Estamos por instalar SharePoint. Somos ordenados y nos preparamos un paso a paso, pero... ¿Que cuentas necesito?. ¿Quien autentica cómo? ¿Dónde autentico?.
En esta sesión veremos definiciones y pistas para una mejor toma de decisiones y como SharePoint encapsula la seguridad para facilitarnos mantener ordenado y seguro nuestro entorno.
4. Preparando SharePoint
Las cuentas de instalación
α Recomendación de buenas prácticas
Cuenta Servicio Permisos
SQLService SQLServer Acorde a los recursos utilizados
SQL Server Agent Importante si accede a recursos externos
SPService SharePoint Server Asignados durante la instalación
SharePoint Admin App Pool En SQLServer
dbcreator
securityadmin
SharePoint Web Services db_owner (SharePoint db)
SharePoint Timer
5. Preparando SharePoint
Asegurando el entorno SQL Server
α Bloquear UDP 1434
α Configurar SQL Server para escuchar en puertos no
estándar
β TCP 1433
β UPD 1434
α Abrir los puertos seleccionados en el Firewall
β Solo para el dominio
α Configurar Alias de Cliente para los nuevos puertos
asignados
β Cliconfg.exe
7. Identificación en SharePoint
α El problema de identificación tiene 2 puntos cruciales
β De cliente a SharePoint
β De SharePoint a Otros Servicios
α En ambos casos puede ser
β Clásica (Identificación Windows)
β Reclamo («Claims»)
8. Identificación del Cliente
Clásica
α Integrada
β NTLM
γ Pros
δ Fácil de configurar y no requiere configuración adicional del
entorno
δ Funciona cuando el cliente no es parte del dominio, o no está
en un dominio de confianza para el dominio en que SharePoint
reside
γ Contras
δ Requiere que SharePoint contacte al controlador de dominio
cada vez
δ No permite Delegación de cliente al «back-end»,(doble salto)
δ Es un protocolo propietario
δ No admite la autenticación de servidor
δ Se considera menos seguro
9. Identificación del Cliente
Clásica
α Integrada
β Kerberos
γ Pros
δ Protocolo de autenticación de Windows integrada más seguro
δ Permite la delegación de las credenciales del cliente
δ Admite la autenticación mutua de clientes y servidores
δ Produce menos tráfico en controladores de dominio
δ Protocolo abierto apoyado por muchas plataformas y
proveedores
γ Contras
δ Requiere configuración adicional de infraestructura
δ Requiere conectividad con el KDC (controlador de dominio de
Active Directory en entornos Windows).
ε Puerto TCP/UDP 88 (Kerberos)
ε Puerto TCP/UDP 464 (Kerberos cambiar contraseña: Windows)
10. Identificación del Cliente
Reclamo («Claims»)
α Windows
β Traslada la autenticación Integrada a una Identidad «Claims»
γ Sea NTLM o Kerberos
α FBA
β La Identificación del usuario se realiza por Membership de asp.net, y
luego se traslada a una Identidad «Claims»
α SAML
β La identificación se realiza por un servicio externo (Security Token
Provider) y luego se traslada a una Identidad «Claims»
γ Live Id
γ Windows Identity Foundation (WIF) Claims to Windows Token
Service (C2WTS)
11. Identificación en SharePoint
α Entre servidores por Claims
β Algunos servicios que se exponen en SharePoint no manejan
«Claims»
γ SQL Reporting Services
γ RSS desde orígenes identificados
12. Identificación hacia Afuera
Otros Servicios
α Sub Sistema Confiable
β Autoriza SharePoint, el servicio le cree
γ Con La Identidad del App Pool
γ Con la identidad de servicio compartido
γ Con Identificación anónima
α Delegación
β Utiliza las mismas credenciales para
identificar al usuario
γ Kerberos
γ «Claims»
δ Algunos servicios de SharePoint 2010
nativos aún no soportan Claims
13. Identificación hacia Afuera
Kerberos y restricciones
α Kerberos restrictivo
β Solo dentro del mismo dominio
γ Excel Services
γ PerformancePoint Services
γ InfoPath Forms Services
γ Visio Services
β Admite entre varios dominios del mismo Bosque
γ Business Data Connectivity service and Microsoft Business
Connectivity Services
γ Access Services
γ Microsoft SQL Server Reporting Services (SSRS)
γ Microsoft Project Server 2010
β No permite delegación
γ Microsoft SQL Server PowerPivot for Microsoft SharePoint
15. NTLM Kerberos
• Fácil • Más complejo
• Automática • Hay que implementarla en fases
• Completa para todos los servicios • Cuando lo admite, es transparente
• Requiere configurar delegaciones etc. entre servicios
por doble salto • No se lleva bien con alguno servicios
• Búsqueda
• Algunos exploradores
(incluyendo versiones de IE)
16. Kerberos
Requerimientos
α Directorio Activo
α Centro de Distribución de claves
α Servidores de servicios
β SQL Server
β SharePoint Server
α Condiciones de seguridad
β Todas las cuentas de servicio han de ser de Dominio
β La comunicación entre servidores debe ser directa
β La cuenta con que se realiza la configuración debe ser admón. del
bosque
18. Distribución
SQL AS
SQL
Search
BCS
vmSQL2k8r2-01
PPS
Web Visio
vmSQL2k8r2-02
Excel
vmSP10WFE01
MMS
SQL Cluster
c2WTS
Cliente vmSP10WFE02
SSRS
(Win7) vmSP10APP01
NLB Cluster vmSQL2k8r2-RS01
App Server
vmSQL2k8r2-RS01
SQL Reporting Services
NLB Cluster
Demos.local
19. SQL Server
α ANTES de comenzar la instalación de SharePoint 2010
α Crear los SPN (Service Principal Name)
β ADSIEDIT.msc
20. SharePoint
SETSPN
α Asi como con Asdiedit, es posible asignar nombre con
SetSpn
β setspn -a http/FQDN CuentaDelServicio (AppPool)
γ No lleva el «:» y con un solo «/»
γ En caso de utilizar un puerto fuera del estándar
δ Se deben hacer 2 entradas, una sin puerto y otra con él
δ NO se debe registrar con https aún cuando se usa SSL
β Es preferible para URLs, servicios Web, etc.
21. SharePoint
Delegación restrictiva
α Cuando se consultan elementos de otro sitio/ colección de
sitios
α Y ambos tienen cuentas de App Pools distintas
α Se deben registrar AMBOS usuarios en AMBAS colecciones
de sitios
β setspn -S http/sps1.demos.local DEMOSSpsService
β setspn -S http/sps2.demos.local DEMOSSpsService
β setspn -S http/sps2.demos.local DEMOSSpsService2
β setspn -S http/sps1.demos.local DEMOSSpsService2
22. SharePoint
Delegación restrictiva
α Habilitar además Delegación a nivel del Directorio Activo
β Admón de Usuarios y Servidores
β Ficha Delegación
γ Solo existe si el objeto tiene SPN
γ Se agregan las cuentas a delegar
23. SharePoint
Cuentas Administradas
α Las cuentas de los servicios deben registrarse como
cuentas administradas
β SharePoint Search Service Account
β SharePoint Search Administration Service Account
β SharePoint Search Query Service Account
β Web App IIS Application Pool Account 1
β Web App IIS Application Pool Account 2 …
26. Finalmente…
α Asegurarse los usuarios accedan al servicio de
identificación Kerberos
β Puerto 88
α Asegurar identificación automática para Intranet
β ¡En cada cliente!
α Si se usan nombres completos de host
β Servidor.dominio.zona
β Agregarlos (o por comodines), en la zona Intranet
27. Herramientas Útiles
α KerbTray
β Resource Kit Windows 2000
β Permite evaluar tickets Kerberos
α Fiddler
β Analiza tráfico http
α NetMon 3.4
β Analiza tráfico de TCP
28.
29. ¡No olvidéis rellenar las evaluaciones en el Portal
del Summit!
¡Nos encontraréis en la zona de exposición en los
siguientes horarios
α En cada descanso
Daniel A. Seara
Director de Formación – Colaboración y Búsqueda
MVP SharePoint Server
dseara@solidq.com