image Ich mache viele reine Intranet-Konfigurationen/Installationen. Einen grossen Teil davon versuche ich, mit Kerberos Authentifizierung zu realisieren. Es ist etwas an Vorarbeit nötigt, aber der Mehrwert, wenn es um mehr als reinen CMS Content geht, ist doch recht gross. Szenarien sind folgende: * Zugreifen auf die Mailbox der Users (Unread-Items, Kalenderabfragen, …) * Zugreifen auf Datenbanken (der Loginname steht für personalisierte Abfragen zur Verfügung, etablierte Security auf dem SQL Server kann genutzt werden, …) * Zugreifen auf KPI’s aus dem Analysis Server (MS SQL 2005) * Zugreifen auf dem Fileserver aus SharePoint Code * RSA Authentifizierung ohne Passwort (nur mit Contrained Kerberos Delegation) * …

Was man vorher tun muss: * DNS (Jede Anwendung mit eigenem AppPool sollte seine eigene URL haben, der Central Admin ist der einzige der auf einem MachineName läuft) * AppPoolAccounts aus dem Active Directory Domain * SPN (ServicePrincipalName) auf die Accounts zu den entsprechenden Services setzen * Delegation für den Account konfigurieren (Tab im AD ist erst nach dem Setzen der SPN’s verfügbar)

Die Konfiguration des IIS übernimmt dann SharePoint selbst. Beim Anlegen der Applications wird man gefragt, wie man Authentifizieren will. Später kann man die Option über den Central Admin im Tab Application Management unter dem Punkt Authentication Provider finden. Sollte das Umstellen mit einem Fehler quitiert werden, ist Vorsicht geboten. Ein erneutes Aufrufen zeigt zwar den gewünschten Wert an, aber dieser wird nicht “live” ausgelesen, sonder kommt aus der ConfigDB. Ich hatte schon Installationen in denen ein Bug im IIS (OWS Timer Bug) dazu führte, dass die Metabase nicht zu schreiben war. Merkt man auch daran das das IIS Management Tool nicht auf geht.

Weitere Informationen: * http://blogs.msdn.com/solutions/archive/2008/02/28/enterprise-portal-kerberos-delegation-for-connecting-to-reporting-analysis-services-on-a-different-box.aspx * http://blogs.msdn.com/selvar/archive/2007/11/10/kerberos-overview.aspx * http://blogs.msdn.com/gregmcb/archive/2008/03/08/kerberos-fails-when-using-cname.aspx * http://feeds.feedburner.com/~r/TonStegeman/~3/181218254/ViewPost.aspx

Ciao Marco