Claims to Windows Token Service (C2WTS)

  • Artikel

Der C2WTS-Dienst (Claims to Windows Token Service) von SharePoint ist erforderlich, wenn Sie die Windows-Authentifizierung für Datenquellen verwenden möchten, die außerhalb der SharePoint-Farm liegen. Dies gilt auch, wenn der Benutzer über die Windows-Authentifizierung auf die Datenquellen zugreift, weil die Kommunikation zwischen dem Web-Front-End (WFE) und dem freigegebenen Reporting Services-Dienst immer der forderungsbasierten Authentifizierung unterliegt.

C2WTS wird auch dann benötigt, auch sich die Datenquelle(n) auf demselben Computer wie der freigegebene Dienst befinden. In diesem Szenario ist jedoch keine eingeschränkte Delegierung erforderlich.

Die von C2WTS erstellten Token funktionieren nur bei der eingeschränkten Delegierung (Einschränkungen für bestimmte Dienste) und bei Verwendung der Konfigurationsoption Beliebiges Authentifizierungsprotokoll verwenden. Wenn sich die Datenquellen auf demselben Computer wie der freigegebene Dienst befinden, ist wie oben bereits erwähnt keine eingeschränkte Delegierung erforderlich.

Wenn in der Umgebung die eingeschränkte Kerberos-Delegierung verwendet wird, dann müssen sich der SharePoint Server-Dienst und externe Datenquellen in derselben Windows-Domäne befinden. Jeder Dienst, der auf C2WTS (Claims to Windows Token Service) basiert, muss die eingeschränkte Kerberos-Delegierung verwenden, damit C2WTS den Kerberos-Protokollübergang verwenden kann, um Claims in Windows-Anmeldeinformationen zu übersetzen. Diese Anforderungen gelten für alle SharePoint Shared Services. Weitere Informationen finden Sie unter Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) (https://technet.microsoft.com/de-de/library/gg502594.aspx).

Die Schritte werden unten zusammengefasst, stellen jedoch keine umfassende Aufstellung aller Einzelschritte dar.

Voraussetzungen

HinweisHinweis

Hinweis: Einige der Konfigurationsschritte ändern sich möglicherweise oder funktionieren nicht in bestimmten Farmtopologien. Bei der Installation eines einzelnen Servers werden beispielsweise keine Windows Identity Foundations-C2WTS-Dienste unterstützt, sodass Claims to Windows Token-Delegierungsszenarien innerhalb dieser Farmkonfiguration nicht zulässig sind.

Grundlegende Schritte für die C2WTS-Konfiguration

  1. Konfigurieren Sie das Dienstkonto, das Sie für das C2WTS-Konto verwenden möchten. Das Konto, das Sie für C2WTS-Anforderungen verwenden, muss über die folgenden Berechtigungen für lokale Richtlinien verfügen:

    • Einsetzen als Teil des Betriebssystems

    • Annehmen der Identität eines Clients nach der Authentifizierung

    • Anmelden als Dienst

    Das Konto, das Sie für C2WTS verwenden, muss außerdem für die eingeschränkte Delegierung mit Protokollübergang konfiguriert werden. Außerdem benötigt es Berechtigungen für die Delegierung an Dienste, mit denen es kommunizieren muss (d.h. SQL Server Engine, SQL Server Analysis Services). Verwenden Sie das Snap-In "Active Directory-Benutzer und -Computer", um die Delegierung zu konfigurieren.

    1. Klicken Sie mit der rechten Maustaste auf jedes Dienstkonto, und öffnen Sie das Eigenschaftendialogfeld. Klicken Sie im Dialogfeld auf die Registerkarte Delegierung.

      HinweisHinweis

      Hinweis: Die Registerkarte Delegierung ist nur sichtbar, wenn dem Objekt ein SPN zugewiesen wurde. C2WTS erfordert grundsätzlich keinen SPN für das C2WTS-Konto; ohne einen SPN ist die Registerkarte Delegierung jedoch nicht sichtbar. Eine Alternative zur Konfiguration der eingeschränkten Delegierung ist die Verwendung des Hilfsprogramms ADSIEdit.

    2. Wesentliche Konfigurationsoptionen auf der Registerkarte "Delegierung":

      • Option "Benutzer bei Delegierungen angegebener Dienste vertrauen"

      • Option "Beliebiges Authentifizierungsprotokoll verwenden"

      Weitere Informationen finden Sie im Abschnitt über die Konfiguration der eingeschränkten Kerberos-Delegierung für Computer und Dienstkonten im folgenden Whitepaper Configuring Kerberos authentication for SharePoint 2010 and SQL Server 2008 R2 products.

  2. Konfigurieren von C2WTS 'AllowedCallers'

    C2WTS erfordert, dass die Identitäten der 'Aufrufer' in der Konfigurationsdatei c2wtshost.exe.config explizit aufgeführt sind. C2WTS akzeptiert keine Anforderungen sämtlicher authentifizierter Benutzer im System, e sei denn, der Dienst wurde entsprechend konfiguriert. In diesem Fall entspricht der 'Aufrufer' der WSS_WPG-Windows-Gruppe. Die Datei c2wtshost.exe.config wird im folgenden Ordner gespeichert:

    \Programme\Windows Identity Foundation\v3.5 \c2wtshost.exe.config

    Im folgenden Beispiel wird die Konfigurationsdatei gezeigt:

    <configuration>
  <windowsTokenService>
    <!--
        By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.
        Add the identities you wish to allow below.
      -->
    <allowedCallers>
      <clear/>
      <add value="WSS_WPG" />
    </allowedCallers>
  </windowsTokenService>
</configuration>

  3. Starten Sie den C2WTS-Dienst des Betriebssystems:

    1. Konfigurieren Sie den Dienst für die Verwendung des Dienstkontos, das Sie im vorangehenden Schritt konfiguriert haben.

    2. Ändern Sie den Starttyp in Automatisch, und starten Sie den Dienst.

  4. Starten Sie den Claims to Windows Token Service von SharePoint: Starten Sie den Claims to Windows Token Service über die SharePoint-Zentraladministration auf der Seite Dienste auf dem Server verwalten. Der Dienst sollte auf dem Server gestartet werden, auf dem die Aktion ausgeführt wird. Wenn Sie z. B. über einen WFE-Server und einen Anwendungsserver verfügen, auf dem der freigegebene Reporting Services-Dienst ausgeführt wird, müssen Sie C2WTS nur auf dem Anwendungsserver starten. C2WTS wird auf dem WFE-Server nicht benötigt.

Siehe auch

Andere Ressourcen

Übersicht über Claims to Windows Token Service (C2WTS) (https://msdn.microsoft.com/de-de/library/ee517278.aspx) (C2WTS)

Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)