Kerberos在Sharepoint环境中的运用

核心提示： 图1: Kerberos在Sharepoint中运行第一步，客户端使用匿名账户访问http://intranet.domain.第二步，Kerberos在Sharepoint环境中的运用(2)，WSS 服务器返回IIS error 401.2并tonghi返回一个WWWAuthentica

图1: Kerberos在Sharepoint中运行

第一步，客户端使用匿名账户访问http://intranet.domain.

第二步，WSS 服务器返回IIS error 401.2并tonghi返回一个WWWAuthenticate header.

第三步，客户端为本地互联网浏览器: HTTP/intranet.domain.local制造的SPN向服务器发送请求，要求得到ticket。

第四步，如果出现的SPN为有效，则KDC会返回ticket。并且会使用注册账户管理密钥为这个SPN(domainspcontentpool)进行加密。

第五步，客户机为web应用程序对ticket进行验证。

第六步，该web应用程序账户解密ticket并且对它进行验证。

第七步，Web应用程序账户为SQL客户端: MSSqlSvc/sql1.domain.local:1433.发出请求，要求得到ticket。

第八步，如果出现的SPN为有效，则KDC会返回ticket。并且会使用注册账户管理密钥为这个SPN(domainsqlsvsacct)进行加密。

第九步，Web应用程序服务使用web应用程序账户ticket对SQL数据库进行验证，并且使用代表权模拟用户操作。

第十步，该SQL服务账户解密ticket并且对它进行验证。

第十一步，SQL服务器将请求数据返回给WSS服务器。

第十二步，WSS服务器返回网页。

如果Kerberos未配置SQL通讯，则可以直接从第六步跳到第十二步。需要记住的是，只有在首次登录时才能获取ticket，并且会持续到最后。仔细看看这个流程图，以及箭头所指方向和所指的内容。

为Sharepoint配置Kerberos

首先，在重新配置你的生产环境之前，让我来教你创建一个测试程序。我知道这很麻烦，但是如果你使用的是虚拟服务器，就可以非常迅速的建立厕所服务器。同时，如果期间发生任何问题的话，你都可以将配置与最终配置进行比较。