Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба SharePoint Claims to Windows Token (C2WTS) потребуется в случае, если необходимо будет использовать проверку подлинности Windows для источников данных, которые находятся за пределами фермы SharePoint. Это верно, даже если пользователь получает доступ к источникам данных с использованием проверки подлинности Windows, поскольку для связи между клиентским веб-интерфейсом и общей службой Службы Reporting Services всегда используется проверка подлинности Claims.
Служба C2WTS необходима, даже если источники данных находятся на одном компьютере с общей службой. Однако в этом случае ограниченное делегирование не требуется.
Токены, созданные службой C2WTS, работают только при наличии ограниченного делегирования (ограничение набором определенных служб) и установленном параметре «Использовать любой протокол проверки подлинности». Как уже отмечалось, если источники данных находятся на одном компьютере с общей службой, ограниченное делегирование не требуется.
Если в среде используется ограниченное делегирование Kerberos, службы SharePoint Server и внешние источники данных должны находиться в одном домене Windows. Любая служба, которая зависит от службы Claims to Windows Token Service (C2WTS), должна использовать ограниченное делегирование Kerberos, чтобы служба 2WTS могла использовать переход протокола Kerberos для преобразования утверждений в учетные данные Windows. Эти требования являются достоверными для всех общих служб SharePoint. Дополнительные сведения см. в разделе Обзор проверки подлинности Kerberos для продуктов Microsoft SharePoint 2010 (https://technet.microsoft.com/ru-ru/library/gg502594.aspx).
Далее приведено общее описание процедуры, однако это неполный список шагов.
Предварительные требования
.gif "Примечание") Примечание |
|---|
Примечание. Некоторые шаги по настройке могут отличаться или могут не работать в определенных топологиях фермы. Например, установка одиночного сервера не поддерживает службы C2WTS Windows Identity Foundation, поэтому в этой конфигурации фермы требования сценариев делегирования токенов Windows невозможны. |
Основные шаги для настройки службы C2WTS
Настройте учетную запись службы, которую планируется использовать для C2WTS. Учетной записи, используемой для службы C2WTS, требуются следующие права локальной политики:
работа в качества части операционной системы;
олицетворение клиента после проверки подлинности;
вход в систему в качестве службы.
Учетную запись, используемую для службы C2WTS, также необходимо настроить для ограниченного делегирования с переводом протоколов. Кроме того, ей требуются разрешения на делегирование службам, с которыми она будет обмениваться данными (например, SQL Server Engine, SQL Server Analysis Services).Для настройки делегирования используются пользователи Active Directory и оснастка «Компьютер».
Щелкните правой кнопкой мыши каждую учетную запись службы и откройте диалоговое окно свойств. В диалоговом окне перейдите на вкладку Делегирование.
ПримечаниеПримечание. Вкладка делегирования отображается только в случае, если объекту назначено имя участника-службы. Службе C2WTS не требуется имя участника-службы для учетной записи службы C2WTS, однако без имени участника службы вкладка Делегирование отображаться не будет. Другой способ настройки ограниченного делегирования заключается в использовании специальной программы, например ADSIEdit.
Основными параметрами, приведенными на вкладке делегирования, являются следующие:
Установка параметра «Доверять этому пользователю делегирование только определенных служб»
Установка параметра «Использовать любой протокол проверки подлинности»
Дополнительные сведения см. в разделе «Настройка ограниченного делегирования Kerberos для компьютеров и учетных записей служб» технического документа Настройка проверки подлинности Kerberos для продуктов SharePoint 2010 и SQL Server 2008 R2
Настройка параметра службы C2WTS «AllowedCallers»
Служба C2WTS требует, чтобы идентификаторы вызывающих были явно перечислены в файле конфигурации c2wtshost.exe.config. Служба C2WTS принимает запросы от всех пользователей системы, прошедших проверку подлинности, только если она настроена на это. В этом случае вызывающим является группа Windows WSS_WPG. Файл c2wtshost.exe.confi хранится в следующем расположении:
\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config
В следующем примере показан файл конфигурации:
<configuration> <windowsTokenService> <!-- By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service. Add the identities you wish to allow below. --> <allowedCallers> <clear/> <add value="WSS_WPG" /> </allowedCallers> </windowsTokenService> </configuration>Запустите службу C2WTS операционной системы.
Задайте использование службой учетной записи, настроенной в предыдущем шаге.
В качестве типа ее запуска выберите «Автоматически» и запустите службу.
Запуск службы Claims to Windows Token Service SharePoint Запустите службу Claims to Windows Token из центра администрирования SharePoint на странице Управление службами на сервере. Служба должна быть запущена на сервере, который будет выполнять действие. Например, при наличии сервера, который является сервером WFE, и другого сервера, который служит сервером приложений, где работает общая служба Службы Reporting Services, службу 2WTS необходимо запустить только на сервере приложений. Служба C2WTS не требуется на сервере WFE.