Делегирование удостоверений для служб Visio (SharePoint Server 2010)

Применимо к: SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В этом сценарии в среду SharePoint Server добавляется приложение-служба служб Visio, а также выполняется настройка ограниченного делегирования Kerberos, позволяющего службе обновлять данные в веб-документе Visio с использованием внешнего источника данных SQL Server.

Зависимости сценария

Для выполнения этого сценария необходимо выполнить процедуры в следующих статьях:

• Сценарий 1. Базовая конфигурация

• Сценарий 2. Проверка подлинности Kerberos для SQL OLTP

Контрольный список для настройки

Сведения о среде сценария

Пути ограниченного делегирования Kerberos

В этом сценарии выполняется настройка учетных записей и серверов приложений служб SharePoint Server Visio для ограниченного делегирования Kerberos в службу SQL Server.

Логическая проверка подлинности SharePoint Server

Сначала в этом сценарии выполняется проверка подлинности клиента по протоколу Kerberos на интерфейсном веб-сервере. В SharePoint Server 2010 с помощью службы маркеров безопасности (STS) маркер проверки подлинности Windows преобразуется в маркер утверждений. Приложение-служба Visio принимает маркер утверждений и преобразует его в маркер Windows (Kerberos) с использованием локального компонента утверждений для службы маркеров Windows (C2WTS), который входит в состав платформы удостоверений Windows (WIF). После этого приложение-служба Visio использует билет Kerberos для проверки подлинности в серверном источнике данных.

Пошаговые инструкции по настройке

Настройка Active Directory

Создание учетной записи службы служб Visio

Рекомендуется выполнять службы Visio под собственным удостоверением домена. Для настройки приложения-службы Visio требуется создать учетные записи Active Directory. В этом примере созданы следующие учетные записи:

Создание учетной записи службы служб Visio

Настройка имени участника-службы для учетной записи службы служб Visio

Если планируется делегирование удостоверения Windows клиента из служб Visio в серверный источник данных, необходимо настроить ограниченное делегирование Kerberos. В этом примере службы Visio запрашивают данные из транзакционной БД SQL Server, в связи с чем делегирование Kerberos является обязательным.

Для настройки делегирования Kerberos обычно используется оснастка консоли управления (MMC) "Пользователи и компьютеры Active Directory". Для настройки параметров делегирования в этой оснастке необходимо применить имя участника-службы к настраиваемому объекту Active Directory; в противном случае в диалоговом окне свойств объекта не будет представлена вкладка Делегирование. В этом примере имя участника-службы настраивается именно с этой целью, однако для работы служб Visio оно не требуется.

Выполните следующую команду в командной строке:

SETSPN -S SP/VisioServices svc\VisioServices

Настройка ограниченного делегирования Kerberos для служб Visio

Чтобы разрешить делегирование удостоверений клиентов из служб Visio, необходимо настроить ограниченное делегирование Kerberos. Для преобразования утверждений в маркеры Windows с помощью компонента C2WTS платформы WIF необходимо настроить ограниченное делегирование с переносом протокола.

Каждый сервер, на котором выполняются службы Visio, должен быть определен как надежный для делегирования учетных данных в каждой серверной службе, в которой будет выполняться проверка подлинности Visio. Кроме того, необходимо настроить службу служб Visio для делегирования в тех же серверных службах.

В этом примере определены следующие пути делегирования:

*Настраивается позже в этом сценарии

**Необязательно. Ограниченное делегирование для учетной записи компьютера необходимо только в том случае, когда компонент C2WTS выполняется как локальная система

Настройка ограниченного делегирования

1. Откройте свойства объекта Active Directory в оснастке "Пользователи и компьютеры Active Directory".

2. Перейдите на вкладку Делегирование.

3. Выберите параметр Доверять этому пользователю делегирование указанных служб.

4. Выберите параметр Использовать любой протокол проверки подлинности. Это позволяет выполнять перенос протокола и является необходимым условием для использования компонента C2WTS учетной записью службы Visio.

5. Нажмите кнопку "Добавить", чтобы выбрать участника-службы, для которого будет разрешено делегирование.

6. Щелкните Пользователи и компьютеры.

7. Выберите учетную запись службы для службы, для которой настраивается делегирование. В данном примере это учетная запись для службы SQL Server.

   Примечание

   К выбранной учетной записи службы должно быть применено имя участника-службы. В нашем примере это имя было настроено в предыдущем сценарии.

8. Нажмите кнопку ОК. Отображается запрос на выбор имен участников-служб, для которых будет настроено делегирование.

9. Вберите службы для кластера SQL Server и нажмите кнопку ОК.

10. Выбранные имена участников-служб должны отображаться в списке Службы, с которыми эта учетная запись может использовать делегированные учетные данные.

11. Повторите эти шаги для каждого пути делегирования (компьютер и пользователь), определенного в начале этого раздела.

Проверка имени участника-службы MSSQLSVC для учетной записи службы, под которой эта служба выполняется на сервере SQL Server (выполняется в сценарии 2)

Проверьте существование имени участника-службы для учетной записи служб Analysis Services (vmlab\svcSQL) с помощью следующей команды SetSPN:

SetSPN -L vmlab\svcSQL

Должны отображаться следующие сведения:

MSSQLSVC/MySqlCluster MSSQLSVC/MySqlCluster.vmlab.local:1433

Настройка SharePoint Server

Настройка и запуск утверждений для службы маркеров Windows на серверах графики Visio

Утверждения для службы маркеров Windows (C2WTS) — это компонент платформы удостоверений Windows (WIF), который обеспечивает преобразование маркеров утверждений в маркеры Windows. В службах графики Visio компонент C2WTS используется для этой цели в тех случаях, когда требуется делегировать учетные данные в серверную систему, в которой используется проверка подлинности Windows. Платформа WIF развертывается вместе с SharePoint Server 2010; компонент C2WTS можно запустить из центра администрирования.

На каждом сервере приложения-службы графики Visio компонент C2WTS должен выполняться локально. Этот компонент не открывает никакие порты и, следовательно, недоступен для удаленного вызова. Кроме того, для файла конфигурации службы C2WTS необходимо отдельно настроить доверие удостоверению локального вызывающего клиента.

Рекомендуется выполнять компонент C2WTS с использованием выделенной учетной записи службы и не в качестве локальной системы (конфигурация по умолчанию). Учетной записи службы C2WTS требуются особые локальные разрешения на каждом сервере, на котором она выполняется; эти разрешения необходимо настраивать при каждом запуске службы на сервере. Лучше настраивать разрешения этой учетной записи службы на локальном сервере до запуска компонента C2WTS, однако при необходимости можно перезапустить этот компонент с помощью консоли управления службами Windows (services.msc) после настройки.

Запуск компонента C2WTS

1. Создайте в Active Directory учетную запись службы, под которой будет выполняться служба. В этом примере — vmlab\svcC2WTS.

2. Добавьте произвольное имя участника-службы для учетной записи службы, чтобы открыть доступ к параметрам делегирования для этой учетной записи в оснастке "Пользователи и компьютеры Active Directory". Это имя может иметь любой формат, поскольку проверка подлинности C2WTS по протоколу Kerberos не выполняется. Чтобы избежать возможного дублирования имен участников-служб в среде, рекомендуется не использовать имена участников-служб HTTP. В этом примере для учетной записи vmlab\svcC2WTS регистрируется имя SP/C2WTS:

   SetSPN -S SP/C2WTS vmlab\svcC2WTS

3. Настройте ограниченное делегирование Kerberos для учетной записи служб C2WTS. В этом сценарии учетные данные делегируются службе SQL Server, которая выполняется под именем участника-службы MSSQLSVC/MySqlCluster.vmlab.local:1433.

4. Настройте на сервере необходимые локальные разрешения для службы C2WTS. Настройку разрешений нужно провести на каждом сервере, на котором выполняется компонент C2WTS. В нашем примере это VMSP10APP01. Войдите в систему сервера и назначьте компоненту C2WTS следующие разрешения:

   1. Добавьте учетную запись службы в локальную группу "Администраторы".

   2. В разделе назначения прав пользователям в локальной политике безопасности (secpol.msc) предоставьте этой учетной записи службы следующие разрешения:

      1. Работа в режиме операционной системы

      2. Имитация клиента после проверки подлинности

      3. Вход в качестве службы

5. Откройте центр администрирования.

6. В разделе Безопасность->Настройка управляемых учетных записей служб зарегистрируйте учетную запись службы C2WTS как управляемую.

7. В разделе "Службы" выберите элемент Управление службами на сервере.

8. В поле выбора сервера в верхнем правом углу выберите серверы, на которых выполняются службы графики Visio. В нашем примере это VMSP10APP01.

9. Найдите службу Утверждения для службы маркеров Windows и запустите ее.

10. Перейдите в раздел Безопасность->Управление учетными записями служб. Измените удостоверение для компонента C2WTS на новую управляемую учетную запись.

    Примечание

    Если компонент C2WTS был запущен до настройки выделенной учетной записи службы, а также если требуется изменить разрешения для этой учетной записи после запуска C2WTS, необходимо перезапустить службу C2WTS из консоли служб.

Кроме того, при возникновении проблем с C2WTS после перезапуска может потребоваться сброс пулов приложений IIS, с которыми работает компонент C2WTS.

Добавление зависимостей запуска в службу C2WTS платформы WIF

Существует известная проблема, из-за которой компонент C2WTS может не запускаться автоматически после перезагрузки системы. Чтобы обойти эту проблему, настройте зависимость службы от служб криптографии:

1. Откройте окно командной строки.

2. Введите команду sc config "c2wts" depend= CryptSvc

3. Найдите службу "Утверждения для службы маркеров Windows" в консоли служб.

4. Откройте ее свойства.

5. Откройте вкладку Зависимости. Убедитесь, что в списке присутствует элемент Службы криптографии.

6. Нажмите кнопку ОК.

Предоставление учетной записи службы служб Visio разрешения на доступ к базе данных контента веб-приложения

При настройке веб-приложений Office SharePoint Server 2010 обязательно разрешается доступ учетной записи служб веб-приложения к базам данных контента соответствующего веб-приложения. В этом примере учетной записи службы графики Visio предоставляется доступ к БД контента веб-приложения портал с помощью оболочки Windows PowerShell.

Выполните следующую команду в командной консоли SharePoint 2010:

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcVisio")

Запуск экземпляра службы графики Visio на сервере служб Visio

Перед созданием приложения-службы служб Visio запустите соответствующую службу на выделенных серверах фермы.

1. Откройте центр администрирования.

2. В разделе "Службы" выберите элемент Управление службами на сервере.

3. В поле выбора сервера в верхнем правом углу выберите серверы, на которых выполняются службы Visio. В нашем примере это VMSP10APP01.

4. Запустите компонент Служба графики Visio.

Создание прокси-сервера и приложения-службы графики Visio

Далее настройте новое приложение-службу служб Visio и прокси приложения, чтобы обеспечить работу веб-приложений со службами Visio (если оно еще не существует):

1. Откройте центр администрирования.

2. Выберите элемент Управление приложениями-службами в разделе Управление приложениями.

3. Выберите команду Создать и затем компонент Служба графики Visio.

4. Настройте новое приложение-службу. Обратите внимание на выбор правильной учетной записи службы (если учетная запись службы Visio отсутствует в списке, создайте новую управляемую учетную запись).

Проверка ограниченного делегирования службы графики Visio

Настройка параметров кэширования служб Visio

По умолчанию служба графики Visio кэширует веб-документ, который отображается для клиентов, в течение периода времени, заданного в параметрах кэша службы. Для более эффективного делегирования и удобной проверки обновления данных в веб-документе Visio в процессе тестирования кэширование рекомендуется отключить.

1. Откройте центр администрирования.

2. Выберите элемент Управление приложениями-службами в разделе Управление приложениями.

3. Выберите приложение-службу графики Visio, созданное на предыдущем шаге.

4. Выберите пункт Глобальные параметры.

5. Присвойте параметру Минимальный срок хранения в кэше значение 0 (кэширование отключено).

   Примечание

   Эта настройка устанавливается исключительно в целях тестирования и не должна использоваться в рабочей среде.

Создание библиотеки документов для размещения тестового веб-документа Visio

Перейдите в приложение портала (http://portal). Создайте новую библиотеку документов для размещения тестовой рабочей книги Visio.

Создание тестового веб-документа Visio с фигурами, подключенными к данным SQL Server

1. Запустите приложение Visio 2010.

2. Создайте новый элемент Простая схема в разделе "Общие" на вкладке Главная.

3. На вкладке ленты Данные выберите команду Связать данные с фигурами.

4. В диалоговом окне выбора данных щелкните База данных Microsoft SQL Server .

5. Укажите кластер SQL Server, созданный в сценарии 2, и выберите элемент Проверка подлинности Windows.

6. Нажмите кнопку Проверить и выберите таблицу Продажи.

7. Укажите понятное имя подключения и сохраните его в созданной на предыдущем шаге библиотеке документов.

8. В диалоговом окне Выбор данных выберите созданное подключение и нажмите кнопку Готово.

   В нижней части окна документа должно открыться окно внешних данных, содержащее ранее созданные демонстрационные данные.

9. Перетащите первую строку данных на поверхность конструктора. Будет создана новая фигура, связанная с этой строкой данных. Обратите внимание, что тестовый документ предназначен исключительно для проверки делегирования и не является полнофункциональным веб-документом для реального использования.

Публикация схемы Visio на сервере SharePoint Server и обновление подключения к данным

1. Опубликуйте документ, чтобы проверить библиотеку документов SharePoint. На вкладке Файл последовательно выберите элементы Сохранить и отправить, Сохранить в SharePoint, Поиск расположения и Веб-документ.

2. Перейдите к тестовой библиотеке документов, укажите имя тестового документа и нажмите кнопку Сохранить.

   Документ открывается в браузере.

3. В уведомлении об отключении обновления выберите элемент Включить (все сеансы).

4. Подключение к данным должно автоматически обновиться без ошибок.

5. Откройте SQL Server Management Studio и измените строку данных, которая отображается в веб-документе.

6. Обновите подключение к данным (нажмите кнопку Обновить в верхней части окна документа). Если делегирование настроено правильно, должны отображаться обновленные данные.