Configuración de Seguridad Integrada

Daniel A. Seara

C&B201

Director de Formación - Colaboración MVP SharePoint Server

dseara@solidq.com

α Recomendación de buenas prácticas

Preparando SharePoint Las cuentas de instalación

Cuenta Servicio Permisos

SQLService SQLServer Acorde a los recursos utilizados

SQL Server Agent Importante si accede a recursos externos

SPService SharePoint Server Asignados durante la instalación

SharePoint Admin App Pool En SQLServer

SharePoint Web Services

dbcreator securityadmin db_owner (SharePoint db)

SharePoint Timer

α Bloquear UDP 1434

α Configurar SQL Server para escuchar en puertos no estándar

β TCP 1433

β UPD 1434

α Abrir los puertos seleccionados en el Firewall β Solo para el dominio

α Configurar Alias de Cliente para los nuevos puertos asignados

β Cliconfg.exe

Preparando SharePoint Asegurando el entorno SQL Server

α Conectar al SQL por el Alias

α Especificar un Puerto para Admin

Instalando SharePoint

α El problema de identificación tiene 2 puntos cruciales

β De cliente a SharePoint

β De SharePoint a Otros Servicios

α En ambos casos puede ser

β Clásica (Identificación Windows)

β Reclamo («Claims»)

Identificación en SharePoint

α Integrada β NTLM

γ Pros

δ Fácil de configurar y no requiere configuración adicional del entorno

δ Funciona cuando el cliente no es parte del dominio, o no está en un dominio de confianza para el dominio en que SharePoint reside

γ Contras

δ Requiere que SharePoint contacte al controlador de dominio cada vez

δ No permite Delegación de cliente al «back-end»,(doble salto)

δ Es un protocolo propietario

δ No admite la autenticación de servidor

δ Se considera menos seguro

Identificación del Cliente Clásica

α Integrada β Kerberos

γ Pros

δ Protocolo de autenticación de Windows integrada más seguro

δ Permite la delegación de las credenciales del cliente

δ Admite la autenticación mutua de clientes y servidores

δ Produce menos tráfico en controladores de dominio

δ Protocolo abierto apoyado por muchas plataformas y proveedores

γ Contras

δ Requiere configuración adicional de infraestructura

δ Requiere conectividad con el KDC (controlador de dominio de Active Directory en entornos Windows).

ε Puerto TCP/UDP 88 (Kerberos)

ε Puerto TCP/UDP 464 (Kerberos cambiar contraseña: Windows)

Identificación del Cliente Clásica

α Windows β Traslada la autenticación Integrada a una Identidad «Claims»

γ Sea NTLM o Kerberos

α FBA β La Identificación del usuario se realiza por Membership de asp.net, y

luego se traslada a una Identidad «Claims»

α SAML β La identificación se realiza por un servicio externo (Security Token

Provider) y luego se traslada a una Identidad «Claims»

γ Live Id

γ Windows Identity Foundation (WIF) Claims to Windows Token Service (C2WTS)

Identificación del Cliente Reclamo («Claims»)

α Entre servidores por Claims β Algunos servicios que se exponen en SharePoint no manejan

«Claims»

γ SQL Reporting Services

γ RSS desde orígenes identificados

Identificación en SharePoint

α Sub Sistema Confiable β Autoriza SharePoint, el servicio le cree

γ Con La Identidad del App Pool

γ Con la identidad de servicio compartido

γ Con Identificación anónima

α Delegación β Utiliza las mismas credenciales para

identificar al usuario

γ Kerberos

γ «Claims»

δ Algunos servicios de SharePoint 2010 nativos aún no soportan Claims

Identificación hacia Afuera Otros Servicios

α Kerberos restrictivo β Solo dentro del mismo dominio

γ Excel Services

γ PerformancePoint Services

γ InfoPath Forms Services

γ Visio Services

β Admite entre varios dominios del mismo Bosque

γ Business Data Connectivity service and Microsoft Business Connectivity Services

γ Access Services

γ Microsoft SQL Server Reporting Services (SSRS)

γ Microsoft Project Server 2010

β No permite delegación

γ Microsoft SQL Server PowerPivot for Microsoft SharePoint

Identificación hacia Afuera Kerberos y restricciones

NTLM y Kerberos

NTLM Kerberos

• Más complejo

• Hay que implementarla en fases

• Cuando lo admite, es transparente

entre servicios

• No se lleva bien con alguno servicios

• Búsqueda

• Algunos exploradores (incluyendo versiones de IE)

• Fácil

• Automática

• Completa para todos los servicios

• Requiere configurar delegaciones etc.

por doble salto

α Directorio Activo

α Centro de Distribución de claves

α Servidores de servicios β SQL Server

β SharePoint Server

α Condiciones de seguridad β Todas las cuentas de servicio han de ser de Dominio

β La comunicación entre servidores debe ser directa

β La cuenta con que se realiza la configuración debe ser admón. del bosque

Kerberos Requerimientos

Configurando…

Distribución

Cliente(Win7)

Demos.local

NLB Cluster

SQL Cluster

App Server

MMS

Excel

c2WTS

Web

SQL

SQL AS

SQL Reporting Services NLB Cluster

SSRS

Visio

PPS

BCS

vmSP10WFE01

vmSP10WFE02

vmSP10APP01

vmSQL2k8r2-01

vmSQL2k8r2-02

vmSQL2k8r2-RS01

vmSQL2k8r2-RS01

Search

α ANTES de comenzar la instalación de SharePoint 2010

α Crear los SPN (Service Principal Name) β ADSIEDIT.msc

SQL Server

α Asi como con Asdiedit, es posible asignar nombre con SetSpn

β setspn -a http/FQDN CuentaDelServicio (AppPool)

γ No lleva el «:» y con un solo «/»

γ En caso de utilizar un puerto fuera del estándar

δ Se deben hacer 2 entradas, una sin puerto y otra con él

δ NO se debe registrar con https aún cuando se usa SSL

β Es preferible para URLs, servicios Web, etc.

SharePoint SETSPN

α Cuando se consultan elementos de otro sitio/ colección de sitios

α Y ambos tienen cuentas de App Pools distintas

α Se deben registrar AMBOS usuarios en AMBAS colecciones de sitios

β setspn -S http/sps1.demos.local DEMOS\SpsService

β setspn -S http/sps2.demos.local DEMOS\SpsService

β setspn -S http/sps2.demos.local DEMOS\SpsService2

β setspn -S http/sps1.demos.local DEMOS\SpsService2

SharePoint Delegación restrictiva

α Habilitar además Delegación a nivel del Directorio Activo β Admón de Usuarios y Servidores

β Ficha Delegación

γ Solo existe si el objeto tiene SPN

γ Se agregan las cuentas a delegar

SharePoint Delegación restrictiva

α Las cuentas de los servicios deben registrarse como cuentas administradas

β SharePoint Search Service Account

β SharePoint Search Administration Service Account

β SharePoint Search Query Service Account

β Web App IIS Application Pool Account 1

β Web App IIS Application Pool Account 2 …

SharePoint Cuentas Administradas

Identificación en el sitio

Internet Information Server Configurar Kerberos

α Asegurarse los usuarios accedan al servicio de identificación Kerberos

β Puerto 88

α Asegurar identificación automática para Intranet β ¡En cada cliente!

Finalmente…

α Si se usan nombres completos de host β Servidor.dominio.zona

β Agregarlos (o por comodines), en la zona Intranet

α KerbTray β Resource Kit Windows 2000

β Permite evaluar tickets Kerberos

α Fiddler β Analiza tráfico http

α NetMon 3.4 β Analiza tráfico de TCP

Herramientas Útiles

¡No olvidéis rellenar las evaluaciones en el Portal

del Summit!

¡Nos encontraréis en la zona de exposición en los

siguientes horarios

Daniel A. Seara

MVP SharePoint Server

α En cada descanso

dseara@solidq.com

Director de Formación – Colaboración y Búsqueda