Kerberos在Sharepoint环境中的运用

核心提示： 那么我们需要解除我们的web应用程序上的NTLM(身份验证)，并将其配置成使用Kerberos.首先你要保证前端服务器和后端服务器的通讯协议的有效性，Kerberos在Sharepoint环境中的运用(3)，然后需要确保客户端与个人web应用程序间的Kerberos能够通过Sharepoi

那么我们需要解除我们的web应用程序上的NTLM(身份验证)，并将其配置成使用Kerberos.首先你要保证前端服务器和后端服务器的通讯协议的有效性，然后需要确保客户端与个人web应用程序间的Kerberos能够通过Sharepoint服务器进行认证过程(我们称之为双认证或者双跃点认证)。

让我们一起来看看为设置此功能所要进行的操作。

收集所需信息并创建Sharepoint用户。

为SQL通讯启用Kerberos

在Active Directory中配置服务主体名称(SPN，Service Principal Names)

对计算机/用户账户配置“信托代表”

在Sharepoint服务器中配置Component Services.

为web应用程序和SSP(Shared Service Provider)启用Kerberos

测试Sharepoint环境

收集所需信息

为了使我们的操作过程尽可能地快捷，我们需要准备好所有必须的条件。我假设在你的环境中运行的是Active Directory，并且每个服务器都有一个唯一的IP地址。这个IP地址必须在你的DNS服务器上注册，而且不能重复，存在搜索区域的前端或反向端以便Kerberos能够工作。同样的，所有的客户端和服务器必须有正确的日期和时间，因为Kerberos需要正确的日期时间来保障对ticket的验证以及对内部DNS服务器的安全访问。

在你安装Sharepoint前，需要在Active Directory中创建适当的用户组(查看链接栏链接到官方指南)。如果你已经创建了所需要的账户，请继续阅读。

以下是关于在Sharepoint环境中建立Kerberos所需要事项的清单。

SPN的服务类别(WSS/MOSS web 程序的HTTP;SQL服务器默认实例的MSSQLSvc)

你的SPN的主机名称 (只有主机名称。通常是没有域名部分的FQDN)

所有web应用程序和服务器的完全合格的域名(FQDN)