Dentro de SharePoint Mantener las credenciales de cuenta de seguridad
Pav Cherny
Contenido
Cambios de contraseña en un entorno de SharePoint
Solucionar problemas de credenciales de conjunto de servidores
Conclusión
Con frecuencia cambiar conjunto de credenciales y cuenta de seguridad las contraseñas son mediciones importantes para mantener un conjunto de Microsoft Office SharePoint Server (MOSS) seguros. Aún para los administradores, estas tareas son tediosas y repetitivas. Las herramientas son difíciles de utilizar, los procesos subyacentes son complejos, es difícil encontrar una buena documentación y hay un determinado riesgo de dañar el conjunto de servidores, incluso cuando se siguen todos los procedimientos adecuados.
Agregar a la mezcla es problemático consejo técnico por técnico de Microsoft soporte técnico (PSS). En una parte, hay artículos de Knowledge Base (KB) útiles, como" Cómo cambiar cuentas de servicio y contraseñas de cuenta de servicio en SharePoint Server 2007 y en Windows SharePoint Services 3.0." Y por otro lado, hay desastres, como" Mensaje de error al que intentar utilizar el SharePoint Products y el Asistente para tecnologías: ' excepciones: System.ArgumentException: error durante la cifrado o descifrado.'"
El artículo anterior indica que debe crear una nueva base de datos de configuración si no se pueden descifrar las credenciales de cuenta de una aplicación Web ya. Esto puede suceder si usa un modificador de comandos crítica en el momento equivocado o si el proceso de actualización del conjunto de servidores credenciales finaliza sin éxito por cualquier motivo. En este artículo de Knowledge Base hizo un trabajo bien de instilling miedo de administradores que cambiar el conjunto de credenciales puede dañar un conjunto de servidores irreparably. ¿Quién puede esperar los clientes a mantener la seguridad en sus entornos de SharePoint al cambiar con frecuencia contraseñas de cuentas del conjunto de servidores y la seguridad si se enfrentan ese tipo de riesgo?
Los clientes no borrar sin Active Directory para restablecer las cuentas de usuario y no se deben forzar barrido fuera de sus bases de datos de configuración de SharePoint, o bien simplemente porque se ha perdido una contraseña de la aplicación Web se. No es necesario crear una nueva base de datos de configuración. En la mayoría de los casos, es suficiente utilizar la herramienta de Stsadm.exe estándar para sobrescribir las credenciales dañadas. Y en todos los demás casos, puede restablecer las contraseñas y conservar la base de datos de configuración mediante las herramientas incluidas en el material complementario, disponible en el Descarga de código de febrero de 2009. Restablecer contraseñas de Windows SharePoint Services (WSS) 3.0 y MOSS 2007 entornos no requiere acceso a claves de credenciales antiguas ni una nueva base de datos de configuración. Pero requiere mejores herramientas de soporte técnico de Microsoft y una mejor documentación de los procesos subyacentes que facilitan los cambios de contraseña.
Esto es la primera columna de una serie de dos partes en el que revisión de los procedimientos estándar y herramientas para mantener cuentas de seguridad de SharePoint de, describa las limitaciones, resalte los riesgos y sugerir un enfoque alternativo para lograr una mayor seguridad, reducir la sobrecarga administrativa y, por tanto, reducir costo total de propiedad (TCO) en entornos de SharePoint. Esta primera parte se ocupa los detalles de arquitectura y el proceso complicado de realizar los cambios de contraseña.
Es esencial para comprender cómo SharePoint trata las cuentas de seguridad y las contraseñas mantenga la seguridad manualmente mediante secuencias de comandos o mediante una solución totalmente automatizada, como la que introducirá en la columna siguiente mes. Para mantener mi explicaciones realistas y práctica orientado a, volverán basan en un entorno de prueba. En esta primera parte, una instalación sencilla de un solo servidor es suficiente, tal y como se describe en las hojas de cálculo complementario. Como siempre, mi hojas de cálculo y herramientas complementario son para las prácticas de pruebas sólo y no se van a utilizar en entornos de producción. Use Mis herramientas bajo su propia responsabilidad.
Cambios de contraseña en un entorno de SharePoint
Cambiar la contraseña de una cuenta de seguridad de SharePoint o cuenta de configuración del conjunto es una tarea realmente compleja. Entre otras cosas, debe aplicar los cambios en Active Directory y en el servidor de SharePoint base de local Administrador de cuentas de seguridad (SAM) datos, en la base de datos Administrador de control de servicios (SCM), en la metabase de IIS, en SQL Server y, por supuesto, en el contenido de SharePoint y las bases de datos de configuración.
También debe replicar los cambios en todos los demás servidores del conjunto para aplicar los cambios de forma coherente. Quizás tenga que volver a cifrar todas las contraseñas de todos los servicios de SharePoint y grupos de aplicaciones para todos los servidores del conjunto si los cambios afectan a la clave de credencial del conjunto de servidores, que es la clave de cifrado que SharePoint utilizará para proteger las contraseñas de cuentas de seguridad de la base de datos de configuración. Cuando cambie la contraseña de cuenta configuración del conjunto, implícitamente cambiarán clave de credencial el conjunto de servidores. Figura 1 muestra el proceso en un conjunto de servidores con dos servidores front-end. Francamente, resulta impresionante que funciona este proceso, así como lo hace.
Figura 1 cambiar la contraseña de una cuenta de seguridad de SharePoint
Todos los cambios de contraseña de cuenta de seguridad comenzar en Active Directory, y desde ese momento, hasta que actualice la contraseña afectada en SharePoint, el conjunto de servidores está en un estado incoherente. La contraseña ahora no actualizada en IIS y en otros lugares, pero SharePoint está todavía operativa.
Esto es buenas noticias para organizaciones con los requisitos de alta disponibilidad. Los cambios de contraseña no requieren el reinicio del sistema. Servicios de Windows e IIS puede seguir usando el token de seguridad obtiene mediante el registro en la cuenta de seguridad afectados con la contraseña antigua cuando inició el servidor por última vez. Pero no reiniciar IIS o todo el servidor durante la fase transición de incoherencia de contraseña.
IIS y otros servicios podrían no podrá iniciar sesión con la contraseña antigua durante el reinicio, y el grupo de aplicaciones afectados o el servicio no podrían a ponerse en conexión ya. En esta situación, IIS, escribe una advertencia al registro de sucesos del servidor (consulte la figura 2 ). Por lo que no esperar demasiado tiempo con la actualización de contraseña en SharePoint sigue el cambio de contraseña en Active Directory.
La Figura 2 IIS advierte sobre las credenciales de grupo de aplicaciones obsoletas
Para actualizar la contraseña de una cuenta del grupo de aplicaciones, debe utilizar Administración central de SharePoint 3.0 (_admin/FarmCredentialManagement.aspx) o el comando de Stsadm.exe siguiente:
stsadm -o updateaccountpassword -userlogin <DOMAIN\USER>
-password <PASSWORD> -noadmin
Como respuesta, SharePoint cifra la contraseña nueva mediante credencial clave el conjunto de servidores y sobrescribe la antigua contraseña cifrada en la base de datos de configuración. A continuación, SharePoint actualiza la información de cuenta en la metabase de IIS y en otros lugares necesarios. Una vez que esto se consigue, SharePoint genera un trabajo de temporizador de tipo SPContentAppPoolCredentialDeploymentJobDefinition para implementar las nuevas credenciales en los servidores restantes de la matriz, que coloca en la base de datos de configuración.
Como visto en la figura 1 , SharePoint se basa en trabajos del temporizador para aplicar la configuración administrativa globalmente en todos los servidores del conjunto. Los servicios de temporizador de SharePoint en los servidores restantes del conjunto de recoger el trabajo y en consecuencia actualizar la configuración de seguridad local en sus servidores con la ayuda del servicio de administración de WSS (SPAdmin) para devolver el conjunto de servidores en un estado coherente.
Éste es el proceso de cuentas de grupo de aplicaciones, pero hay muchos otros tipos de servicios de SharePoint que utilizan cuentas de seguridad, tales como el propio servicio de temporizador de SharePoint, los WSS servicio de búsqueda en Ayuda, posiblemente, proveedores de servicios compartidos (SSP), servicio de búsqueda de Office SharePoint Server y servicio de (SSO) de inicio de sesión único. Hay puede aún más servicios, según las soluciones instaladas en el conjunto de servidores, y cada tipo de servicio tiene requisitos de actualización de contraseña distinta. El artículo en support.microsoft.com/kb/934838 contiene una lista de comandos que deben utilizar para las cuentas de servicio de WSS 3.0 y MOSS 2007. Consulte la documentación de producto de las soluciones adicionales que utilizas para más herramientas, comandos y procedimientos de actualización.
Esto muy diversified y uncoordinated horizontal de las herramientas y comandos es una de las desventajas de la arquitectura de seguridad de SharePoint actual. Éste no se escala bien y puede impulsar hacia arriba de costo total de propiedad según el número de soluciones personalizadas en el conjunto de servidores que usan las credenciales de seguridad. En la segunda parte de esta serie, enseñará para que aparezca bajo el control para que pueda utilizar una única solución para realizar todas las actualizaciones necesarias independientemente de los tipos subyacentes de servicio.
El escenario de actualización más importante afecta a las credenciales del conjunto de servidores. La contraseña de la cuenta de conjunto de servidores es especial porque afecta a las clave de credencial el conjunto de servidores, que se utiliza para cifrar todas las contraseñas en el conjunto de servidores, como se mencionó anteriormente. Por lo tanto, tras un cambio de contraseña de la cuenta del conjunto de servidores de Active Directory, debe actualizar SharePoint mediante el comando:
stsadm -o updatefarmcredentials -userlogin <DOMAIN\USER>
-password <PASSWORD>
A SharePoint, a continuación, debe cifrar todas las contraseñas (cifradas) existentes en la base de datos de configuración, debe actualizar la cuenta de servicio de temporizador de SharePoint (que utiliza la cuenta de conjunto de servidores como su identidad) y deben propagar estos cambios de nuevo en todos los servidores del conjunto by means of un trabajo de temporizador de tipo SPAdminAppPoolCredentialDeploymentJobDefinition.
Muchas cosas pueden ir mal durante esta fase. Obtener podría bloquearse el trabajo del temporizador en la cola, como se muestra en la figura 3 , o el proceso de actualización podría producirá un error inesperado, debido quizá a un corte de energía repentina, dejando detrás antiguas contraseñas cifradas que SharePoint ahora no puede descifrar ya porque cambió la clave de credencial.
La figura 3 un trabajo de implementación de credenciales bloquearse en la cola porque el servicio de temporizador de SharePoint no se está ejecutando en todos los servidores del conjunto de servidores
En otro escenario, se pueden actualizar las contraseñas de cuentas de grupo de aplicaciones antes de las nuevas credenciales del conjunto alcanzó todos los servidores del conjunto, provocando servidores con la clave de credencial obsoleta para producirá un error porque no puede descifrar la contraseña actualizada en la base de datos de configuración pero, como ilustrados en la figura 4 . Se trata de un escenario interesante y la razón para el de conmutador noadmin en el comando updateaccountpassword. Si la cuenta de conjunto de servidores también se utiliza como una cuenta del grupo de aplicaciones (no recomendada), a continuación, debe actualizar el conjunto de credenciales en primer lugar, espere hasta que todos los servidores en el conjunto de servidores procesó el trabajo de temporizador y después actualizar los grupos de aplicaciones.
La figura 4 mantener las actualizaciones de fondo de las aplicaciones hasta que se ha procesado el trabajo Administration Application Pool Credential Deployment
Igualmente, el comando updateaccountpassword comprueba si la cuenta de seguridad especificado es la cuenta de conjunto de servidores y le informa acerca de las dependencias si éste es el caso sin realizar la actualización. Mediante el parámetro de modificador noadmin deshabilita esta comprobación y aplica la contraseña modificada a la cuenta en la configuración de grupo de la aplicación, pero es difícil automatizar estos procedimientos en una secuencia de comandos con adecuado un tiempo de posposición.
Solucionar problemas de credenciales de conjunto de servidores
Ahora examinemos un más de cerca el comando updatefarmcredentials. Se trata con un modificador peligroso que puede causar dificultades excelente, especialmente si se utiliza como se describe en el artículo" Mensaje de error al que intentar utilizar el SharePoint Products y el Asistente para tecnologías: ' excepciones: System.ArgumentException: error durante la cifrado o descifrado”. Estoy hace referencia al modificador denominado - local. Los desarrolladores de SharePoint presentó este modificador para realizar manualmente las actualizaciones de credenciales de conjunto de servidores local. La idea es que se puede eliminar un trabajo de temporizador de la cola de administración central (_admin/ServiceJobDefinitions.aspx) si el trabajo está dañado o no procesado por cualquier otra razón y, a continuación, realice el paso es necesario actualizar directamente mediante el comando:
stsadm -o updatefarmcredentials -userlogin <DOMAIN\USER>
-password <PASSWORD> -local
El parámetro-local modificador indica el comando updatefarmcredentials para aplicar el cambio de contraseña sólo en el equipo local. Es importante para que reconozca, sin embargo, que esta actualización afecta a la clave de credenciales y el servicio de temporizador de SharePoint, pero no los grupos de aplicaciones, buscar en servicio, proveedores de servicios compartidos (SSP) y así sucesivamente. Se supone que ya ejecutó la updatefarmcredentials comando sin el modificador local en otro servidor en el conjunto de servidores y, por tanto, re-encrypted todas las contraseñas en la base de datos de configuración. No es necesario realizar este paso re-encryption de nuevo. Pero ¿qué ocurre si utiliza el parámetro de modificador local sin realizar este paso?
Mediante el - modificador local sin que se ejecute primero los updatefarmcredentials comando sin este modificador causa problemas porque la opción-local cambiar cambia la clave de credencial. Las contraseñas del grupo de aplicación se cifran con la clave antigua en la base de datos de configuración, pero ahora se sobrescribe esta clave.
Eche un vistazo a la figura 5 . No se puede ejecutar el updatefarmcredentials comando sin el modificador local ya porque esto requiere re-encryption de contraseñas que ya no se puede descifrar. Cuando el comando falla, puede encontrar las entradas en el registro de eventos de aplicación que indica: "Error re-encrypting credencial ID 022e607e-b49e-40e4-bd3f-f56a3c69f94d con propietario ID 431b6897-16eb-4b9a-be65-60f1f603008d durante la implementación de credenciales de grupo de aplicación de administración, vuelva a crear credenciales manualmente. Operación no es válida debido al estado actual del objeto."
La figura 5 no se puede volver a cifrar las contraseñas de grupo de aplicación, ya que las contraseñas pueden ya no se dispone se podrán descifrar
Si acaba de cambiar la cuenta de conjunto de servidores en una implementación single-server de la cuenta de servicio de red a una cuenta de dominio, estará en problemas reales porque no se puede cambiar volver a la antigua clave de credencial en este caso. El servicio de red no utiliza una contraseña y la clave de credencial, por tanto, es aleatoria.
En una búsqueda para obtener ayuda, puede encontrarse con " Mensaje de error al que intentar utilizar el SharePoint Products y el Asistente para tecnologías: ' excepciones: System.ArgumentException: error durante la cifrado o descifrado” artículo he mencionado anteriormente y sin conocimiento, los problemas más empeora porque ahora sabe que debe crear una nueva base de datos configuración para librarse de estas contraseñas que ya no se pueden descifrar. Es un constellation unbelievable de circunstancias una pena. No se podrá ejecutar los updatefarmcredentials comando con el modificador local en primer lugar, o el comando debe crear una copia copia de seguridad de la clave credencial anterior para volver a se pueden cifrar las contraseñas más adelante. O simplemente debe detectar que las contraseñas no están todavía re-encrypted y volver a cifrarlo ellos en este momento.
En su lugar, el parámetro-local modificador va adelantado y Afortunadamente daña su base de datos de configuración de SharePoint sin las advertencias, tal como se muestra en la figura 5 . Una herramienta de soporte técnico de Microsoft para restablecer esas contraseñas que ya no se pueden descifrar sería de útil. Y, por supuesto, documentación de producto adecuado advierte la naturaleza crítica de determinadas operaciones de línea de comandos y le fuera de este problema podría también pueden apreciar.
La buena noticia es que el comando updateaccountpassword puede cifrar nuevas contraseñas de cuentas de grupo de aplicaciones sin tener que descifrar las contraseñas antiguas. Por lo tanto, puede utilizar este comando para actualizar todos los grupos de aplicaciones que utilizan las cuentas de dominio. Esto debe se encargan de la mayor parte, si no todas, las contraseñas están dañadas. Por desgracia, no podrá utilizar este comando para actualizar los grupos de aplicaciones que utilizan la cuenta de servicio de red. Esta cuenta no requiere una contraseña, por lo que el comando updateaccountpassword no se aplica.
Curiosamente, la cuenta de servicio de red puede asociarse con datos de contraseña de la base de datos de configuración. Nuevos grupos de aplicaciones que utilizan el servicio de red no tienen contraseñas, pero si alguna vez cambia el grupo de aplicaciones para usar una cuenta de dominio y, a continuación, volver de nuevo, el servicio de red hereda la referencia de la contraseña de la cuenta de dominio. SharePoint no establece la contraseña en null (prácticas de codificación incorrecta) y estos datos rubbish ahora hace que el problema.
Es un toque ironic que los clientes se supone que para iniciar inmediatamente sus bases de datos de configuración porque ya no se pueden descifrar rubbish y datos completamente inútiles. Si estás suerte, puede cambiar la configuración grupo de aplicación en la administración central (_admin/FarmCredentialManagement.aspx) y especificar una cuenta de dominio. Si estás desafortunado, encuentra el error de cifrado y descifrado aparece en la figura 6 . No puede cambiar la cuenta en la administración central, no podrá utilizar el comando updateaccountpassword, no puede ejecutar el Asistente para configuración de las tecnologías de productos de SharePoint y y no puede actualizar las credenciales del conjunto de servidores mediante el comando updatefarmcredentials. Ahora ¿qué puede hacer?
Figura 6 quedado problemas causados por la contraseña del servicio de red no deseado en la base de datos de configuración
Para solucionar este problema, necesitará una herramienta que se coloca directamente en la base de datos de configuración y quita el correo no deseado, como la herramienta restablecer contraseña AppPool, ilustra en la figura 7 y se incluye con código fuente en el material complementario. Esta herramienta es muy sencilla. Extrae los datos de grupos de aplicaciones que utilizan las cuentas con las contraseñas cifradas asociadas directamente fuera de la base de datos de configuración y, a continuación, se utiliza el modelo de objetos de SharePoint para determinar si se puede descifrar la contraseña del grupo de aplicación.
La figura 7 Resetting dañado las contraseñas para null
Si se produce un acceso a la contraseña a través del modelo de objetos Error con una excepción de argumento, la contraseña está dañada. Aquí, la herramienta tendrá una oportunidad para reemplazar la matriz de la contraseña de valores de byte cifrado con una referencia null y guarda que los cambios de nuevo en la base de datos de configuración. Cadenas vacías no necesitan ser descifrados y, por tanto, no provocar una excepción de argumento. Problema resuelto.
Con el fin completar el proceso de reparación, recomienda que actualizar las credenciales del conjunto de servidores y posteriormente, cuentas de grupos aplicación todas utilizando Stsadm.exe y la administración central. El conjunto de servidores es nuevo en un estado coherente y no tiene que producir fuera de la base de datos de configuración.
Conclusión
A pesar del hecho de que el cambio del conjunto de credenciales y contraseñas de cuentas de seguridad es un proceso tedioso y propensa, deberá miedo que cambiar el conjunto de credenciales dañará el conjunto de servidores irreparably. Incluso si pierde la clave de credencial actual, se puede reparar la base de datos de configuración. Simplemente tiene que restablecer las contraseñas afectadas y esto es posible a través de la herramienta de Stsadm.exe estándar o una herramienta de base de datos de bajo nivel, como restablecer contraseña GrupoApl. Por tanto, mantener cambia las credenciales de conjunto de servidores y las cuentas de seguridad con frecuencia, utilice contraseñas seguras y no utilizar el servicio de red como una cuenta de seguridad porque complica la configuración de conjunto de servidores y solución de problemas. Utilice cuentas de dominio dedicados.
Ahora que ha solucionado los riesgos de daños en base de datos a través de los cambios de contraseña, se centra la atención sobre el problema real en la arquitectura de seguridad de SharePoint: la arquitectura actual no alojar los cambios de contraseña muy bien. Tiene que aplicar demasiados comandos en un orden más o menos específico en función de deberá actualizar en el conjunto de los tipos de servicio. Algunos comandos tienen modificadores peligrosos; algunos no. Algunos comandos pueden dañar la base de datos de configuración; otros están inofensivo. Algunos servicios necesitan actualizarse de forma global a través de todo el conjunto de servidores y otros usuarios son locales a un servidor específico.
En cualquier caso, carga de trabajo administrativo es alto debido a las complejidades implicadas; seguridad es normalmente bajo debido a planes de cambios poco frecuentes, las contraseñas poco seguras y secuencias de comandos que tratan con las contraseñas en texto sin cifrar. En mi columna próxima, mostraré cómo abordar estos problemas y eliminarlos, y para todos los servicios de tipos, incluidos los no todavía desarrollado, lo que sus requisitos de actualización de contraseña. No hay más cambios de contraseña (manual).
Pav Cherny es un experto en TI y el autor especializado en tecnologías de Microsoft para la colaboración y comunicación unificada. Sus publicaciones incluyen notas del producto, manuales de producto y libros con un foco sobre las operaciones y administración del sistema. Pav es presidente de Biblioso Corporation, una empresa que está especializada en servicios administrados de documentación y localización.