Configuración de Seguridad Integrada

764 views

Published on

Estamos por instalar SharePoint. Somos ordenados y nos preparamos un paso a paso, pero... ¿Que cuentas necesito?. ¿Quien autentica cómo? ¿Dónde autentico?.
En esta sesión veremos definiciones y pistas para una mejor toma de decisiones y como SharePoint encapsula la seguridad para facilitarnos mantener ordenado y seguro nuestro entorno.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
764
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
9
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Configuración de Seguridad Integrada

  1. 1. C&B201Configuración de SeguridadIntegradaDaniel A. SearaDirector de Formación - ColaboraciónMVP SharePoint Serverdseara@solidq.com
  2. 2. Preparando SharePointLas cuentas de instalaciónα Recomendación de buenas prácticas Cuenta Servicio PermisosSQLService SQLServer Acorde a los recursos utilizados SQL Server Agent Importante si accede a recursos externosSPService SharePoint Server Asignados durante la instalación SharePoint Admin App Pool En SQLServer dbcreator securityadmin SharePoint Web Services db_owner (SharePoint db) SharePoint Timer
  3. 3. Preparando SharePointAsegurando el entorno SQL Serverα Bloquear UDP 1434α Configurar SQL Server para escuchar en puertos no estándar β TCP 1433 β UPD 1434α Abrir los puertos seleccionados en el Firewall β Solo para el dominioα Configurar Alias de Cliente para los nuevos puertos asignados β Cliconfg.exe
  4. 4. Instalando SharePointα Conectar al SQL por el Aliasα Especificar un Puerto para Admin
  5. 5. Identificación en SharePointα El problema de identificación tiene 2 puntos cruciales β De cliente a SharePoint β De SharePoint a Otros Serviciosα En ambos casos puede ser β Clásica (Identificación Windows) β Reclamo («Claims»)
  6. 6. Identificación del ClienteClásicaα Integrada β NTLM γ Pros δ Fácil de configurar y no requiere configuración adicional del entorno δ Funciona cuando el cliente no es parte del dominio, o no está en un dominio de confianza para el dominio en que SharePoint reside γ Contras δ Requiere que SharePoint contacte al controlador de dominio cada vez δ No permite Delegación de cliente al «back-end»,(doble salto) δ Es un protocolo propietario δ No admite la autenticación de servidor δ Se considera menos seguro
  7. 7. Identificación del ClienteClásicaα Integrada β Kerberos γ Pros δ Protocolo de autenticación de Windows integrada más seguro δ Permite la delegación de las credenciales del cliente δ Admite la autenticación mutua de clientes y servidores δ Produce menos tráfico en controladores de dominio δ Protocolo abierto apoyado por muchas plataformas y proveedores γ Contras δ Requiere configuración adicional de infraestructura δ Requiere conectividad con el KDC (controlador de dominio de Active Directory en entornos Windows). ε Puerto TCP/UDP 88 (Kerberos) ε Puerto TCP/UDP 464 (Kerberos cambiar contraseña: Windows)
  8. 8. Identificación del ClienteReclamo («Claims»)α Windows β Traslada la autenticación Integrada a una Identidad «Claims» γ Sea NTLM o Kerberosα FBA β La Identificación del usuario se realiza por Membership de asp.net, y luego se traslada a una Identidad «Claims»α SAML β La identificación se realiza por un servicio externo (Security Token Provider) y luego se traslada a una Identidad «Claims» γ Live Id γ Windows Identity Foundation (WIF) Claims to Windows Token Service (C2WTS)
  9. 9. Identificación en SharePointα Entre servidores por Claims β Algunos servicios que se exponen en SharePoint no manejan «Claims» γ SQL Reporting Services γ RSS desde orígenes identificados
  10. 10. Identificación hacia AfueraOtros Serviciosα Sub Sistema Confiable β Autoriza SharePoint, el servicio le cree γ Con La Identidad del App Pool γ Con la identidad de servicio compartido γ Con Identificación anónima α Delegación β Utiliza las mismas credenciales para identificar al usuario γ Kerberos γ «Claims» δ Algunos servicios de SharePoint 2010 nativos aún no soportan Claims
  11. 11. Identificación hacia AfueraKerberos y restriccionesα Kerberos restrictivo β Solo dentro del mismo dominio γ Excel Services γ PerformancePoint Services γ InfoPath Forms Services γ Visio Services β Admite entre varios dominios del mismo Bosque γ Business Data Connectivity service and Microsoft Business Connectivity Services γ Access Services γ Microsoft SQL Server Reporting Services (SSRS) γ Microsoft Project Server 2010 β No permite delegación γ Microsoft SQL Server PowerPivot for Microsoft SharePoint
  12. 12. NTLM y Kerberos
  13. 13. NTLM Kerberos• Fácil • Más complejo• Automática • Hay que implementarla en fases• Completa para todos los servicios • Cuando lo admite, es transparente• Requiere configurar delegaciones etc. entre servicios por doble salto • No se lleva bien con alguno servicios • Búsqueda • Algunos exploradores (incluyendo versiones de IE)
  14. 14. KerberosRequerimientosα Directorio Activoα Centro de Distribución de clavesα Servidores de servicios β SQL Server β SharePoint Serverα Condiciones de seguridad β Todas las cuentas de servicio han de ser de Dominio β La comunicación entre servidores debe ser directa β La cuenta con que se realiza la configuración debe ser admón. del bosque
  15. 15. Configurando…
  16. 16. Distribución SQL AS SQL Search BCS vmSQL2k8r2-01 PPS Web Visio vmSQL2k8r2-02 Excel vmSP10WFE01 MMS SQL Cluster c2WTS Cliente vmSP10WFE02 SSRS (Win7) vmSP10APP01 NLB Cluster vmSQL2k8r2-RS01 App Server vmSQL2k8r2-RS01 SQL Reporting Services NLB Cluster Demos.local
  17. 17. SQL Serverα ANTES de comenzar la instalación de SharePoint 2010α Crear los SPN (Service Principal Name) β ADSIEDIT.msc
  18. 18. SharePointSETSPNα Asi como con Asdiedit, es posible asignar nombre con SetSpn β setspn -a http/FQDN CuentaDelServicio (AppPool) γ No lleva el «:» y con un solo «/» γ En caso de utilizar un puerto fuera del estándar δ Se deben hacer 2 entradas, una sin puerto y otra con él δ NO se debe registrar con https aún cuando se usa SSL β Es preferible para URLs, servicios Web, etc.
  19. 19. SharePointDelegación restrictivaα Cuando se consultan elementos de otro sitio/ colección de sitiosα Y ambos tienen cuentas de App Pools distintasα Se deben registrar AMBOS usuarios en AMBAS colecciones de sitios β setspn -S http/sps1.demos.local DEMOSSpsService β setspn -S http/sps2.demos.local DEMOSSpsService β setspn -S http/sps2.demos.local DEMOSSpsService2 β setspn -S http/sps1.demos.local DEMOSSpsService2
  20. 20. SharePointDelegación restrictivaα Habilitar además Delegación a nivel del Directorio Activo β Admón de Usuarios y Servidores β Ficha Delegación γ Solo existe si el objeto tiene SPN γ Se agregan las cuentas a delegar
  21. 21. SharePointCuentas Administradasα Las cuentas de los servicios deben registrarse como cuentas administradas β SharePoint Search Service Account β SharePoint Search Administration Service Account β SharePoint Search Query Service Account β Web App IIS Application Pool Account 1 β Web App IIS Application Pool Account 2 …
  22. 22. Identificación en el sitio
  23. 23. Internet Information ServerConfigurar Kerberos
  24. 24. Finalmente…α Asegurarse los usuarios accedan al servicio de identificación Kerberos β Puerto 88α Asegurar identificación automática para Intranet β ¡En cada cliente!α Si se usan nombres completos de host β Servidor.dominio.zona β Agregarlos (o por comodines), en la zona Intranet
  25. 25. Herramientas Útilesα KerbTray β Resource Kit Windows 2000 β Permite evaluar tickets Kerberosα Fiddler β Analiza tráfico httpα NetMon 3.4 β Analiza tráfico de TCP
  26. 26.  ¡No olvidéis rellenar las evaluaciones en el Portal del Summit! ¡Nos encontraréis en la zona de exposición en los siguientes horarios α En cada descanso  Daniel A. Seara Director de Formación – Colaboración y Búsqueda MVP SharePoint Server dseara@solidq.com

×