Планирование проверки подлинности Kerberos в SharePoint ServerPlan for Kerberos authentication in SharePoint Server

Относится к следующим ПРОДУКТАМ: Да2013 Да2016 Да2019 неSharePoint OnlineAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

Протокол Kerberos поддерживает метод проверки подлинности на основе билетов, предоставляемых доверенным источником. Билеты Kerberos указывают, что сетевые учетные данные пользователя, связанного с клиентским компьютером, прошли проверку подлинности. Протокол Kerberos определяет способ, которым пользователи взаимодействуют с сетевой службой, чтобы получить доступ к сетевым ресурсам. Центр распределения ключей Kerberos выпускает билет для выдачи билета для клиентского компьютера от имени пользователя. В Windows клиентский компьютер является участником домена доменных служб Active Directory (AD DS), а билет для выдачи билета является свидетельством того, что контроллер домена проверил подлинность учетных данных пользователя.The Kerberos protocol supports an authentication method that uses tickets that a trusted source provides. Kerberos tickets indicate that the network credentials of a user who is associated with a client computer were authenticated. The Kerberos protocol defines how users interact with a network service to gain access to network resources. The Kerberos Key Distribution Center (KDC) issues a ticket-granting-ticket (TGT) to a client computer on behalf of a user. In Windows, the client computer is a member of an Active Directory Domain Services (AD DS) domain and the TGT is proof that the domain controller authenticated the user credentials.

Перед установлением сетевого соединения с сетевой службой клиентский компьютер представляет свой билет для выдачи билета в центр распределения ключей и запрашивает билет службы. На основании ранее выданного билета для выдачи билета, который подтверждает подлинность клиентского компьютера, центр распределения ключей выпускает билет службы для клиентского компьютера. Затем клиентский компьютер передает билет службы сетевой службе. Билет службы также должен содержать допустимое имя участника-службы, которое определяет службу. Для включения проверки подлинности Kerberos компьютеры сервера и клиента уже должны иметь доверенное подключение к центру распределения ключей. Компьютеры сервера и клиента также должны иметь доступ к службам AD DS.Before establishing a network connection to a network service, the client computer presents its TGT to the KDC and requests a service ticket. Based on the previously issued TGT, which confirms that the client computer was authenticated, the KDC issues a service ticket to the client computer. The client computer then submits the service ticket to the network service. The service ticket must also contain an acceptable Service Principal Name (SPN) that identifies the service. To enable Kerberos authentication, the client and server computers must already have a trusted connection to the KDC. The client and server computers must also be able to access AD DS.

Проверка подлинности Kerberos и SharePoint ServerKerberos authentication and SharePoint Server

Ниже приводятся преимущества проверки подлинности Kerberos:The reasons why you should consider Kerberos authentication are as follows:

  • Kerberos — это самый надежный протокол проверки подлинности, встроенный в Windows. Он поддерживает дополнительные функции безопасности, включая шифрование данных AES и взаимную проверку подлинности клиентов и серверов.The Kerberos protocol is the strongest Integrated Windows authentication protocol, and supports advanced security features including Advanced Encryption Standard (AES) encryption and mutual authentication of clients and servers.

  • Протокол Kerberos обеспечивает делегирование учетных данных клиентов.The Kerberos protocol allows for delegation of client credentials.

  • Среди доступных методов безопасной проверки подлинности Kerberos требует наименьшего объема сетевого трафика к контроллерам домена AD DS. В некоторых случаях Kerberos может уменьшить задержку отображения страниц или увеличить число страниц, которые может обрабатывать интерфейсный веб-сервер. Kerberos также может уменьшить нагрузку на контроллеры домена.Of the available secure authentication methods, Kerberos requires the least amount of network traffic to AD DS domain controllers. Kerberos can reduce page latency in certain scenarios, or increase the number of pages that a front-end web server can serve in certain scenarios. Kerberos can also reduce the load on domain controllers.

  • Kerberos является открытым протоколом, который поддерживается многими платформами и производителями.The Kerberos protocol is an open protocol that is supported by many platforms and vendors.

Ниже приводятся причины, по которым проверка подлинности Kerberos может быть неприемлема:The reasons why Kerberos authentication might not be appropriate are as follows:

  • В отличие от других методов проверки подлинности проверка подлинности Kerberos для правильного функционирования требует дополнительной настройки инфраструктуры и среды. Во многих случаях для настройки проверки подлинности Kerberos, которая может оказаться сложной в развертывании и обслуживании, требуются разрешения администратора домена. Неправильная настройка Kerberos может привести к невозможности проверки подлинности на сайтах.In contrast to other authentication methods, Kerberos authentication requires additional infrastructure and environment configuration to function correctly. In many cases, domain administrator permission is required to configure Kerberos authentication which can be difficult to set up and manage. Misconfiguring Kerberos can prevent successful authentication to your sites.

  • Проверка подлинности Kerberos требует подключения клиентского компьютера к центру распределения ключей и контроллеру домена служб Active Directory (AD DS). В развертывании Windows и SharePoint центр распределения ключей является контроллером домена служб AD DS. Хотя такая конфигурация сети и распространена в интрасети предприятий, развертывания с выходом в Интернет обычно таким образом не настраиваются.Kerberos authentication requires client computer connectivity to a KDC and to an AD DS domain controller. In a Windows and SharePoint deployment, the KDC is an AD DS domain controller. While this is a common network configuration on an organization intranet, Internet-facing deployments are typically not configured in this manner.

Делегирование KerberosKerberos delegation

Проверка подлинности Kerberos поддерживает делегирование удостоверений клиентов. Это значит, что служба может выполнить олицетворение удостоверения клиента, прошедшего проверку подлинности. Олицетворение позволяет службе передавать удостоверение, прошедшее проверку подлинности, другим сетевым службам от имени клиента. Для делегирования учетных данных клиента может также использоваться проверка подлинности на основе утверждений, но это требует, чтобы серверное приложение поддерживало утверждения.Kerberos authentication supports the delegation of client identity. This means that a service can impersonate an authenticated client's identity. Impersonation enables a service to pass the authenticated identity to other network services on behalf of the client. Claims-based authentication can also be used to delegate client credentials, but requires the back-end application to be claims-aware.

При использовании вместе с SharePoint Server делегирование Kerberos позволяет службе переднего плана выполнять проверку подлинности клиента и затем использовать удостоверение клиента для проверки подлинности в серверной системе. Серверная система затем выполняет собственную проверку подлинности. Когда клиент использует проверку подлинности Kerberos для прохождения проверки подлинности в интерфейсной службе, делегирование Kerberos можно использовать для передачи удостоверения клиента в серверную систему. Протокол Kerberos поддерживает два типа делегирования:Used with SharePoint Server, Kerberos delegation enables a front-end service to authenticate a client and then use the client's identity to authenticate to a back-end system. The back-end system then performs its own authentication. When a client uses Kerberos authentication to authenticate with a front-end service, Kerberos delegation can be used to pass a client's identity to a back-end system. The Kerberos protocol supports two types of delegation:

  • Базовое делегирование Kerberos (неограниченное).Basic Kerberos delegation (unconstrained)

  • Ограниченное делегирование Kerberos.Kerberos constrained delegation

Базовое и ограниченное делегирование KerberosBasic Kerberos delegation and Kerberos constrained delegation

Базовое делегирование Kerberos может выходить за пределы домена в одном лесу, но не может пересекать границы леса. Ограниченное делегирование Kerberos не позволяет переходить границы домена или леса за исключением случаев, когда используются контроллеры домена, запущенные в Windows Server 2012.Basic Kerberos delegation can cross domain boundaries within the same forest but cannot cross a forest boundary. Kerberos constrained delegation cannot cross domain or forest boundaries, except when you are using domain controllers that run Windows Server 2012.

В зависимости от приложений-служб, входящих в состав развертывания SharePoint Server, для реализации проверки подлинности Kerberos в SharePoint Server может потребоваться ограниченное делегирование Kerberos.Depending on the service applications that are part of a SharePoint Server deployment, implementing Kerberos authentications with SharePoint Server can require Kerberos constrained delegation.

Важно!

Для развертывания проверки подлинности Kerberos с любой из следующих приложений-служб все внешние источники данных и SharePoint Server должны располагаться в одном домене Windows: > Службы Excel > PerformancePoint Services > InfoPath Forms Services > Службы Visio > Указанные приложения-службы не доступны в SharePoint Foundation 2013. Службы Excel не доступен в SharePoint Server 2016.To deploy Kerberos authentication with any of the following service applications, SharePoint Server and all external data sources must reside in the same Windows domain: > Excel Services > PerformancePoint Services > InfoPath Forms Services > Visio Services > These service applications are not available in SharePoint Foundation 2013. Excel Services is not available in SharePoint Server 2016.

Чтобы развернуть проверку подлинности Kerberos с любыми из следующих приложений-служб или продуктами, SharePoint Server может использовать либо базовое, либо ограниченное делегирование Kerberos:To deploy Kerberos authentication with any of the following service applications or products, SharePoint Server can use either basic Kerberos delegation or Kerberos constrained delegation:

  • Служба Служба подключения к бизнес-данным (это приложение-служба недоступно SharePoint Foundation 2013)Business Data Connectivity service (this service application is not available in SharePoint Foundation 2013)

  • Службы Службы Access (это приложение-служба недоступно в SharePoint Foundation 2013)Access Services (this service application is not available in SharePoint Foundation 2013)

  • Службы SQL Server Reporting Services (SSRS) (отдельный продукт)SQL Server Reporting Services (SSRS) (a separate product)

  • Project Server 2016 (отдельный продукт)Project Server 2016 (a separate product)

Службы, поддерживающие проверку подлинности Kerberos, могут делегировать удостоверения несколько раз. По мере передвижения удостоверения от службы к службе метод делегирования может меняться с базового на ограниченное делегирование Kerberos. Однако обратное направление невозможно. Метод делегирования не может измениться с ограниченного делегирования Kerberos на базовое. Поэтому важно рассчитать и спланировать, потребуется ли серверной службе базовое делегирование Kerberos. Этот процесс может затрагивать планирование реализации и проектирование границ доменов.Services that are enabled for Kerberos authentication can delegate identity multiple times. As an identity travels from service to service, the delegation method can change from basic Kerberos to Kerberos constrained. However, the reverse is not possible. The delegation method cannot change from Kerberos constrained to basic Kerberos. Therefore, it is important to anticipate and plan for whether a back-end service will require basic Kerberos delegation. This can affect the planning and design of domain boundaries.

Служба с поддержкой протокола Kerberos может использовать перенос протокола для преобразования удостоверения, отличного от Kerberos, в удостоверение Kerberos, которое может делегироваться другим службам с поддержкой Kerberos. Эту возможность можно использовать, например, для делегирования удостоверения, не являющегося Kerberos, из интерфейсной службы в удостоверение Kerberos в серверной службе.A Kerberos-enabled service can use protocol transition to convert a non-Kerberos identity to a Kerberos identity that can be delegated to other Kerberos enabled services. This capability can be used, for example, to delegate a non-Kerberos identity from a front-end service to a Kerberos identity on a back-end service.

Важно!

Для переноса протокола требуется ограниченное делегирование Kerberos. Поэтому удостоверения с переносом протокола не могут выходить за пределы домена.Protocol transition requires Kerberos constrained delegation. Therefore, protocol transitioned identities cannot cross domain boundaries.

В качестве альтернативы делегированию Kerberos может использоваться проверка подлинности на основе утверждений. Проверка подлинности на основе утверждений позволяет передавать утверждение проверки подлинности клиента между разными службами, если службы удовлетворяют всем следующим требованиям:Claims-based authentication can be used as an alternative to Kerberos delegation. Claims-based authentication enables a client's authentication claim to be passed between different services if the services meet all of the following criteria:

  • Между службами должно быть отношение доверия.There must be a trust relationship between the services.

  • Службы должны поддерживать утверждения.The services must be claims-aware.

Дополнительные сведения о проверке подлинности Kerberos см. в следующих источниках:For more information about Kerberos authentication, see the following resources:

Проверка подлинности Kerberos и проверка подлинности на основе утвержденийKerberos authentication and claims-based authentication

SharePoint 2013 и SharePoint Server 2016 поддерживает проверку подлинности на основе утверждений. Проверка подлинности на основе утверждений основана на платформа Windows Identity Foundation (WIF), которая представляет собой набор классов .NET Framework, используемых для реализации удостоверений, основанных на утверждениях. Проверка подлинности на основе утверждений базируется на таких стандартах, как WS-Federation и WS-Trust. Дополнительные сведения о проверке подлинности на основе утверждений см. в следующих источниках:SharePoint 2013 and SharePoint Server 2016 supports claims-based authentication. Claims-based authentication is built on the Windows Identity Foundation (WIF), which is a set of the .NET Framework classes that are used to implement claims-based identity. Claims-based authentication relies on standards such as WS-Federation and WS-Trust. For more information about claims-based authentication, see the following resources:

При создании веб-приложения UNRESOLVED_TOKEN_VAL(SharePoint Server) с помощью центра Центр администрирования необходимо выбрать один или несколько типов проверки подлинности на основе утверждений. При создании веб-приложения UNRESOLVED_TOKEN_VAL(SharePoint Server) с помощью командлета New-SPWebApplication Microsoft PowerShell вы можете указать проверку подлинности на основе утверждений и ее типы либо классическую проверку подлинности. Проверка подлинности на основе утверждений рекомендуется для всех веб-приложений UNRESOLVED_TOKEN_VAL(SharePoint Server). При использовании проверки подлинности на основе утверждений для веб-приложений доступны все поддерживаемые типы проверки подлинности, при этом можно применять межсерверную проверку подлинности и проверку подлинности приложений. Дополнительные сведения см. в разделе What's new in authentication for SharePoint Server 2013.When you create a SharePoint Server web application by using Central Administration, you must select one or more claims-based authentication types. When you create a SharePoint Server web application by using the New-SPWebApplication Microsoft PowerShell cmdlet, you can specify either claims authentication and claims authentication types or classic mode authentication. Claims authentication is recommended for all SharePoint Server web applications. By using claims authentication, all supported authentication types are available for your web applications and you can take advantage of server-to-server authentication and app authentication. For more information, see What's new in authentication for SharePoint Server 2013.

Важно!

Для указанных ниже приложений служб в SharePoint Server требуется преобразовывать учетные данные на основе утверждений в учетные данные Windows. Для такого процесса преобразования используется служба C2WTS: > **Службы Excel **> **PerformancePoint Services **> **InfoPath Forms Services **> **Службы Visio **> > Эти приложения службы недоступны в SharePoint Foundation 2013. Службы Excel недоступны в SharePoint Server 2016.The following service applications in SharePoint Server require the translation of claims-based credentials to Windows credentials. This process of translation uses the Claims to Windows Token Service (C2WTS): > Excel Services> PerformancePoint Services> InfoPath Forms Services> Visio Services> > These service applications are not available in SharePoint Foundation 2013. Excel Services is not available in SharePoint Server 2016.

Приложения-службы, которым требуется служба C2WTS, должны использовать ограниченное делегирование Kerberos. Это обусловлено тем, что служба C2WTS требует преобразования протокола, а оно поддерживается только ограниченным делегированием Kerberos. Для приложений-служб, приведенных в предыдущем списке, служба C2WTS преобразует утверждения в пределах фермы в учетные данные Windows для исходящей проверки подлинности. Важно понимать, что указанные приложения-службы могут использовать службу C2WTS только при условии, что для входящей проверки подлинности используется либо метод на основе утверждений, либо классический режим Windows. Приложения-службы, доступ к которым осуществляется через веб-приложения и которые используют утверждения SAML или утверждения проверки подлинности на основе форм, не используют службу C2WTS и поэтому не могут преобразовывать утверждения в учетные данные Windows.The service applications that require the C2WTS must use Kerberos constrained delegation because C2WTS requires protocol transition, which is only supported by Kerberos constrained delegation. For the service applications in the previous list, the C2WTS translates claims within the farm to Windows credentials for outgoing authentication. It is important to understand that these service applications can use the C2WTS only if the incoming authentication method is either Windows claims or Windows classic mode. Service applications that are accessed through web applications and that use Security Assertion Markup Language (SAML) claims or forms-based authentication claims do not use the C2WTS. Therefore, they cannot translate claims to Windows credentials.

Проверка подлинности Kerberos и новая модель приложений SharePointKerberos authentication and the new SharePoint app model

Если для проверки подлинности пользователей используется режим утверждений Windows, а для веб-приложения задано использование только проверки подлинности Kerberos без обращения к NTLM в качестве протокола проверки подлинности, то проверка подлинности приложений работать не будет. Дополнительные сведения см. в статье Планирование проверки подлинности приложений в SharePoint Server.If you are using Windows claims mode for user authentication and the web application is configured to use only Kerberos authentication without falling back to NTLM as the authentication protocol, then app authentication does not work. For more information, see Plan for app authentication in SharePoint Server.

См. такжеSee also

ПонятияConcepts

Планирование методов проверки подлинности для пользователей в SharePoint ServerPlan for user authentication methods in SharePoint Server