Planen der Kerberos-Authentifizierung (SharePoint Server 2010)
Gilt für: SharePoint Foundation 2010, SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
Microsoft SharePoint Server 2010 unterstützt mehrere Methoden der Authentifizierung. Für Bereitstellungen, für die sichere Authentifizierung, Delegierung von Clientidentitäten und ein niedriges Aufkommen an Netzwerkverkehr benötigt werden, können Sie Kerberos-Authentifizierung wählen. Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Server 2010).
Inhalt dieses Artikels:
Kerberos-Authentifizierung und Microsoft SharePoint Server 2010
Kerberos-Authentifizierung und anspruchsbasierte Authentifizierung
Kerberos-Authentifizierung und Microsoft SharePoint Server 2010
| Gründe, die für Kerberos-Authentifizierung sprechen | Gründe, aus denen Kerberos-Authentifizierung für ein bestimmtes Bereitstellungsszenario u. U. nicht geeignet ist |
|---|---|
Kerberos ist das sicherste Protokoll für die integrierte Windows-Authentifizierung. Es unterstützt erweiterte Sicherheitsfeatures wie etwa AES-Verschlüsselung (Advanced Encryption Standard) und gegenseitige Authentifizierung. |
Kerberos-Authentifizierung erfordert eine weiter gehende Konfiguration der Infrastruktur und der Umgebung, damit sie ordnungsgemäß funktioniert. In vielen Fällen werden zum Konfigurieren dieser Authentifizierungsmethode Domänenadministratorrechte benötigt. Kerberos-Authentifizierung ist u. U. schwierig einzurichten und zu verwalten. Wird Kerberos falsch konfiguriert, kann es sein, dass Ihre Websites nicht erfolgreich authentifiziert werden können. |
Kerberos ermöglicht die Delegierung von Clientanmeldeinformationen. |
Die Kerberos-Authentifizierung erfordert eine Anbindung des Clientcomputers an ein Schlüsselverteilungscenter (Key Distribution Center, KDC) und an einen Domänencontroller der Active Directory-Domänendienste (Active Directory Domain Services, AD DS). In einer Windows-Bereitstellung ist das Schlüsselverteilungscenter ein AD DS-Domänencontroller. Das ist zwar in einer Unternehmensumgebung eine übliche Netzwerkkonfiguration, für Bereitstellungen mit Internetzugriff jedoch eher untypisch. |
Kerberos unterstützt die gegenseitige Authentifizierung von Clients und Servern. |
|
Von den verfügbaren sicheren Authentifizierungsmethoden erzeugt Kerberos den wenigsten Netzwerkdatenverkehr zu Domänencontrollern. Kerberos kann in bestimmten Szenarien die Seitenwartezeit verringern oder in bestimmten Szenarien die Anzahl der Seiten, die ein Front-End-Webserver bedienen kann, erhöhen. Zudem kann Kerberos die Last auf den Domänencontrollern reduzieren. |
|
Kerberos ist ein offenes Protokoll, das von zahlreichen Plattformen und Herstellern unterstützt wird. |
Kerberos ist ein sicheres Protokoll, das eine Authentifizierungsmethode unterstützt, bei der von einer vertrauenswürdigen Quelle bereitgestellte Tickets verwendet werden. Kerberos-Tickets sind die Netzwerk-Anmeldeinformationen eines Benutzers, der einem Clientcomputer zugeordnet ist. Das Kerberos-Protokoll bestimmt, wie Benutzer mit einem Netzwerk-Authentifizierungsdienst interagieren, um Zugriff auf Netzwerkressourcen zu erhalten. Das Kerberos-Schlüsselverteilungscenter gibt im Namen eines Benutzers ein Ticket an einen Clientcomputer heraus. Nachdem ein Clientcomputer eine Netzwerkverbindung zu einem Server hergestellt hat, fordert er Netzwerkzugriff an, indem er dem Server das Kerberos-Authentifizierungsticket übermittelt. Enthält die Anforderung zulässige Benutzeranmeldeinformationen, gewährt das Schlüsselverteilungscenter Zugriff. Für Dienstanwendungen muss das Authentifizierungsticket auch einen zulässigen Dienstprinzipalnamen (Service Principal Name, SPN) enthalten. Damit Kerberos-Authentifizierung möglich ist, müssen der Client- und der Servercomputer bereits über eine vertrauenswürdige Verbindung zum Schlüsselverteilungscenter verfügen. Außerdem müssen Client- und Servercomputer auf Active Directory-Domänendienste zugreifen können.
Kerberos-Delegierung
Die Kerberos-Authentifizierung unterstützt die Delegierung von Clientidentitäten. Das bedeutet, dass ein Dienst die Identität eines authentifizierten Clients annehmen kann. Durch den Identitätswechsel kann ein Dienst die authentifizierte Identität im Namen des Clients an andere Netzwerkdienste übergeben. Auch die anspruchsbasierte Authentifizierung kann zum Delegieren von Clientanmeldeinformationen verwendet werden, dazu muss allerdings die Back-End-Anwendung Ansprüche unterstützen. Derzeit können einige wichtige Dienste Ansprüche nicht unterstützen.
Bei Verwendung in Verbindung mit Microsoft SharePoint Server 2010 ermöglicht es die Kerberos-Delegierung, dass ein Front-End-Dienst einen Client authentifiziert und sich dann anhand der Identität des Clients bei einem Back-End-System authentifiziert. Das Back-End-System führt dann eine eigene Authentifizierung durch. Wenn ein Client sich mithilfe der Kerberos-Authentifizierung bei einem Front-End-Dienst authentifiziert, kann mit der Kerberos-Delegierung die Identität eines Clients an ein Back-End-System übergeben werden. Das Kerberos-Protokoll unterstützt zwei Typen der Delegierung:
Kerberos-Standarddelegierung (uneingeschränkt)
Eingeschränkte Kerberos-Delegierung
Kerberos-Standarddelegierung und eingeschränkte Kerberos-Delegierung
Die Kerberos-Standarddelegierung funktioniert über Domänengrenzen innerhalb derselben Gesamstruktur hinweg, aber nicht über die Grenzen von Gesamtstrukturen hinweg. Bei der eingeschränkten Kerberos-Delegierung können weder Domänen- noch Gesamtstrukturgrenzen überschritten werden. Je nachdem, welche Dienstanwendungen Teil einer SharePoint Server 2010-Bereitstellung sind, kann bei Implementierung von Kerberos-Authentifizierung mit SharePoint Server 2010 die Verwendung von eingeschränkter Kerberos-Delegierung erforderlich sein. Daher müssen für die Bereitstellung von Kerberos-Authentifizierung mit folgenden Dienstanwendungen SharePoint Server 2010 und alle externen Datenquellen in der gleichen Windows-Domäne vorhanden sein:
Excel Services
PerformancePoint-Dienste
InfoPath Forms Services
Visio Services
Für die Bereitstellung von Kerberos-Authentifizierung mit einer der folgenden Dienstanwendungen kann SharePoint Server 2010 entweder Kerberos-Standarddelegierung oder eingeschränkte Delegierung verwenden:
Business Data Connectivity Service und Microsoft Business Connectivity Services
Access Services
Microsoft SQL Server Reporting Services (SSRS)
Microsoft Project Server 2010
Dienste, die Kerberos-Authentifizierung unterstützen, können Identitäten mehrmals delegieren. Während eine Identität zwischen Diensten übertragen wird, kann sich die Delegierungsmethode von Kerberos-Standarddelegierung in die eingeschränkte Kerberos-Delegierung ändern. Umgekehrt ist dies jedoch nicht möglich. Die Delegierungsmethode kann sich nicht von eingeschränkter in Kerberos-Standarddelegierung ändern. Daher ist es wichtig, im Vorfeld bereits zu klären, ob ein Back-End-Dienst Kerberos-Standarddelegierung erfordert oder nicht, und entsprechend vorauszuplanen. Dies hat einen Einfluss auf die Planung und den Entwurf von Domänengrenzen.
Ein Kerberos-fähiger Dienst kann mithilfe des Protokollübergangs eine Kerberos-fremde Identität in eine Kerberos-Identität umwandeln, die dann an andere Kerberos-fähige Dienste delegiert werden kann. Diese Fähigkeit kann z. B. zum Delegieren einer Kerberos-fremden Identität von einem Front-End-Dienst an eine Kerberos-Identität in einem Back-End-Dienst verwendet werden.
Wichtig
Für den Protokollübergang ist die eingeschränkte Kerberos-Delegierung erforderlich. Deshalb können Identitäten mit Protokollübergang keine Domänengrenzen überwinden.
Alternativ zur Kerberos-Delegierung kann anspruchsbasierte Authentifizierung verwendet werden. Bei der anspruchsbasierten Authentifizierung kann der Authentifizierungsanspruch eines Clients zwischen zwei verschiedenen Diensten übergeben werden, wenn die Dienste alle folgenden Kriterien erfüllen:
Zwischen den Diensten besteht eine Vertrauensstellung.
Beide Dienste unterstützen Ansprüche.
Weitere Informationen zur Kerberos-Authentifizierung finden Sie in folgenden Ressourcen:
Funktionsweise des Kerberos Version 5-Authentifizierungsprotokolls (https://go.microsoft.com/fwlink/?linkid=196644&clcid=0x407)
Microsoft Kerberos (https://go.microsoft.com/fwlink/?linkid=125740&clcid=0x407)
Kerberos-Authentifizierung und anspruchsbasierte Authentifizierung
SharePoint Server 2010 unterstützt anspruchsbasierte Authentifizierung. Die anspruchsbasierte Authentifizierung baut auf Windows Identity Foundation (WIF) auf, einem Satz von .NET Framework-Klassen, mit denen anspruchsbasierte Identität implementiert wird. Eine weitere Grundlage für diese Authentifizierungsmethode sind Standards wie WS-Federation und WS-Trust. Weitere Informationen zur anspruchsbasierten Authentifizierung finden Sie in folgenden Ressourcen:
Anspruchsbasierte Identität für Windows: Eine Einführung in Active Directory-Verbunddienste 2.0, Windows CardSpace 2.0 und Windows Identity Foundation (Whitepaper) (https://go.microsoft.com/fwlink/?linkid=198942&clcid=0x407)
Homepage für Windows Identity Foundation (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x407)
Einführung in Ansprüche (https://go.microsoft.com/fwlink/?linkid=217399&clcid=0x407)
Anspruchsbasierte Identität in SharePoint (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x407)
Wenn Sie eine SharePoint Server 2010-Webanwendung erstellen, können Sie einen von zwei Authentifizierungsmodi auswählen: anspruchsbasiert oder klassisch. Bei neuen Implementierungen von SharePoint Server 2010 ist meist die anspruchsbasierte Authentifizierung vorzuziehen. Wenn Sie anspruchsbasierte Authentifizierung festlegen, sind alle unterstützten Authentifizierungstypen für Ihre Webanwendungen verfügbar.
Bei den folgenden Dienstanwendungen müssen die anspruchsbasierten Anmeldeinformationen in Windows-Anmeldeinformationen übersetzt werden. Dies geschieht mithilfe des Dienstes C2WTS (Claims to Windows Token Service, Ansprüche-zu-Windows-Tokens-Dienst):
Excel Services
PerformancePoint-Dienste
InfoPath Forms Services
Visio Services
Für die Dienstanwendungen, die C2WTS benötigen, muss die eingeschränkte Kerberos-Delegierung verwendet werden. Der Grund hierfür ist, dass C2WTS einen Protokollübergang erfordert, und dieser wird nur von der eingeschränkten Kerberos-Delegierung unterstützt. Für die Dienstanwendungen in der vorstehenden Liste übersetzt C2WTS Ansprüche innerhalb der Farm in Windows-Anmeldeinformationen für die ausgehende Authentifizierung. Es ist wichtig zu wissen, dass diese Dienstanwendungen C2WTS nur dann nutzen können, wenn als eingehende Authentifizierungsmethode entweder klassische oder anspruchsbasierte Authentifizierung festgelegt wurde. Dienstanwendungen, auf die über Webanwendungen zugegriffen wird und die SAML-Ansprüche oder Ansprüche aus formularbasierter Authentifizierung verwenden, verwenden C2WTS nicht und können daher Ansprüche nicht in Windows-Anmeldeinformationen übersetzen.
Ausführliche Anleitungen zum Konfigurieren von Kerberos in neun konkreten Szenarien, einschließlich Bereitstellung der Kernfunktionalität, drei Microsoft SQL Server-Lösungen und Szenarien, in denen Excel Services, PowerPivot für SharePoint, Visio Services, PerformancePoint-Dienste und Business Connectivity Services verwendet werden, finden Sie unter Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte (https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x407).