Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > SharePoint 2010, Excel Services a Kerberos delegace do externího datového zdroje
září 27
SharePoint 2010, Excel Services a Kerberos delegace do externího datového zdroje

Nedávno jsem tu psal o precizním nastavení Kerberos delegace pro PerformancePoint Services a Excel Services. Tedy přesněji řečeno v okamžiku, kdy chcete přistupovat do nějakého externího zdroje (což v případě PPS děláte nejspíš vždycky, v případě Excel Services ne úplně tak nutně).

Vzhledem k tomu, že tyhle problémy jsou dneska horké zboží, tak jsem si řekl, že tu přidám nějaké screenshoty těch delegačních nastavení. Řekněme, aby se to dalo lépe googlovat a bylo to vidět na první pohled.

Obrázky ukazují Kerberos Constrained Delegation with Protocol Transition pro Excel Services a technologii Kerberos S4USelf pro Claims to Windows Token Service (C2WTS) tak, jak je to minimálně nutné. Tohle je to nejbezpečnější a skutečně minimální nastavení, které musíte mít. Jestli tam máte cokoliv dalšího, zbytečně to otevíráte a nebude to už tak bezpečné.

Ostatní detaily, které jsou nutné splnit jsou v tom originálním článku.

 

V obrázcích je vidět, že C2WTS deleguje jen sám na sebe. Ta služba se jmenuje Kerberos S4USelf (nebo S4U2Self) - Service for User to Self. To vlastně není žádná skutečná delegace, jen je to Kerberosová služba, která mu dá uživatelův tiket se všemi skupinami.

Na druhém obrázku je servisní účet pro Excel Services, který už potom skutečně deleguje pomocí Kerberos Contrained Delegation with Protocol Transition (služba S4U2Proxy, neboli S4UProxy). Což je přesně ta "strašlivě nebezpečná" delegace co jsem onehdy popisoval zde.

Pro pořádek uveďme, že tabulku Delegation v jeho vlastnostech neuvidíte, dokud mu nedáte nějaké jeho vlastní SPN (service principal name). Dávám tam něco jako excel/server.domain.fqdn nebo tak. Na nic jiného se nepoužívá, než na to, aby byla vidět ta tabulka Delegation :-)

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments