Kerberos在Sharepoint环境中的运用

核心提示：Microsoft Windows Sharepoint Services(WSS)3.0和Microsoft Office Sharepoint Server(MOSS)2007是用来实现公司信息共享并能够提高团队协作能力的工具，用户可以访问Sharepoint网站中所有他们的个人用户账号允许访问的信息，Kerber

Microsoft Windows Sharepoint Services(WSS)3.0和Microsoft Office Sharepoint Server(MOSS)2007是用来实现公司信息共享并能够提高团队协作能力的工具，用户可以访问Sharepoint网站中所有他们的个人用户账号允许访问的信息。正是由于这种设计，所以你必须要确保鉴权服务是迅速的，安全的，并且还要是符合公司政策的。

在这篇文章中，我们将探讨在Sharepoint环境中如何运用Kerberos的一些基本操作。对于互联网中各种不同情况，在本文你都能找到相应的配置指南，并且我将搜集了很多有用的技巧附在后面。我希望能够更好地帮助你们在自己的环境中运行Kerberos。

在Sharepoint使用Kerberos

Kerberos是一种网络认证协议。当客户机向包含有效的用户认证信息和有效的服务主题名称(SPN)的密钥分配中心(KDC)发送请求，要求得到某服务器的认证时，Kerberos能够确保认证过程的正确进行。Kerberos是Sharepoint首选的认证协议，因为相比于NTLM，Kerberos能够提供更快更安全的认证，并且它能够减少用户名和密码弄错的几率。如果Sharepoint使用外部数据(位于Sharepoint服务器本身外其他不同服务器上的数据)，例如通过webparts访问SQL数据库，Sharepoint服务器就需要Kerberos来代表客户机认证信息(认证信息绝不能通过电缆来发送，只有受KDC保持跟踪的ticket才可以)。

那么，当你在访问受Kerberos保护的网站时，客户端和服务器之间到底进行了怎样的认证过程呢?我做了一个比较直观的图来演示“后台”的运作，如图1所示，图中演示的是以MOSS为基础的Windows Sharepoint Services3.0运作图。使用的是同样的Kerberos技术，只是在MOSS中我们有更多的服务和用途。