Kerberos在Sharepoint环境中的运用
2008-08-23 13:17:44 来源:WEB开发网你的SPN的端口号(WSS 和 MOSS的 web应用程序无端口. SQL的端口号为1433)
你的SPN的Active Directory账户 (服务和应用程序账户)
为SQL通讯启用Kerberos
微软公司强烈要求在安装Microsoft Sharepoint之前必须为SQL通讯启用Kerberos,以确保你的SQL通讯能正常运行。配置数据库是位于你的SQL服务器上的,如果连接失效,那么你就需要在Sharepoint网站重新运行前修复连接。如果你在初次安装时更改了身份验证,只要要先关闭Sharepoint服务以避免数据损失。
你可以这样来启用Sharepoint前端服务器间的Kerberos到你的SQL服务器:
为它配置SPN
如果你需要为其他服务模拟用户操作,则要配置信托代表
如果你只是需要验证到Sharepoint前端的客户端,而且没有其他数据连接/Excel 服务/SQL报表服务的话,那么就没有必要在SQL通讯中启用Kerberos.
在Active Directory中配置SPN
服务主题名称映射是Kerberos用来允许一个服务代表来模拟某个特定用户账户的。通常一个SPN包含一个服务类别,主机名,有时还有一个端口号。例如这种情况:HTTP/intranet.domain.local和MSSqlSvc/sql1.domain.local:1433.最好的做法就是同时注册主机名和web程序的FQDN,及时你只是打算使用其中一个。
配置服务主题名称时,你可以使用多种工具。我比较喜欢的是默认安装在Windows Server2008中的SetSPN工具。而在Windows Server2003中,你可以在安装程序CD-ROM里的支持工具中找到这种工具,或者也可以从Microsoft网站的资源工具包中下载使用。你同样可以使用ADSIedit来配置SPN,但是可能需要花费更多时间,来通过你的Active Directory导向并编辑条目以及更改他们的SPN。
注册SPN的命令: setspn.exe –A HTTP/intranet.domain.local DOMAINAccount
Tags:Kerberos Sharepoint 环境
编辑录入:爽爽 [复制链接] [打 印]赞助商链接