C&B201Configuración de SeguridadIntegradaDaniel A. SearaDirector de Formación - ColaboraciónMVP SharePoint Serverdseara@so...
Preparando SharePointLas cuentas de instalaciónα Recomendación de buenas prácticas  Cuenta               Servicio         ...
Preparando SharePointAsegurando el entorno SQL Serverα Bloquear UDP 1434α Configurar SQL Server para escuchar en puertos n...
Instalando SharePointα Conectar al SQL por el Aliasα Especificar un Puerto para Admin
Identificación en SharePointα El problema de identificación tiene 2 puntos cruciales β   De cliente a SharePoint β   De Sh...
Identificación del ClienteClásicaα Integrada  β    NTLM      γ Pros       δ Fácil de configurar y no requiere configuració...
Identificación del ClienteClásicaα Integrada  β    Kerberos      γ Pros       δ Protocolo de autenticación de Windows inte...
Identificación del ClienteReclamo («Claims»)α Windows β    Traslada la autenticación Integrada a una Identidad «Claims»   ...
Identificación en SharePointα Entre servidores por Claims β    Algunos servicios que se exponen en SharePoint no manejan  ...
Identificación hacia AfueraOtros Serviciosα Sub Sistema Confiable β    Autoriza SharePoint, el servicio le cree     γ Con ...
Identificación hacia AfueraKerberos y restriccionesα Kerberos restrictivo  β       Solo dentro del mismo dominio      γ   ...
NTLM y Kerberos
NTLM                                     Kerberos• Fácil                                   • Más complejo• Automática     ...
KerberosRequerimientosα Directorio Activoα Centro de Distribución de clavesα Servidores de servicios β   SQL Server β   Sh...
Configurando…
Distribución                                                          SQL AS                                              ...
SQL Serverα ANTES de comenzar la instalación de SharePoint 2010α Crear los SPN (Service Principal Name) β   ADSIEDIT.msc
SharePointSETSPNα Asi como con Asdiedit, es posible asignar nombre con  SetSpn β setspn -a http/FQDN CuentaDelServicio (Ap...
SharePointDelegación restrictivaα Cuando se consultan elementos de otro sitio/ colección de  sitiosα Y ambos tienen cuenta...
SharePointDelegación restrictivaα Habilitar además Delegación a nivel del Directorio Activo  β    Admón de Usuarios y Serv...
SharePointCuentas Administradasα Las cuentas de los servicios deben registrarse como     cuentas administradas β    ShareP...
Identificación en el sitio
Internet Information ServerConfigurar Kerberos
Finalmente…α Asegurarse los usuarios accedan al servicio de     identificación Kerberos β    Puerto 88α Asegurar identific...
Herramientas Útilesα KerbTray β   Resource Kit Windows 2000 β   Permite evaluar tickets Kerberosα Fiddler β   Analiza tráf...
 ¡No olvidéis rellenar las evaluaciones en el Portal  del Summit! ¡Nos encontraréis en la zona de exposición en los  sig...
Configuración de Seguridad Integrada
Configuración de Seguridad Integrada
Configuración de Seguridad Integrada
Configuración de Seguridad Integrada
Configuración de Seguridad Integrada
Configuración de Seguridad Integrada
Upcoming SlideShare
Loading in...5
×

Configuración de Seguridad Integrada

515

Published on

Estamos por instalar SharePoint. Somos ordenados y nos preparamos un paso a paso, pero... ¿Que cuentas necesito?. ¿Quien autentica cómo? ¿Dónde autentico?.
En esta sesión veremos definiciones y pistas para una mejor toma de decisiones y como SharePoint encapsula la seguridad para facilitarnos mantener ordenado y seguro nuestro entorno.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
515
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Configuración de Seguridad Integrada

  1. 1. C&B201Configuración de SeguridadIntegradaDaniel A. SearaDirector de Formación - ColaboraciónMVP SharePoint Serverdseara@solidq.com
  2. 2. Preparando SharePointLas cuentas de instalaciónα Recomendación de buenas prácticas Cuenta Servicio PermisosSQLService SQLServer Acorde a los recursos utilizados SQL Server Agent Importante si accede a recursos externosSPService SharePoint Server Asignados durante la instalación SharePoint Admin App Pool En SQLServer dbcreator securityadmin SharePoint Web Services db_owner (SharePoint db) SharePoint Timer
  3. 3. Preparando SharePointAsegurando el entorno SQL Serverα Bloquear UDP 1434α Configurar SQL Server para escuchar en puertos no estándar β TCP 1433 β UPD 1434α Abrir los puertos seleccionados en el Firewall β Solo para el dominioα Configurar Alias de Cliente para los nuevos puertos asignados β Cliconfg.exe
  4. 4. Instalando SharePointα Conectar al SQL por el Aliasα Especificar un Puerto para Admin
  5. 5. Identificación en SharePointα El problema de identificación tiene 2 puntos cruciales β De cliente a SharePoint β De SharePoint a Otros Serviciosα En ambos casos puede ser β Clásica (Identificación Windows) β Reclamo («Claims»)
  6. 6. Identificación del ClienteClásicaα Integrada β NTLM γ Pros δ Fácil de configurar y no requiere configuración adicional del entorno δ Funciona cuando el cliente no es parte del dominio, o no está en un dominio de confianza para el dominio en que SharePoint reside γ Contras δ Requiere que SharePoint contacte al controlador de dominio cada vez δ No permite Delegación de cliente al «back-end»,(doble salto) δ Es un protocolo propietario δ No admite la autenticación de servidor δ Se considera menos seguro
  7. 7. Identificación del ClienteClásicaα Integrada β Kerberos γ Pros δ Protocolo de autenticación de Windows integrada más seguro δ Permite la delegación de las credenciales del cliente δ Admite la autenticación mutua de clientes y servidores δ Produce menos tráfico en controladores de dominio δ Protocolo abierto apoyado por muchas plataformas y proveedores γ Contras δ Requiere configuración adicional de infraestructura δ Requiere conectividad con el KDC (controlador de dominio de Active Directory en entornos Windows). ε Puerto TCP/UDP 88 (Kerberos) ε Puerto TCP/UDP 464 (Kerberos cambiar contraseña: Windows)
  8. 8. Identificación del ClienteReclamo («Claims»)α Windows β Traslada la autenticación Integrada a una Identidad «Claims» γ Sea NTLM o Kerberosα FBA β La Identificación del usuario se realiza por Membership de asp.net, y luego se traslada a una Identidad «Claims»α SAML β La identificación se realiza por un servicio externo (Security Token Provider) y luego se traslada a una Identidad «Claims» γ Live Id γ Windows Identity Foundation (WIF) Claims to Windows Token Service (C2WTS)
  9. 9. Identificación en SharePointα Entre servidores por Claims β Algunos servicios que se exponen en SharePoint no manejan «Claims» γ SQL Reporting Services γ RSS desde orígenes identificados
  10. 10. Identificación hacia AfueraOtros Serviciosα Sub Sistema Confiable β Autoriza SharePoint, el servicio le cree γ Con La Identidad del App Pool γ Con la identidad de servicio compartido γ Con Identificación anónima α Delegación β Utiliza las mismas credenciales para identificar al usuario γ Kerberos γ «Claims» δ Algunos servicios de SharePoint 2010 nativos aún no soportan Claims
  11. 11. Identificación hacia AfueraKerberos y restriccionesα Kerberos restrictivo β Solo dentro del mismo dominio γ Excel Services γ PerformancePoint Services γ InfoPath Forms Services γ Visio Services β Admite entre varios dominios del mismo Bosque γ Business Data Connectivity service and Microsoft Business Connectivity Services γ Access Services γ Microsoft SQL Server Reporting Services (SSRS) γ Microsoft Project Server 2010 β No permite delegación γ Microsoft SQL Server PowerPivot for Microsoft SharePoint
  12. 12. NTLM y Kerberos
  13. 13. NTLM Kerberos• Fácil • Más complejo• Automática • Hay que implementarla en fases• Completa para todos los servicios • Cuando lo admite, es transparente• Requiere configurar delegaciones etc. entre servicios por doble salto • No se lleva bien con alguno servicios • Búsqueda • Algunos exploradores (incluyendo versiones de IE)
  14. 14. KerberosRequerimientosα Directorio Activoα Centro de Distribución de clavesα Servidores de servicios β SQL Server β SharePoint Serverα Condiciones de seguridad β Todas las cuentas de servicio han de ser de Dominio β La comunicación entre servidores debe ser directa β La cuenta con que se realiza la configuración debe ser admón. del bosque
  15. 15. Configurando…
  16. 16. Distribución SQL AS SQL Search BCS vmSQL2k8r2-01 PPS Web Visio vmSQL2k8r2-02 Excel vmSP10WFE01 MMS SQL Cluster c2WTS Cliente vmSP10WFE02 SSRS (Win7) vmSP10APP01 NLB Cluster vmSQL2k8r2-RS01 App Server vmSQL2k8r2-RS01 SQL Reporting Services NLB Cluster Demos.local
  17. 17. SQL Serverα ANTES de comenzar la instalación de SharePoint 2010α Crear los SPN (Service Principal Name) β ADSIEDIT.msc
  18. 18. SharePointSETSPNα Asi como con Asdiedit, es posible asignar nombre con SetSpn β setspn -a http/FQDN CuentaDelServicio (AppPool) γ No lleva el «:» y con un solo «/» γ En caso de utilizar un puerto fuera del estándar δ Se deben hacer 2 entradas, una sin puerto y otra con él δ NO se debe registrar con https aún cuando se usa SSL β Es preferible para URLs, servicios Web, etc.
  19. 19. SharePointDelegación restrictivaα Cuando se consultan elementos de otro sitio/ colección de sitiosα Y ambos tienen cuentas de App Pools distintasα Se deben registrar AMBOS usuarios en AMBAS colecciones de sitios β setspn -S http/sps1.demos.local DEMOSSpsService β setspn -S http/sps2.demos.local DEMOSSpsService β setspn -S http/sps2.demos.local DEMOSSpsService2 β setspn -S http/sps1.demos.local DEMOSSpsService2
  20. 20. SharePointDelegación restrictivaα Habilitar además Delegación a nivel del Directorio Activo β Admón de Usuarios y Servidores β Ficha Delegación γ Solo existe si el objeto tiene SPN γ Se agregan las cuentas a delegar
  21. 21. SharePointCuentas Administradasα Las cuentas de los servicios deben registrarse como cuentas administradas β SharePoint Search Service Account β SharePoint Search Administration Service Account β SharePoint Search Query Service Account β Web App IIS Application Pool Account 1 β Web App IIS Application Pool Account 2 …
  22. 22. Identificación en el sitio
  23. 23. Internet Information ServerConfigurar Kerberos
  24. 24. Finalmente…α Asegurarse los usuarios accedan al servicio de identificación Kerberos β Puerto 88α Asegurar identificación automática para Intranet β ¡En cada cliente!α Si se usan nombres completos de host β Servidor.dominio.zona β Agregarlos (o por comodines), en la zona Intranet
  25. 25. Herramientas Útilesα KerbTray β Resource Kit Windows 2000 β Permite evaluar tickets Kerberosα Fiddler β Analiza tráfico httpα NetMon 3.4 β Analiza tráfico de TCP
  26. 26.  ¡No olvidéis rellenar las evaluaciones en el Portal del Summit! ¡Nos encontraréis en la zona de exposición en los siguientes horarios α En cada descanso  Daniel A. Seara Director de Formación – Colaboración y Búsqueda MVP SharePoint Server dseara@solidq.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×