Konfigurera Excel Services i SharePoint Server 2010 för Kerberos-autentisering

  • Artikel
  • Gäller för:
    Excel Services in SharePoint Server 2010

Inledning

Den här artikeln beskriver hur du konfigurerar Excel Services i Microsoft SharePoint Server 2010 för Kerberos-autentisering.

Mer information

Följ dessa steg om du vill ha mer information om hur du konfigurerar Kerberos-begränsad delegering så att tjänsten kan uppdatera data i ett kalkylblad från en extern SQL Server datakälla:

  1. Skapa Excel Services tjänstkonto.

    Bästa praxis är att Excel Services ska köras under sin egen domänidentitet. Om du vill konfigurera Excel-tjänstprogrammet måste du skapa ett Active Directory-konto. Du kan till exempel skapa följande konton:

    SharePoint Server-tjänst Identitet för IIS-apppool
    SharePoint Server-tjänst Identitet för IIS-apppool
    Excel Services vmlab\svcExcel

  2. Konfigurera ett tjänsthuvudnamn (SPN) på Excel Services tjänstkontot.

    Du måste konfigurera Kerberos-begränsad delegering om Excel Services delegerar klientens identitet till en serverdelsdatakälla. Om Excel Services till exempel frågar efter data från en SQL-transaktionsdatabas måste du ha Kerberos-delegering.

    Snapin-modulen Active Directory - användare och datorer MMC används vanligtvis för att konfigurera Kerberos-delegering. Om du vill konfigurera delegeringsinställningarna i snapin-modulen måste active directory-objektet som konfigureras ha ett SPN tillämpat. Annars visas inte delegeringsfliken för objektet i objektets egenskapsdialogruta. Även om Excel Services inte kräver något SPN för att fungera, måste du konfigurera ett för det här ändamålet.

    Det gör du genom att skriva följande kommando på kommandoraden och sedan trycka på Retur:

    SETSPN -S SP/ExcelServices

    Obs!

    Detta SPN är inte ett giltigt SPN. Den tillämpas på det angivna tjänstkontot för att visa delegeringsalternativen i Active Directory - användare och datorer-tillägget. Det finns andra metoder som stöds för att ange delegeringsinställningarna (specifikt attributet msDS-AllowedToDelegateTo Active Directory). Den här artikeln beskriver dock inte dessa metoder.

  3. Konfigurera Kerberos-begränsad delegering för Excel Services.

    Om du vill aktivera Excel Services för att delegera klienternas identitet måste du konfigurera Kerberos-begränsad delegering. Du måste konfigurera begränsad delegering med protokollövergång för att kunna konvertera anspråkstoken till Windows-token med hjälp av WIF C2WTS.

    Varje server som kör Excel Services måste vara betrodd för att delegera autentiseringsuppgifter till varje serverdelstjänst som Excel autentiserar till. Dessutom måste du konfigurera Excel Services-tjänstkontot så att delegering tillåts till samma serverdelstjänster.

    Du kan till exempel definiera följande delegeringssökvägar:

    Huvudtyp Huvudnamn Ombud till tjänst
    Användare svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Användaren svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Dator VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Konfigureras senare i det här scenariot

    ** Krävs endast om C2WTS körs som lokalt system

    Så här konfigurerar du begränsad delegering:

    1. Öppna Active Directory-objektets egenskaper i Active Directory - användare och datorer.

    2. Bläddra till fliken Delegering.

    3. Välj Lita endast på den här användaren för delegering till angivna tjänster.

    4. Välj Använd valfritt autentiseringsprotokoll. Den här åtgärden aktiverar protokollövergång och krävs för att tjänstkontot ska kunna använda C2WTS.

    5. Klicka på knappen Lägg till för att välja tjänstens huvudnamn som tillåts delegera till.

    6. Välj Användare och datorer.

    7. Välj det tjänstkonto som kör den tjänst som du vill delegera till. I det tidigare exemplet är det tjänstkontot för SQL-tjänsten.

      Obs!

      Det valda tjänstkontot måste ha ett SPN tillämpat på det. I det tidigare exemplet konfigurerades SPN för det här kontot i ett tidigare steg.

    8. Klicka på OK. Du uppmanas att välja de SPN:er som du vill delegera till på följande skärm.

    9. Välj tjänsterna för SQL-klustret och klicka sedan på OK.

    10. Nu bör du se de valda SPNS:erna i listan Tjänster som kontot kan visa delegerade autentiseringsuppgifter för.

    11. Upprepa de här stegen för varje delegeringssökväg som definieras i början av det här avsnittet.

  4. Starta Excel Services-tjänstinstansen på Excel Services-servern.

    Innan du skapar ett Excel Services tjänstprogram startar du Excel Services-tjänsten på de avsedda servergruppens servrar. Gör så här:

    1. Öppna Central administration.
    2. Under tjänster väljer du Hantera tjänster på servern.
    3. I rutan serverval i det övre högra hörnet väljer du de servrar som kör Excel Services. I det tidigare exemplet är servern VMSP10APP01.
    4. Starta Excel Calculation Services-tjänsten.

  5. Skapa Excel Services-tjänstprogrammet och programproxyn för att göra det möjligt för webbprogram att bearbeta Excel Services. Gör så här:

    1. Öppna Central administration.
    2. Välj Hantera tjänstprogram under Programhantering.
    3. Välj Ny och klicka sedan på Excel Services program.
    4. Konfigurera det nya tjänstprogrammet. Se till att du väljer rätt tjänstkonto (om Excel-tjänstkontot inte finns med i listan skapar du ett nytt hanterat konto).

  6. Konfigurera platsen för den Excel Services betrodda filen och autentiseringsinställningarna.

    När Excel Services programmet har skapats måste du konfigurera egenskaperna för det nya tjänstprogrammet för att ange en betrodd värdplats och autentiseringsinställningarna. Gör så här:

    1. Öppna Central administration.

    2. Välj Hantera tjänstprogram under Programhantering.

    3. Klicka på länken för det nya tjänstprogrammet. I det tidigare exemplet klickar du på Excel Services.

    4. På sidan Excel Services hantering klickar du på Betrodda filplatser.

    5. Lägg till en ny betrodd filplats.

    6. Ange platsen för den betrodda filen till testbiblioteket.

      Obs!

      I det tidigare exemplet är rotwebbappens URL och alla underordnade objekt betrodda. I en produktionsmiljö kan du välja att begränsa förtroendenivån.

    7. I Externa data väljer du Bibliotek för betrodda dataanslutningar och inbäddade.

      Obs!

      I det tidigare exemplet används en inbäddad anslutning för att ansluta till SQL Server. I din miljö kan du välja att skapa en separat anslutningsfil och lagra den i ett bibliotek för betrodda dataanslutningar. I det här fallet väljer du Endast bibliotek för betrodda dataanslutningar.

    8. Ändra livslängden för den externa datacachen. För testning är det praktiskt att ändra den externa datacachelivslängden för att se till att datauppdateringar kommer från datakällan och inte från cachen. Ändra följande inställningar under Externa data:

      Automatisk uppdatering (periodisk/öppen) = 0

      Manuell uppdatering = 0

      Obs!

      I en produktionsmiljö måste du konfigurera en cacheinställning som är större än 0. Att ange cacheminnet till 0 är endast till för testning.

  7. Bevilja Excel Services-tjänstkontobehörigheter för webbprogrammets innehållsdatabas.

    Du måste aktivera webbprogrammets tjänstkontoåtkomst till innehållsdatabaserna för ett visst webbprogram för att kunna konfigurera SharePoint Server 2010 Office Web Applications. Du kan till exempel ge Excel Services-tjänstkontot åtkomst till webbprogrammets innehållsdatabas för "portalen" med hjälp av Windows PowerShell.

    Det gör du genom att köra följande kommando från SharePoint 2010 Management Shell:

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Obs!

Mer information om identitetsdelegering för Excel Services finns på följande Microsoft TechNet-webbplats:

Identitetsdelegering för Excel Services (SharePoint Server 2010)

Behöver du fortfarande hjälp? Gå till SharePoint Community.