Vorarbeit nötigt, aber der Mehrwert, wenn es um mehr als reinen CMS Content geht, ist doch recht gross. Szenarien sind folgende:

    • Zugreifen auf die Mailbox der Users (Unread-Items, Kalenderabfragen, ...)
    • Zugreifen auf Datenbanken (der Loginname steht für personalisierte Abfragen zur Verfügung, etablierte Security auf dem SQL Server kann genutzt werden, ...)
    • Zugreifen auf KPI's aus dem Analysis Server (MS SQL 2005)
    • Zugreifen auf dem Fileserver aus SharePoint Code
    • RSA Authentifizierung ohne Passwort (nur mit Contrained Kerberos Delegation)
    • ...

    Was man vorher tun muss:

    • DNS (Jede Anwendung mit eigenem AppPool sollte seine eigene URL haben, der Central Admin ist der einzige der auf einem MachineName läuft)
    • AppPoolAccounts aus dem Active Directory Domain
    • SPN (ServicePrincipalName) auf die Accounts zu den entsprechenden Services setzen
    • Delegation für den Account konfigurieren (Tab im AD ist erst nach dem Setzen der SPN's verfügbar)

    Die Konfiguration des IIS übernimmt dann SharePoint selbst. Beim Anlegen der Applications wird man gefragt, wie man Authentifizieren will. Später kann man die Option über den Central Admin im Tab Application Management unter dem Punkt Authentication Provider finden. Sollte das Umstellen mit einem Fehler quitiert werden, ist Vorsicht geboten. Ein erneutes Aufrufen zeigt zwar den gewünschten Wert an, aber dieser wird nicht "live" ausgelesen, sonder kommt aus der ConfigDB. Ich hatte schon Installationen in denen ein Bug im IIS (OWS Timer Bug) dazu führte, dass die Metabase nicht zu schreiben war. Merkt man auch daran das das IIS Management Tool nicht auf geht.

    Weitere Informationen:

    Ciao Marco

    1:27 PM | Blog it | SharePoint

    Comments

    Please wait...
    Sorry, the comment you entered is too long. Please shorten it.
    You didn't enter anything. Please try again.
    Sorry, we can't add your comment right now. Please try again later.
    To add a comment, you need permission from your parent. Ask for permission
    Your parent has turned off comments.
    Sorry, we can't delete your comment right now. Please try again later.
    You've exceeded the maximum number of comments that can be left in one day. Please try again in 24 hours.
    Your account has had the ability to leave comments disabled because our systems indicate that you may be spamming other users. If you believe that your account has been disabled in error please contact Windows Live support.
    Complete the security check below to finish leaving your comment.
    The characters you type in the security check must match the characters in the picture or audio.

    To add a comment, sign in with your Windows Live ID (if you use Hotmail, Messenger, or Xbox LIVE, you have a Windows Live ID). Sign in


    Don't have a Windows Live ID? Sign up

    Trackbacks

    The trackback URL for this entry is:
    http://marcoscheel.spaces.live.com/blog/cns!6465B3F62520EE69!501.trak
    Weblogs that reference this entry
    • None