Configuración de Seguridad Integrada
-
Upload
solidq -
Category
Technology
-
view
501 -
download
3
description
Transcript of Configuración de Seguridad Integrada
Configuración de Seguridad Integrada
Daniel A. Seara
C&B201
Director de Formación - Colaboración MVP SharePoint Server
α Recomendación de buenas prácticas
Preparando SharePoint Las cuentas de instalación
Cuenta Servicio Permisos
SQLService SQLServer Acorde a los recursos utilizados
SQL Server Agent Importante si accede a recursos externos
SPService SharePoint Server Asignados durante la instalación
SharePoint Admin App Pool En SQLServer
SharePoint Web Services
dbcreator securityadmin db_owner (SharePoint db)
SharePoint Timer
α Bloquear UDP 1434
α Configurar SQL Server para escuchar en puertos no estándar
β TCP 1433
β UPD 1434
α Abrir los puertos seleccionados en el Firewall β Solo para el dominio
α Configurar Alias de Cliente para los nuevos puertos asignados
β Cliconfg.exe
Preparando SharePoint Asegurando el entorno SQL Server
α Conectar al SQL por el Alias
α Especificar un Puerto para Admin
Instalando SharePoint
α El problema de identificación tiene 2 puntos cruciales
β De cliente a SharePoint
β De SharePoint a Otros Servicios
α En ambos casos puede ser
β Clásica (Identificación Windows)
β Reclamo («Claims»)
Identificación en SharePoint
α Integrada β NTLM
γ Pros
δ Fácil de configurar y no requiere configuración adicional del entorno
δ Funciona cuando el cliente no es parte del dominio, o no está en un dominio de confianza para el dominio en que SharePoint reside
γ Contras
δ Requiere que SharePoint contacte al controlador de dominio cada vez
δ No permite Delegación de cliente al «back-end»,(doble salto)
δ Es un protocolo propietario
δ No admite la autenticación de servidor
δ Se considera menos seguro
Identificación del Cliente Clásica
α Integrada β Kerberos
γ Pros
δ Protocolo de autenticación de Windows integrada más seguro
δ Permite la delegación de las credenciales del cliente
δ Admite la autenticación mutua de clientes y servidores
δ Produce menos tráfico en controladores de dominio
δ Protocolo abierto apoyado por muchas plataformas y proveedores
γ Contras
δ Requiere configuración adicional de infraestructura
δ Requiere conectividad con el KDC (controlador de dominio de Active Directory en entornos Windows).
ε Puerto TCP/UDP 88 (Kerberos)
ε Puerto TCP/UDP 464 (Kerberos cambiar contraseña: Windows)
Identificación del Cliente Clásica
α Windows β Traslada la autenticación Integrada a una Identidad «Claims»
γ Sea NTLM o Kerberos
α FBA β La Identificación del usuario se realiza por Membership de asp.net, y
luego se traslada a una Identidad «Claims»
α SAML β La identificación se realiza por un servicio externo (Security Token
Provider) y luego se traslada a una Identidad «Claims»
γ Live Id
γ Windows Identity Foundation (WIF) Claims to Windows Token Service (C2WTS)
Identificación del Cliente Reclamo («Claims»)
α Entre servidores por Claims β Algunos servicios que se exponen en SharePoint no manejan
«Claims»
γ SQL Reporting Services
γ RSS desde orígenes identificados
Identificación en SharePoint
α Sub Sistema Confiable β Autoriza SharePoint, el servicio le cree
γ Con La Identidad del App Pool
γ Con la identidad de servicio compartido
γ Con Identificación anónima
α Delegación β Utiliza las mismas credenciales para
identificar al usuario
γ Kerberos
γ «Claims»
δ Algunos servicios de SharePoint 2010 nativos aún no soportan Claims
Identificación hacia Afuera Otros Servicios
α Kerberos restrictivo β Solo dentro del mismo dominio
γ Excel Services
γ PerformancePoint Services
γ InfoPath Forms Services
γ Visio Services
β Admite entre varios dominios del mismo Bosque
γ Business Data Connectivity service and Microsoft Business Connectivity Services
γ Access Services
γ Microsoft SQL Server Reporting Services (SSRS)
γ Microsoft Project Server 2010
β No permite delegación
γ Microsoft SQL Server PowerPivot for Microsoft SharePoint
Identificación hacia Afuera Kerberos y restricciones
NTLM y Kerberos
NTLM Kerberos
• Más complejo
• Hay que implementarla en fases
• Cuando lo admite, es transparente
entre servicios
• No se lleva bien con alguno servicios
• Búsqueda
• Algunos exploradores (incluyendo versiones de IE)
• Fácil
• Automática
• Completa para todos los servicios
• Requiere configurar delegaciones etc.
por doble salto
α Directorio Activo
α Centro de Distribución de claves
α Servidores de servicios β SQL Server
β SharePoint Server
α Condiciones de seguridad β Todas las cuentas de servicio han de ser de Dominio
β La comunicación entre servidores debe ser directa
β La cuenta con que se realiza la configuración debe ser admón. del bosque
Kerberos Requerimientos
Configurando…
Distribución
Cliente(Win7)
Demos.local
NLB Cluster
SQL Cluster
App Server
MMS
Excel
c2WTS
Web
SQL
SQL AS
SQL Reporting Services NLB Cluster
SSRS
Visio
PPS
BCS
vmSP10WFE01
vmSP10WFE02
vmSP10APP01
vmSQL2k8r2-01
vmSQL2k8r2-02
vmSQL2k8r2-RS01
vmSQL2k8r2-RS01
Search
α ANTES de comenzar la instalación de SharePoint 2010
α Crear los SPN (Service Principal Name) β ADSIEDIT.msc
SQL Server
α Asi como con Asdiedit, es posible asignar nombre con SetSpn
β setspn -a http/FQDN CuentaDelServicio (AppPool)
γ No lleva el «:» y con un solo «/»
γ En caso de utilizar un puerto fuera del estándar
δ Se deben hacer 2 entradas, una sin puerto y otra con él
δ NO se debe registrar con https aún cuando se usa SSL
β Es preferible para URLs, servicios Web, etc.
SharePoint SETSPN
α Cuando se consultan elementos de otro sitio/ colección de sitios
α Y ambos tienen cuentas de App Pools distintas
α Se deben registrar AMBOS usuarios en AMBAS colecciones de sitios
β setspn -S http/sps1.demos.local DEMOS\SpsService
β setspn -S http/sps2.demos.local DEMOS\SpsService
β setspn -S http/sps2.demos.local DEMOS\SpsService2
β setspn -S http/sps1.demos.local DEMOS\SpsService2
SharePoint Delegación restrictiva
α Habilitar además Delegación a nivel del Directorio Activo β Admón de Usuarios y Servidores
β Ficha Delegación
γ Solo existe si el objeto tiene SPN
γ Se agregan las cuentas a delegar
SharePoint Delegación restrictiva
α Las cuentas de los servicios deben registrarse como cuentas administradas
β SharePoint Search Service Account
β SharePoint Search Administration Service Account
β SharePoint Search Query Service Account
β Web App IIS Application Pool Account 1
β Web App IIS Application Pool Account 2 …
SharePoint Cuentas Administradas
Identificación en el sitio
Internet Information Server Configurar Kerberos
α Asegurarse los usuarios accedan al servicio de identificación Kerberos
β Puerto 88
α Asegurar identificación automática para Intranet β ¡En cada cliente!
Finalmente…
α Si se usan nombres completos de host β Servidor.dominio.zona
β Agregarlos (o por comodines), en la zona Intranet
α KerbTray β Resource Kit Windows 2000
β Permite evaluar tickets Kerberos
α Fiddler β Analiza tráfico http
α NetMon 3.4 β Analiza tráfico de TCP
Herramientas Útiles
¡No olvidéis rellenar las evaluaciones en el Portal
del Summit!
¡Nos encontraréis en la zona de exposición en los
siguientes horarios
Daniel A. Seara
MVP SharePoint Server
α En cada descanso
Director de Formación – Colaboración y Búsqueda