規劃 Kerberos 驗證 (SharePoint Server 2010)

 

適用版本: SharePoint Foundation 2010, SharePoint Server 2010

上次修改主題的時間: 2016-11-30

Microsoft SharePoint Server 2010 支援數種驗證方法。需要安全驗證、用戶端身分識別委派和低網路流量的部署,可以選擇 Kerberos 驗證。如需詳細資訊,請參閱<規劃驗證方法 (SharePoint Server 2010)>。

本文內容:

  • Kerberos 驗證和 SharePoint 2010

  • Kerberos 驗證和宣告式驗證

Kerberos 驗證和 Microsoft SharePoint Server 2010

應該考慮使用 Kerberos 驗證的原因 Kerberos 驗證可能不適用於部署案例的原因

Kerberos 是最安全的整合式 Windows 驗證通訊協定,而且支援進階安全性功能 (包括進階加密標準 (AES) 加密和相互驗證)。

Kerberos 驗證需要其他基礎結構和環境的設定,才能正確地運作。在許多情況下,需要有網域管理員權限,才能設定 Kerberos。Kerberos 驗證可能很難設定和管理。Kerberos 的設計錯誤可能會防止您網站的驗證順利成功。

Kerberos 啟用用戶端認證的委派。

Kerberos 驗證需要與金鑰發佈中心 (KDC) 的用戶端電腦連線,以及與 Active Directory 網域服務 (AD DS) 網域控制站的用戶端電腦連線。在 Windows 部署中,KDC 是 AD DS 網域控制站。雖然這是公司環境常見的網路設定,但是網際網路對向部署一般不是進行這樣的設定。

Kerberos 支援用戶端和伺服器的相互驗證。

在可用的安全驗證方法中,Kerberos 需要與網域控制站的最少網路流量。在特定情況下,Kerberos 可以減少頁面延遲,或是在特定情況下增加前端 Web 伺服器可以提供的頁面數。Kerberos 也可以減少網域控制站的負載。

Kerberos 是許多平台和廠商支援的開放式通訊協定。

Kerberos 是支援驗證方法的安全通訊協定,而此驗證方法使用信任來源所提供的票證。Kerberos 票證代表與用戶端電腦相關之使用者的網路認證。Kerberos 通訊協定定義方法,而使用者使用者此方法來與網路驗證服務互動以存取網路資源。Kerberos KDC 代表使用者向用戶端電腦發出票證。用戶端電腦建立與伺服器的網路連線之後,用戶端電腦會向伺服器呈現 Kerberos 驗證票證,以要求網路存取權。如果要求包含可接受的使用者認證,則 KDC 會授與該要求。針對服務應用程式,驗證票證也必須包含可接受的服務主要名稱 (SPN)。若要啟用 Kerberos 驗證,用戶端和伺服器電腦必須已擁有與 KDC 的信任連線。用戶端和伺服器電腦也必須可以存取 Active Directory 網域服務 (AD DS)。

Kerberos 委派

Kerberos 驗證支援委派用戶端身分識別。這表示服務可以模擬已驗證用戶端的身分識別。模擬可讓服務代表用戶端將驗證過的身分識別傳遞給其他網路服務。宣告式驗證也可以用來委派用戶端認證,但需要後端應用程式為宣告感知的。數個重要服務目前不是宣告感知的。

Kerberos 委派與 Microsoft SharePoint Server 2010 搭配使用,可讓前端服務驗證用戶端,然後使用用戶端的身分識別來驗證後端系統。後端系統接著會執行它自己的驗證。用戶端使用 Kerberos 驗證向前端服務進行驗證時,Kerberos 委派可以用來將用戶端的身分識別傳遞給後端系統。Kerberos 通訊協定支援兩種類型的委派:

  • 基本 Kerberos 委派 (未設限)

  • Kerberos 限制委派

基本 Kerberos 委派和 Kerberos 限制委派

雖然基本 Kerberos 委派可以跨相同樹系內的網域界限,但是基本 Kerberos 委派無法跨樹系界限。Kerberos 限制委派無法跨網域界限或樹系界限。根據屬於 SharePoint Server 2010 部署一部分的服務應用程式,使用 SharePoint Server 2010 實作 Kerberos 驗證可能需要使用 Kerberos 限制委派。因此,若要使用下列任何服務應用程式來部署 Kerberos 驗證,SharePoint Server 2010 和所有外部資料來源必須位於相同的 Windows 網域中:

  • Excel Services

  • PerformancePoint Services

  • InfoPath Forms Services

  • Visio Services

若要使用下列任何服務應用程式來部署 Kerberos 驗證,則 SharePoint Server 2010 可以使用基本 Kerberos 委派或 Kerberos 限制委派:

  • Business Data Connectivity Service 及 Microsoft Business Connectivity Services

  • Access Services

  • Microsoft SQL Server Reporting Services (SSRS)

  • Microsoft Project Server 2010

針對 Kerberos 驗證啟用的服務可以多次委派身分識別。當身分識別穿梭於不同服務時,委派方法可能會從基本 Kerberos 變更為 Kerberos 限制。但反之則否,委派方法無法從 Kerberos 限制變更為基本 Kerberos。因此,一定要預期和規劃後端服務是否需要基本 Kerberos 委派。這會影響網域界限的規劃和設計。

啟用 Kerberos 的服務可以使用通訊協定轉換,將非 Kerberos 身分識別轉換為 Kerberos 身分識別,以委派給其他啟用 Kerberos 的服務。例如,可以使用此功能將前端服務的非 Kerberos 身分識別委派給後端服務上的 Kerberos 身分識別。

重要

通訊協定轉換需要 Kerberos 限制委派。因此,通訊協定轉換的身分識別無法跨網域界限。

宣告式驗證可以做為 Kerberos 委派的替代方案。如果服務符合下列所有準則,則宣告式驗證可讓用戶端的驗證宣告在兩個不同的服務之間傳遞:

  • 服務之間必須具備信任關係。

  • 兩種服務都必須是宣告感知。

如需 Kerberos 驗證的詳細資訊,請參閱下列資源:

Kerberos 驗證和宣告式驗證

SharePoint Server 2010 支援宣告式驗證。宣告式驗證是根據 Windows Identity Foundation (WIF) (一組用來實作宣告式身分識別的 .NET Framework 類別) 所建立。宣告式驗證依賴標準 (如 WS-Federation 和 WS-Trust)。如需宣告式驗證的詳細資訊,請參閱下列資源:

建立 SharePoint Server 2010 Web 應用程式時,您可以選擇選取兩種驗證模式:宣告式或傳統模式。如需新的 SharePoint Server 2010 實作,則應該考慮使用宣告式驗證。使用宣告式驗證,所有支援的驗證類型都可以用於 Web 應用程式。

下列服務應用程式需要將宣告式認證轉換為 Windows 認證。此轉換程序使用「對 Windows Token 服務的宣告 (C2WTS)」:

  • Excel Services

  • PerformancePoint Services

  • InfoPath Forms Services

  • Visio Services

需要 C2WTS 的服務應用程式必須使用 Kerberos 限制委派。原因是 C2WTS 需要通訊協定轉換,而 Kerberos 限制委派只支援通訊協定轉換。針對先前清單中的服務應用程式,C2WTS 會將伺服器陣列內的宣告轉換為 Windows 認證以進行輸出驗證。只有在傳入驗證方法是宣告式或傳統模式時,請務必了解這些服務應用程式可以利用 C2WTS。透過 Web 服務應用程式所存取且使用 SAML 宣告或表單型驗證宣告的服務應用程式不會使用 C2WTS,因此無法將宣告轉換為 Windows 認證。

如需在九種特定案例 (包括核心部署)、三種 Microsoft SQL Server 解決方案以及使用 Excel Services、PowerPivot for SharePoint、Visio Services、PerformancePoint Services 和 Business Connectivity Services 的案例中設定 Kerberos 的完整指示,請參閱為 SharePoint 2010 產品設定 Kerberos 驗證 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x404) (可能為英文網頁)。