[MOSS2007] Kerberos

Le
TG2K
Bonjour,

J'ai configuré Kerberos avec succès pour mon portail d'utilisateurs,
essentiellement pour pouvoir utiliser la "visionneuse RSS" pointant
vers des sources internes MOSS. Tout va bien merci :)

Par contre, je soupçonne des effets de bord sur le moteur de
recherche, en effet, seul mon portail est configuré en Kerberos: les
SharedServices (dont MySites) et la CentralAdmin sont encore en NTLM.

=> Faut-il permettre quelque part au "compte d'accès de la recherche"
de s'authentifier en Kerberos, ou est-il censé le faire nativement ?

=> Plus généralement, recommandez vous d'activer Kerberos sur toutes
les webapps, y compris spécifiques MOSS (SharedServices,
CentralAdmin) ? Dans ce cas, cela m'imposerait des host headers, vu
que les SPN ne tiennent pas compte du port

Merci pour vos retours d'expérience sur ce sujet.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Romelard Fabrice [MVP]
Le #16996941
Bonjour,

A mon sens Kerberos doit être mis en place sur toutes les WebApp.

--
Cordialement

Romelard Fabrice [MVP]

"TG2K"
Bonjour,

J'ai configuré Kerberos avec succès pour mon portail d'utilisateurs,
essentiellement pour pouvoir utiliser la "visionneuse RSS" pointant
vers des sources internes MOSS. Tout va bien merci :)

Par contre, je soupçonne des effets de bord sur le moteur de
recherche, en effet, seul mon portail est configuré en Kerberos: les
SharedServices (dont MySites) et la CentralAdmin sont encore en NTLM.

=> Faut-il permettre quelque part au "compte d'accès de la recherche"
de s'authentifier en Kerberos, ou est-il censé le faire nativement ?

=> Plus généralement, recommandez vous d'activer Kerberos sur toutes
les webapps, y compris spécifiques MOSS (SharedServices,
CentralAdmin) ? Dans ce cas, cela m'imposerait des host headers, vu
que les SPN ne tiennent pas compte du port...

Merci pour vos retours d'expérience sur ce sujet.
TG2K
Le #16996881
Bonjour,

On 4 oct, 10:38, "Romelard Fabrice [MVP]" wrote:
A mon sens Kerberos doit être mis en place sur toutes les WebApp.



C'est bien ce que je crains, mais cela devient très gênant car les
Identités d'application pools ne sont pas les mêmes, et l'URL est
commune...

Je détaille pour ceux que l'expérience Kerberos intéresse:
Exemple:
POOLS:
1-CentralAdminAppPool: MondomaineMoncompteAdmin
2-SharedServicesAppPool: MondomaineMoncompteSHS
3-MySitesAppPool:MondomaineMoncompteSHS
4-PortailAppPool: MondomaineMoncomptePortail

WEBAPPS:
1-Central Administration: http://monserveur:1234
2-SharedServices: http://monserveur:1235
3-MySites: http://monserveur:1236
4-Portail: http://aliasDNSportail:80

Comme on peut le constater, les webapps 1, 2 et 3 ont le même
hostname, des ports différents, et des identités différentes. Il
faudrait donc 3 SPN Kerberos (1 par identité)... mais impossible car
un SPN ne tient pas compte du port:
SETSPN -A http/monserveur MondomaineMoncompteAdmin

(pour la petite histoire, n'oubliez pas non plus de passer les
identités, dans l'AD, en "Trusted for Delegation" dans l'onglet
Delegation, qui apparaît une fois les SPN associés, et à faire de la
constrained delegation pour que n'importe qui ne discute pas avec
n'importe quoi).

Et bien sûr, il est interdit de définir le même SPN pour plus d'une
identité simultanée.

Pour la 4e par contre pas de problème, puisque le hostname (et donc le
SPN http/aliasDNSportail) est unique.

BREF: passer le tout en Kerberos pour des identités distinctes
nécessite alors N alias différents, afin d'assurer l'unicité des SPN.

Le problème que j'évoquais dans mon premier message, c'est que j'ai
beaucoup d'events indiquant un échec d'authentification *NTLM* du
compte de recherche sur mon portail en *Kerberos*... A croire que le
crawler ne tient pas compte du mode d'authentification proposé, ou que
le portail refuse le NTLM, les deux m'étonnent (pour moi, si Kerberos
échoue on passe en NTLM sans problème ???).

Merci , si cela peut déclencher des vocations pour m'aider dans le
troubleshooting :-)
Sébastien PICAMELOT
Le #16996731
Lorsque Kerberos est configuré sur un site, tous les comptes y accédant
doivent passer en Kerberos. Pour qu'un compte n'y parvienne pas lorsque
Kerberos est bien configuré, c'est que le client tentant d'y accéder ne
parvienne pas à utiliser Kerberos... auquel cas il passe en NTLM et on
retouve une erreur dans l'EventLog. Quel est le compte utilisé pour
l'indexation ? N'y a t-il pas de restrictions sur ce compte ? L'environnement
est-il en load balancing ? les setSPN ont-ils été fait sur le nom netbios et
sur le FQDN ?

Je conseille aussi de passer toutes les WebApps en Kerberos (pour des
raisons de performances et de sécurité). Dans ce cas en effet, il faudra
définir des alias et des host headers, faire les setSPN qui vont bien et bien
définir la délégation. De manière générale, Kerberos est indispensable à la
bonne intégration d'outils tiers avec le portail (NTLM n'est pas toujours
supporté).

--
Sébastien PICAMELOT
--------------------------------------
http://blogs.developpeur.org/gribouillon



"TG2K" a écrit :

Bonjour,

On 4 oct, 10:38, "Romelard Fabrice [MVP]" wrote:
> A mon sens Kerberos doit être mis en place sur toutes les WebApp.

C'est bien ce que je crains, mais cela devient très gênant car les
Identités d'application pools ne sont pas les mêmes, et l'URL est
commune...

Je détaille pour ceux que l'expérience Kerberos intéresse:
Exemple:
POOLS:
1-CentralAdminAppPool: MondomaineMoncompteAdmin
2-SharedServicesAppPool: MondomaineMoncompteSHS
3-MySitesAppPool:MondomaineMoncompteSHS
4-PortailAppPool: MondomaineMoncomptePortail

WEBAPPS:
1-Central Administration: http://monserveur:1234
2-SharedServices: http://monserveur:1235
3-MySites: http://monserveur:1236
4-Portail: http://aliasDNSportail:80

Comme on peut le constater, les webapps 1, 2 et 3 ont le même
hostname, des ports différents, et des identités différentes. Il
faudrait donc 3 SPN Kerberos (1 par identité)... mais impossible car
un SPN ne tient pas compte du port:
SETSPN -A http/monserveur MondomaineMoncompteAdmin

(pour la petite histoire, n'oubliez pas non plus de passer les
identités, dans l'AD, en "Trusted for Delegation" dans l'onglet
Delegation, qui apparaît une fois les SPN associés, et à faire de la
constrained delegation pour que n'importe qui ne discute pas avec
n'importe quoi).

Et bien sûr, il est interdit de définir le même SPN pour plus d'une
identité simultanée.

Pour la 4e par contre pas de problème, puisque le hostname (et donc le
SPN http/aliasDNSportail) est unique.

BREF: passer le tout en Kerberos pour des identités distinctes
nécessite alors N alias différents, afin d'assurer l'unicité des SPN.

Le problème que j'évoquais dans mon premier message, c'est que j'ai
beaucoup d'events indiquant un échec d'authentification *NTLM* du
compte de recherche sur mon portail en *Kerberos*... A croire que le
crawler ne tient pas compte du mode d'authentification proposé, ou que
le portail refuse le NTLM, les deux m'étonnent (pour moi, si Kerberos
échoue on passe en NTLM sans problème ???).

Merci , si cela peut déclencher des vocations pour m'aider dans le
troubleshooting :-)




TG2K
Le #16992451
Bonjour,

On 7 oct, 17:20, Sébastien PICAMELOT
auquel cas il passe en NTLM et on
retouve une erreur dans l'EventLog. Quel est le compte utilisé pour
l'indexation ? N'y a t-il pas de restrictions sur ce compte ? L'environne ment
est-il en load balancing ? les setSPN ont-ils été fait sur le nom net bios et
sur le FQDN ?



Le compte d'accès au contenu pour l'indexation est un compte
indépendant des autres. Il dispose des droits "lecture" portant sur la
totalité des fonds (droits donnés automatiquement lorsque j'ai
provisionné les WSS Search et Office Search).

Restrictions, pas à ma connaissance (rien de manuellement effectué en
tout cas), si ce n'est que le compte n'est pas user ni admin local du
front-end.

Load balancing... pas encore, mais j'ai vu pas mal de buzz sur le
sujet avec Kerberos+MOSS. Mon dernier test en maquette a fonctionné ok
(SPN ok, FQDN ok, etc.)

SetSPN en effet sur le nom court non pas netbios, mais alias DNS + sur
le FQDN alias. Peut-être faut-il le faire aussi sur le nom netbios/
fqdn machine, c'est une piste (accès local au contenu, why not ?)

Merci !
Publicité
Poster une réponse
Anonyme