Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба преобразования утверждений SharePoint в маркеры Windows (c2WTS) требуется в режиме SharePoint для служб Reporting Services, если вы хотите использовать проверку подлинности Windows для источников данных за пределами фермы SharePoint. Это верно, даже если пользователь обращается к источникам данных с проверкой подлинности Windows, так как обмен данными между веб-интерфейсом (WFE) и общей службой Reporting Services всегда будет проверкой подлинности утверждений.
требуется c2WTS, даже если ваши источники данных находятся на том же компьютере, что и общая служба. Однако в этом сценарии ограниченное делегирование не требуется.
Маркеры, созданные c2WTS, будут работать только с ограниченным делегированием (ограничением для определенных служб) и параметром конфигурации "с использованием любого протокола проверки подлинности". Как отмечалось ранее, если источники данных находятся на том же компьютере, что и общая служба, то ограниченное делегирование не требуется.
Если в вашей среде будет использоваться ограниченное делегирование Kerberos, служба SharePoint Server и внешние источники данных должны находиться в одном домене Windows. Любая служба, основанная на утверждениях службы маркеров Windows (c2WTS), должна использовать ограниченное делегирование Kerberos, чтобы разрешить c2WTS использовать переход протокола Kerberos для перевода утверждений в учетные данные Windows. Эти требования соответствуют всем общим службам SharePoint. Дополнительные сведения см. в разделе "Обзор проверки подлинности Kerberos" для продуктов Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)).
Процедура приведена в этом разделе.
| Применимо к: SharePoint 2013 | SharePoint 2010 |
Предпосылки
Замечание
Примечание. Некоторые шаги конфигурации могут измениться или не работать в определенных топологиях фермы. Например, одна установка сервера не поддерживает службы Windows Identity Foundation c2WTS, поэтому сценарии делегирования маркеров Windows невозможно использовать в этой конфигурации фермы.
Основные шаги, необходимые для настройки c2WTS
Настройте учетную запись службы c2WTS. Добавьте учетную запись службы в группу локальных администраторов на каждом сервере приложений под управлением c2WTS. Кроме того, убедитесь, что у учетной записи есть следующие права локальной политики безопасности:
Действовать как часть операционной системы
Имитация клиента после проверки подлинности
Вход в систему с правами службы.
Учетная запись, используемая для c2WTS, также должна быть настроена для ограниченного делегирования с переходом протоколов и требует разрешений для делегирования службам, с которыми она должна взаимодействовать (например, SQL Server Engine, SQL Server Analysis Services). Чтобы настроить делегирование, можно использовать оснастку «Пользователи и компьютеры Active Directory».
Щелкните правой кнопкой мыши каждую учетную запись службы и откройте диалоговое окно свойств. В диалоговом окне щелкните вкладку "Делегирование ".
Замечание
Примечание: вкладка делегирования отображается только в том случае, если объекту назначено SPN. c2WTS не требует SPN для учетной записи c2WTS, однако без SPN вкладка "Делегирование" не будет видна. Альтернативным способом настройки ограниченного делегирования является использование служебной программы, например ADSIEdit.
Параметры конфигурации ключей на вкладке делегирования приведены ниже.
Выберите "Доверять этому пользователю только для делегирования указанным службам"
Выберите "Использовать любой протокол проверки подлинности"
Дополнительные сведения см. в разделе "Настройка ограниченного делегирования Kerberos для компьютеров и учетных записей служб" в следующем техническом документе, настройка проверки подлинности Kerberos для продуктов SharePoint 2010 и SQL Server 2008 R2
Настройка c2WTS "AllowedCallers"
c2WTS требует, чтобы удостоверения инициаторов были явно указаны в файле конфигурации c2wtshost.exe.config. c2WTS не принимает запросы от всех прошедших проверку подлинности пользователей в системе, если это не настроено. В этом случае вызывающий объект — это группа WSS_WPG Windows. Файл c2wtshost.exe.confi сохраняется в следующем расположении:
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
Ниже приведен пример файла конфигурации:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Запустите службу c2WTS операционной системы:
Настройте службу для использования учетной записи службы, настроенной на предыдущем шаге.
Измените тип запуска на "Автоматический" и запустите службу.
Запустите службу SharePoint "Преобразование утверждений в токены Windows": Запустите службу "Преобразование утверждений в токены Windows" через Ценральное администрирование SharePoint на странице Управление службами на сервере. Служба должна быть запущена на сервере, который будет выполнять действие. Например, если у вас есть сервер, который является WFE и другим сервером, который является сервером приложений, на котором запущена общая служба Reporting Services, необходимо запустить только c2WTS на сервере приложений. c2WTS не требуется для WFE.
См. также
Обзор утверждений службы маркеров Windows (c2WTS) (https://msdn.microsoft.com/library/ee517278.aspx)
Обзор проверки подлинности Kerberos для продуктов Microsoft SharePoint 2010 (https://technet.microsoft.com/library/gg502594.aspx)