Настройка аутентификации Kerberos для веб-приложения в SharePoint 2010

Источники:

http://support.microsoft.com/kb/832769

http://blogs.msdn.com/b/russmax/archive/2009/10/20/configuring-kerberos-authentication-in-sharepoint-2010-part-1.aspx

(!) Настройка IIS описана для IIS 7,5 (Windows Server 2008 R2)

Если для веб-приложения была выбрана система проверки подлинности Kerberos, то необходимо выполнить дополнительные настройки:

1. Включите Kernel mode. IIS Manager, выберете сайт, Authentication, Windows Authentication, панель Actions, Advanced Settings, [v] Enable Kernel mode authentication.

2. Перезапустите IIS

iisreset

3. Включите использование учетной записи пула приложений

cd C:\Windows\System32\inetsrv
Appcmd set CONFIG "SharePoint — 443" /section:windowsauthentication /useAppPoolCredentials:true /commit:MACHINE/WEBROOT/APPHOST

4. Убедитесь, что конфигурация корректно изменена

notepad C:\windows\system32\inetsrv\config\applicationHost.config

<location path="SharePoint — 443">
    <system.webServer>
    <handlers accessPolicy="Read, Execute, Script">

    <security>
         <authentication>
             <windowsAuthentication enabled="true" useKernelMode="true" useAppPoolCredentials="true">
             <providers>
                     <clear/>
                     <add value="Negotiate"/>
                     <add value="NTLM"/>
                 </providers>
                 <extendedProtection tokenChecking="None"/>
             </windowsAuthentication>

5. Если веб-приложение выполняется под доменной пользовательской учетной записью, то дбавьте к этой учетной записи соответствующий SPN

setspn -a http/имя_сервера домен\учетная_запись

(эта утилита входит в состав ОС win2003 и выше, для Win2000 можно скачать отдельно)

После этого, в свойствах учетной записи появится закладка «Delegation» на которой необходмо выбрать (*) Trust this user to delegation to any service (kerberos only)

Если используются веб-части требующие доступ к удаленным ресурсам, то учетной записи компьютера необходимо разрешить делегирование (*) Trust this computer to delegation to any service (kerberos only)

Более поднобно о настройке SPN и делегирования смотрите здесь (http://support.microsoft.com/kb/832769)

6. Чтобы проверить, что аутентификация работает через kerberos, откройте лог безопасности и отфильтруйте по EventID 4624