Настройка службы Excel SharePoint Server 2010 для проверки подлинности Kerberos

Общие сведения

В этой статье описывается настройка службы Excel Microsoft SharePoint Server 2010 для проверки подлинности Kerberos.

Дополнительные сведения

Дополнительные сведения о настройке ограниченной делегирования Kerberos, чтобы позволить службе обновлять данные в таблице из внешнего источника SQL Server данных, выполните следующие действия:

  1. Создание службы Excel учетной записи службы.

    В качестве наилучшей практики службы Excel должна работать под собственным идентификатором домена. Чтобы настроить приложение-службу Excel, необходимо создать учетную запись Active Directory. Например, вы создаете следующие учетные записи:

    Служба SharePoint Server Удостоверение пула приложений IIS
    Служба SharePoint Server Удостоверение пула приложений IIS
    Службы Excel vmlab\svcExcel
  2. Настройка основного имени службы (SPN) на службы Excel учетной записи службы.

    Необходимо настроить ограниченное делегирование Kerberos, если службы Excel делегировать удостоверение клиента на исходный источник данных. Например, если службы Excel запрашивает данные из SQL транзакционной базы данных, необходимо иметь делегирования Kerberos.

    Для настройки делегирования Kerberos обычно используется оснастка консоли управления (MMC) "Пользователи и компьютеры Active Directory". Чтобы настроить параметры делегирования в оснастке, объект Active Directory, который настраивается, должен применяться SPN. В противном случае вкладка делегирования объекта не будет видна в диалоговом окне свойств объекта. Хотя службы Excel для работы SPN не требуется, необходимо настроить его для этой цели.

    Для этого введите следующую команду в командной строке и нажмите кнопку Ввод:

    SETSPN -S SP/ExcelServices
    

    Примечание

    Этот SPN не является допустимым SPN. Он применяется к указанной учетной записи службы, чтобы выявить параметры делегирования в надстройки Active Directory Users and Computers. Существуют другие поддерживаемые методы для указания параметров делегирования (в частности, атрибут msDS-AllowedToDelegateTo Active Directory). Однако в этой статье не описаны эти методы.

  3. Настройка ограниченной делегирования Kerberos для службы Excel.

    Чтобы службы Excel делегировать удостоверение клиентов, необходимо настроить ограниченное делегирование Kerberos. Для преобразования маркеров утверждений в маркеры Windows с помощью WIF C2WTS необходимо настроить ограниченную делегированию с переходом на протокол.

    Каждому серверу, который службы Excel, необходимо доверять делегированию учетных данных каждой серверной службе, на которую проверка подлинности Excel. Кроме того, необходимо настроить учетную запись службы Excel, чтобы разрешить делегирование в те же службы задней части.

    Например, вы определяете следующие пути делегирования:

    Тип участника Имя участника Делегаты для службы
    User svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *User svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Computer VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Настроенный позже в этом сценарии

    **Требуется только в том случае, если компонент C2WTS выполняется как локальная система

    Чтобы настроить ограниченное делегирования, выполните следующие действия:

    1. Откройте свойства объекта Active Directory в меню "Пользователи и компьютеры Active Directory".

    2. Просмотрите вкладку Делегирования.

    3. Выберите параметр Доверять этому пользователю делегирование указанных служб.

    4. Выберите параметр Использовать любой протокол проверки подлинности. Это действие включает переход протокола и требуется для учетной записи службы для использования C2WTS.

    5. Нажмите кнопку Добавить, чтобы выбрать главу службы, на который разрешено делегировать.

    6. Щелкните Пользователи и компьютеры.

    7. Выберите учетную запись службы, на которую запущена служба, на которую необходимо делегировать. В более ранних примерах это учетная запись службы SQL службы.

      Примечание

      Для выбранной учетной записи службы должна быть применена SPN. В более ранней примере spN для этой учетной записи был настроен более ранним шагом.

    8. Нажмите кнопку ОК. Вам будет предложено выбрать spNs, которые необходимо делегировать на следующем экране.

    9. Выберите службы для кластера SQL и нажмите кнопку ОК.

    10. Теперь в службах, которым эта учетная запись может представить делегированную учетную запись, следует увидеть выбранный SPNS.

    11. Повторите эти действия для каждого пути делегирования, определенного в начале этого раздела.

  4. Запустите экземпляр службы Excel службы на службы Excel сервере.

    Перед созданием службы Excel службы запустите службу службы Excel на назначенных серверах фермы. Для этого выполните следующие действия:

    1. Откройте Центр администрирования.
    2. В разделе "Службы" выберите элемент Управление службами на сервере.
    3. В поле выбора сервера в верхнем правом углу выберите сервер(ы), который работает службы Excel. В более ранней примере сервер VMSP10APP01.
    4. Запустите службы вычислений Excel.
  5. Создайте службы Excel и прокси-сервер приложений, чтобы веб-приложения могли обрабатывать службы Excel. Для этого выполните следующие действия:

    1. Откройте Центр администрирования.
    2. Выберите элемент Управление приложениями-службами в разделе Управление приложениями.
    3. Щелкните Создать и выберите элемент Приложение Служб Excel.
    4. Настройте новое приложение-службу. Убедитесь, что выбрана правильная учетная запись службы (если учетная запись службы Excel не находится в списке, создайте новую учетную запись с управляемым управлением).
  6. Настройте расположение доверенного службы Excel и параметры проверки подлинности.

    После создания службы Excel необходимо настроить свойства нового приложения-службы, чтобы указать надежное расположение и параметры проверки подлинности. Для этого выполните следующие действия:

    1. Откройте Центр администрирования.

    2. Выберите элемент Управление приложениями-службами в разделе Управление приложениями.

    3. Щелкните ссылку для нового приложения-службы. В более ранней примере щелкните службы Excel.

    4. На странице службы Excel нажмите доверенные расположения файлов.

    5. Добавьте новое надежное расположение файлов.

    6. Установите расположение доверенного файла в тестовой библиотеке.

      Примечание

      В более ранней версии url-адрес корневого веб-приложения и все дети доверяются. В производственной среде можно ограничить уровень доверия.

    7. В external Data выберите доверенные библиотеки подключения к данным и встраиваемый элемент.

      Примечание

      В более ранних примерах для подключения к SQL Server используется встроенное подключение. В вашей среде можно выбрать для создания отдельного файла подключения и хранения его в надежной библиотеке подключения к данным. В этой ситуации выберите только доверенные библиотеки подключения к данным.

    8. Измените срок службы кэша внешних данных. Для тестирования удобно изменить срок службы внешнего кэша данных, чтобы убедиться, что обновления данных приходят из источника данных, а не из кэша. Измените следующие параметры в разделе "Внешние данные":

      Автоматическое обновление (периодическое или открытое) = 0

      Ручное обновление = 0

      Примечание

      В производственной среде необходимо настроить параметр кэша размером более 0. Настройка кэша до 0 — только для тестирования.

  7. Предоставление разрешений службы Excel учетной записи службы в базе данных контента веб-приложения.

    Необходимо включить доступ учетной записи службы веб-приложения к базам данных контента для данного веб-приложения, чтобы настроить веб-приложения SharePoint Server 2010 Office. Например, предоставить службы Excel учетной записи службы доступ к базе контента "портала" веб-приложения с помощью Windows PowerShell.

    Для этого запустите следующую команду из командной оболочки SharePoint 2010:

    $w = Get-SPWebApplication -Identity https://portal
    
    $w.GrantAccessToProcessIdentity("vmlab\svcExcel")
    

Примечание

Дополнительные сведения о делегирования удостоверений для службы Excel перейдите на следующий веб-сайт Microsoft TechNet:

Делегирование удостоверений для служб Excel (SharePoint Server 2010)

Требуется дополнительная помощь? Перейдите в сообщество SharePoint.