SlideShare uma empresa Scribd logo

Rencontre mensuelle Montreal - juillet 2012 - kerberos

Transferir como PPT, PDF
Nicolas Georgeault
Nicolas Georgeault

Presentation sur la mise en place du protocol 'authentification Kerberos dans le contexte SharePoint avec les services Externes: SSAS, SSRS, PowerPivot, Excel Services. Presntation en amelioration permanente, vos ameliorations sont les bienvenues ;)

Tecnologia
1 de 84
Configurer Kerberos et SharePoint 2010 10 Juillet 2012 Nicolas Georgeault Architecte SharePoint, MVP SharePoint, Public Consulting Group Courriel: ngeorgeault@club-sharepoint.fr Blog: http://ngeorgeault.club-sharepoint.fr
Public Consulting Group http://publicconsultinggroup.com  Conseil aux états et aux programmes locaux de service aux Individus et de la Santés depuis 1986.  Plus de 1000 professionnels sur 50 bureaux aux Etats-Unis, au Canada, en Angleterre et en Pologne.  Services de conseil en management et en solutions technologiques pour la mesure de la performance des services du secteur publique.  5 pôles de compétences:
Agenda  Qu’est-ce que Kerberos, et pourquoi en avons-nous besoin?  Les SPNs requis pour SharePoint 2010  Configurer le service C2WTS  Démos  Scenario 1 – Services Excel vers les Services d’Analyses  Scenario 2 – Applications Web (Afficheur RSS)  Scenario 3 – Bases de données SQL Server  Scenario 4 – Services de Rapports SQL Server  Trucs, astuces et Liens utiles  Questions
References…  Martin Hatch - SharePoint User Group UK (SUGUK)  http://www.martinhatch.com/  De longues journées et nuits a comprendre et a mettre en place…
Demo Environment  Domaine AD: “skopus.local” Web Server App Server Data Server wfe1.skopus.local app1.skopus.local olap1.skopus.local http://portail/ http://portail-rss/ Services d’ Analyses SQL Services Excel Bases de données SQL Server (DBs SP) Administration Centrale
En general… Alors vous deployez en production… Mais alors que ce passe-t-il? CHAMPAGNE!! Tous fonctionne bien… C’est facile ;) Production Développent BAM! “Login failed for user 'NT AUTHORITYANONYMOUS LOGON'"
Le fameux problème de “Double-Hop”  Le “double hop” fait référence a la situation ou un service (Service A) doit utiliser l’identite de l’utilisateur (John) pour être identifier auprès d’un autre service comme cet utilisateur.  C’est ce qu’on appelle la “Délégation” bob bob John Delegation Client Service A Service B  Le défis c’est que l’authentification par défaut de Windows (NTLM) ne supporte pas la délégation. Voila pourquoi le second service reçoit une demande de connexion NULL (connexion anonyme)
Qu’est-ce que Kerberos ?  Protocole d’Authentification  Le plus sécurisé des Protocoles d’Authentification Windows  Tellement plus efficace que NTLM  Vous permets de “déléguer l’authentification” (ex: multi-hop)  Si vous être authentifie par une source de données “au nom de l’utilisateur actuel” Alors vous n’y couperez pas… Kerberos est indispensable!  SQL Server n’est pas “Claims aware” (en version pré SQL 2011)  Services de Rapports SQL Server (SSRS)  Services d’Analyses SQL Server (SSAS)
Kerberos Authentication Example svcPortal KRB_AS_REQ John SPN: 1 HTTP/portail Client 2 KRB_TGS_REQ KRB_AS_REP 5 SPN 6 svcPortal KRB_TGS_REP KRB_AP_REQ 7 svcPortal KDC skopus.l ocal HTTP GET 3 KRB_AP_REP ACCESS 4 DENIED 8 Serveur svcPortal http://portail
Prérequis Kerberos  Avoir le temps…  Etre super copain avec l’administrateur du domaine.  Un Service de synchronisation du temps!  Une ferme SharePoint 2010  Des comptes de services correctement crées (Dépend de vos besoins)  Un services DNS opérationnel (un fichier Host peut dépanner)  Configuration d’Active Directory (SPN, Délégation)  Configuration de SharePoint  Configuration IIS (Kernel Mode)  Port de communication non bloque (par défaut TCP/UDP 88)
Ok… Mais c’est quoi un SPN?  “SPN pour Service Principal Name est le nom par lequel un client identifie de manière unique une instance d'un service.”  Plusieurs instances > Un SPN pour chaque instance.  Plusieurs noms > Un SPN pour chaque nom si besoin d’authentification.  Une instance de service peut enregistrer un SPN pour chaque nom ou l'alias de l'hôte. http://support.microsoft.com/kb/929650/fr
DNS  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME) Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME) !!! On vous l’a dit?
SPNs  Active Directory utilise les “Service Principal Names” (SPNs) pour identifier les objets dans une implémentation Kerberos. Un SPN consiste en: <un type de service> / <un nom de domaine> : <un port>  Vous créez les SPNs en utilisant la commande setspn.exe: setspn.exe –S <SPN> <domain><account> Il faut être administrateur du domaine pour utiliser la commande  Lister tous les SPNs pour un compte setspn.exe –L <domain><account>  Trouver tous les SPNs dupliques setspn.exe –X
Déléguer ses supers pouvoirs!  Vous avez déjà probablement essaye de déléguer ce pouvoir…  Avec un Control total ce sera parfait ;) Failed!!!  La délégation n’est pas une permission… Mais un droit d’utilisateur ntrights -u DOMAINuseraccount +r SeEnableDelegationPrivilege
Web Applications  Les Applications Web utilisent le protocole “HTTP”.  Le numéro de Port est EGALEMENT requis si vous n’utilisez pas un numéro de port non-standards Note, Le SPN reste HTTP même pour les applications en SSL!  Vous devez déclarer le nom de domaine ET le FQDN de l’URL pour cette application web.  Ex: http://portail ou https://portail dans le domaine skopus.local HTTP/portail HTTP/portail.skopus.local  Ex: http://nonstandardport:8080/ dans le domaine skopus.local HTTP/portail:8080 HTTP/portail.skopus.local:8080 HTTP/portail HTTP/portail.skopus.local  A appliquer au COMPTE DE SERVICE du POOL D’APPLICATION de cette Application Web.
Bases de données SQL  Les Bases de données SQL utilisent le protocole “MSSQLSvc”  Vous devez déclarer le FQDN du serveur SQL (Indépendamment du fait que vous utilisiez les alias SQL!)  Création automatique du SPN  Si le Server SQL fonctionne avec les comptes Local System ou un compte Admin du domaine, il créera automatiquement le SPN quand l’instance est démarrée.  Ok… Vous devriez vraiment faire cela manuellement!  Mes serveurs SQL sont “app1.skopus.local” Les SPNs devront être:  MSSQLSvc/app1.skopus.local  MSSQLSvc/app1.skopus.local:1433 (Bonne pratique SQL… Changer le port par défaut)  A appliquer au COMPTE DE SERVICE de l’instance de la base de données!
Les Services d’Analyses SQL Server  Les services SSAS utilisent le protocole “MSOLAPSvc.3”  Vous devez déclarer le nom de domaine ET le FQDN de votre server SSAS sans aucun numéro de port!  Mes services SSAS sont installes sur “olap1.skopus.local” Les SPNs dont j’ai besoin sont:  MSOLAPSvc.3/olap1  MSOLAPSvc.3/olap1.skopus.local  A appliquer au COMPTE DE SERVICE des Services d’Analyses SQL de l’instance SSAS!
L’Authentification dans SharePoint 2010 Clients Ferme SharePoint Systeme externe Classic (Windows Auth) Classic (Windows Auth) Claims Claims Claims Authentification Authentification Authentification Entrante Intra/Inter Ferme Sortante
Normalisation de l’identite Classique Claims/Revendications NT Token NT Token ASP.Net (FBA) SAML1.1+ Windows Windows SAL, LDAP, ADFS, etc. Identity Identity Custom SAML Token Claims Based Identity SPUser
Normalisation des revendications vers l’identite Windows NTLM CLAIMS Kerberos John WFE APP SQL
Le service C2WTS  C2WTS: Claims to Windows Token Service traduit les “Informations d’autorisation basées sur les revendications” interne a SharePoint en Informations d’autorisation Windows.  C2WTS est un Service Windows  Fonctionne par défaut avec le compte “Local System”  Bonne pratique: Utiliser un Compte de Domaine  Vous devrez créer un SPN fictif pour le C2WTS. Nous en auront juste besoin pour la Délégation Contrainte. Nous créons le SPN “SP/C2WTS”  A appliquer au COMPTE DE SERVICE du service Windows C2WTS
Le service C2WTS “ Les applications de service suivantes exigent la traduction des informations d’identification fondées sur les revendications vers les informations d'identification Windows. Ce processus de traduction utilise le Claim To Windows Token Service (C2WTS):  Excel Services ”  PerformancePoint Services  InfoPath Forms Services  Visio Services TechNet - http:// technet.microsoft.com/en-us/library/ff607695.aspx
Example de service C2WTS C2WTS S4U Logon Kerb SAML AD Excel Services Kerb SAML NTLM SAML Kerberos John WFE APP SQL
Configurer C2WTS  C2WTS requière le service “Cryptographic Service” veillez vous assurer de mettre en place la dépendance!  Le service C2WTS essayera de vérifier les certificats de sécurité Microsoft a son démarrage; cela nécessite une connexion Internet et les connexions par Proxy ne sont pas supportées!  Contournement1 - .Net 4  Install .Net Framework 4 (which supports Proxy connections)  Some reported issues with SharePoint PowerShell and .Net 4  Contournement2 – Desactiver le controle de CRL (Liste de Revocation des Certificats)  HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionWinTrustTrust ProvidersSoftware Publishing  Value = State  Radix= decimal  Changer la valeur a '146944' pour desactiver le controle de CRL  Contournement3 – Fichier HOSTS  Ajouter une entrée dans le fichier host “crl.microsoft.com” vers 127.0.0.1
Configurer C2WTS  Le compte de service C2WTS doit être administrateur local sur le server sur lequel il est en fonction.  Ce compte doit en plus avoir les permissions suivantes:  Actas part of the operating system  Impersonate a client after authentication  Log on as a service En utilisant la gestion des règles de sécurité de la machine locale (secpol.msc)
Scenario 1: Services Excel vers les Services d’Analyses Requête Web Interne Requête de donnée (Claims) (Kerberos) WFE Services Excel Service d’Analyses SQL Server STS C2WTS SP/c2wts MSOLAPSvc.3/ SP/excel olap1.skopus.local Delegation Contrainte
Services Excel et C2WTS  Dans notre démo nous avons les paramètres suivant:  Le compte de service des Services Excel: “SKOPUSSkpSvcExcel”  Le compte de service de C2WTS: “SKOPUSSkpSvcC2WTS”  Les services SSAS fonctionnent sur le serveur “olap1.skopus.local”  Le compte de service des services SSAS est “SKOPUSSkpSvcSQLAnalysis”  Donc il nous faut configurer les SPNs suivant:  setspn.exe –S SP/excel SKOPUSSkpSvcExcel  setspn.exe –S SP/c2wts SKOPUSSkpSvcC2WTS  setspn.exe –S MSOLAPSvc.3/olap1.skopus.local SKOPUSSkpSvcSQLAnalysis  setspn.exe –S MSOLAPSvc.3/olap1 SKOPUSSkpSvcSQLAnalysis  La Délégation Contrainte est paramétrée par Active Directory Users & Computers
Ser vices Excel vers les Ser vices d’Analyses DEMO Configurer Kerberos et SharePoint 2010
Conclusion: Services Excel vers les Services d’Analyses  Les SPNs NE sont pas requis sur l’Application Web  C2WTS fait tout le “Sale” boulot ;)  Tant que vous utilisez des comptes du domaine, vous n’aurez a configurer les SPNs et la Délégation Contrainte qu’une seule fois.. Peut importe le nombre de serveurs Excel vous installerez!  PerformancePoint Services Fonctionne exactement de la même façon (et si vous avez déjà configure les Services Excel alors le paramétrage de C2WTS a déjà été fait!)
Scenario 2: Le Lecteur de flux RSS http://portail/ http://portail-rss/ Requete Web Requette Lecteur RSS (Kerberos) (Kerberos) WFE 1 APP 1 Lecteur RSS HTTP/portail HTTP/portail-rss Delegation Constrainte
Configurer l’Application Web  Administration Centrale – Changer le fournisseur d’authentification pour Kerberos  Vous devez créer les SPNs pour votre application Web  Dans notre exemple, vous avez 2 URLs d’Application Web  http://portail et http://portail-rss/  Le domaine AD est skopus.local  Le compte du pool d’application est SKOPUSSkpAppPool  Il vous faut donc configurer les SPNs suivants:  setspn.exe –S HTTP/portail SKOPUSSkpAppPool  setspn.exe –S HTTP/portail.skopus.local SKOPUSSkpAppPool  setspn.exe –S HTTP/portail-rss SKOPUSSkpAppPool  setspn.exe –S HTTP/portail-rss.skopus.local SKOPUSSkpAppPool  Délégation Contrainte: portail  portail-rss
Application Web DEMO Configurer Kerberos et SharePoint 2010
Scenario 3: Serveur SQL de données  Pas réellement “requis” mais recommande nous avons dons Kerberos de disponible dans l’installation  (Plus efficace aussi!)  SQL fonctionne sur le serveur app1.skopus.local  Le compte de service SQL est “SKOPUSSkpSqlDbSvc”  Le port de la base de donnees SQL est 60433  Il nous faut donc configurer les SPNs suivants:  setspn.exe –S MSSQLSvc/app1.skopus.local:60433 SKOPUSSkpSqlDbSvc  setspn.exe –S MSSQLSvc/app1.skopus.local SKOPUSSkpSqlDbSvc
Le Ser veur SQL de donnees DEMO Configurer Kerberos et SharePoint 2010
Conclusion: Le Serveur SQL de données  Rapide et facile (Pas de redémarrages nécessaires)  Requête SQL pour vérifier que les connexions fonctionnent: Select s.session_id, s.login_name, s.host_name, c.auth_scheme from sys.dm_exec_connections c inner join sys.dm_exec_sessions s on c.session_id = s.session_id where s.host_name = ‘WFE1’  Le journal d’evenements sur le Serveur Web  Evènement de connexion (4624)  Le Package d’authentification devrait être “Kerberos”
Scenario 4: SQL Server Reporting Services Web Request Web Service Data Request (Kerberos) (Kerberos) (Kerberos) WFE SQL Server SQL Server Reporting Analysis Services Services HTTP/kerberos HTTP/app1 MSOLAPSvc.3/ olap1.sp2010.local Constrained Delegation
Scenario 4: Services de Rapports  Les Services de Rapport SQL Serveur (SSRS) fonctionne depuis un Service Web sur la machine Reporting Services, c’est une connexion HTTP standard  La web part de l’affichage de rapport (sur le Frontal Web) est le lien de communication avec SSRS  Ainsi nous aurons besoin de:  Un SPN pour l’application Web (Ou s’execute la web part de l’afficheur de rapports)  Un SPN pour notre URL du service Web de SSRS  Une délégation depuis l’Application Web  Le service Web SSRS (2ieme hop)  Un SPN pour le service SSAS  Une délégation depuis le service Web SSRS  SSAS (3ieme hop)
Scenario 4: Services de Rapports  Nous avons deja configure les SPNs suivants (dans les etapes 1 et 2):  L’Application Web  Les Services d’Analyses SQL Server (SSAS)  Donc il nous manque juste les SPNs pour les services de rapport  setspn.exe –S HTTP/app1.skopus.local SP2010SkpSqlRpSvc  setspn.exe –S HTTP/app1 SP2010SkpSqlRpSvc  La Délégation Contrainte est, cette fois encore, paramétrée par Active Directory Users & Computers
SSRS  SSAS DEMO Configurer Kerberos et SharePoint 2010
Désolé Mais ca prend du temps!
Conclusion: SSRS  SSAS  Le Service Web SSRS est une Application Web  Les SPNs sont requis pour les Services Web SSRS  Comme SSRS ne support pas le Claims en 2008 R2, Kerberos fera toujours le hop depuis le Frontal Web! Mais ca change ;) Vive SQL 2012…  Si les Services SSRS sont montes en grappe, il faut alors utiliser l’adresse du cluster.  Le journal d’evenements Windows et le Profiler SQL sont des moyens simples pour voir si cela fonctionne  Le même journal d’evenements est utilise pour l’Application Web  Les mêmes vérifications faites pour les services Excel avec le Profiler SQL
Trucs et astuces…  C2WTS peut être compliquer a paramétrer. Le service doit fonctionner sur le bon serveur…  Les applications web utilisant une authentification basée sur formulaires ou sur SAML personnalise NE PEUVENT PAS UTILISER C2WTS  Les Délégations Contraintes Kerberos ne peuvent pas traverser les frontières du domaine  Les Applications de Service Applications et les sources de données externes doivent donc être dans le même domaine  Le Serveur Windows 2008 contient un bug connu Kerberos AES bug  Limitée toutefois au fait de fonctionner avec 2 machines qui seraient équipées de Windows Server 2008 ou Windows Vista (ca ne serait quand même pas de chance :P)  Un Hotfix Microsoft est disponible; http://support.microsoft.com/kb/969083  Note – Ce bug n’existe pas avec Windows Server 2008 R2!  Les SPNs sont vraiment très faciles a casser... Toutes erreur de type peut être fatale!
Trucs et astuces…  PowerPivot  Pensez a paramétrer le fichier web.config caché dans : “C:Program FilesCommon FilesMicrosoft SharedWeb Server Extensions14ISAPIPowerPivot”  Reporting Services  Pensez a paramétrer le fichier de connexion rsreportserver.config caché dans le répertoire du service SSRS “ C:Program FilesMicrosoft SQL ServerMSRS10_50.MSSQLSERVERReporting ServicesReportServer ”
Lancez vous..  PREVOYEZ PREVOYEZ PREVOYEZ  Plus de 90% des mauvaises implémentations proviennent d’erreurs de configuration des SPNs  Kerberos est un prérequis pour certains scenarii de business intelligence  Pas besoin d’exorciste, ni magie noire…  Vous pouvez vérifier le fonctionnement avec des outils standards  Journaux d’evenements Windows (Sur les Serveurs Web)  SQL Profiler (Sur les Bases de Données)  Fiddler (Sur le Client)  Il faut maitriser l’AD… Donc prévoyez de vous faire de nouveaux amis chez les Administrateurs de votre domaine.  La délégation est un prérequis si vous vous engages sur le service
Liens Utiles… TechNet – What is Kerberos Authentication? http://technet.microsoft.com/en-us/library/cc7804 Microsoft Guide – Configuring Kerberos Authentication for Microsoft SharePoint 2010 products http://www.microsoft.com/download/en/details.as
Questions...
A mon tour ;)
Question 1 Une nouvelle Application web vient d’etre ajoutée a SharePoint avec le host header REPORTS. Le site SharePoint se trouve sur le serveur frontal SP2010-WFE-01.skopus.com. L’application devra etre accessible par l’adresse https://reports.skopus.com. Quelle(s) ligne(s) de commande dois-je utiliser pour ajouter les Service Principal Names corrects? setspn.exe –s HTTP/reports SP2010-WFE-01 setspn.exe –s HTTP/reports.skopus.com SP2010-WFE-01
Question 2 Que dois-je verifier dans mon DNS pour assurer le bon fonctionnement de Kerberos? Nom d’Hote (A Record) seulement Et surtout… Surtout pas d’Alias (CNAME)
Problèmes Kerberos connus Annexes Configurer Kerberos et SharePoint 2010
HTTP and non-default ports  Issue: Clients (.NET, IE) create malformed SPNs for HTTP services running on non-default ports by forming the SPN without port number.  http://support.microsoft.com/kb/908209/en-us  http://technet.microsoft.com/en-us/library/cc263449.a Example:  If the web application is running at http://intranet.contoso.com:1234, the client will create a SPN for http/intranet.contoso.com instead of http/intranet.contoso.com:1234
HTTP and non-default ports To workaround this issue, register SPNs with and without port number. Example: Actual URL: http://intranet.contoso.com:12345 SPNs: http/intranet http/intranet.contso.com http/intranet:12345 http/intranet.contoso.com:12345 Option 2: To resolve this issue, you'll need to set the FEATURE_INCLUDE_PORT_IN_SPN_KB908209 registry value (as per http://support.microsoft.com/kb/908209).
SPN Uses Host Name instead of Alias  Issue: Clients (.NET, IE) create malformed SPNs by using the host name instead of the alias name of the target service  http://support.microsoft.com/kb/911149/en-us  http://support.microsoft.com/kb/938305/en-us Example:  A Record: wfe01.skopus.local  CNAME: intranet.skopus.local (aliases wfe01.skopus.local)  If the client attempts to authenticate with http://intranet.skopus.local it creates a malformed SPN and requests a Kerberos ticket for http/wfe01.skopus.local instead of http/intranet.skopus.local
SPN Uses Host Name instead of Alias  To workaround this issue, configure Kerberos enabled services using DNS A records instead of CNAME aliases.  Use the FEATURE_USE_CNAME_FOR_SPN_KB91114 9 registry key documented in this article: http://support.microsoft.com/kb/911149.
Kerberos will fail if ticket is too large  In some environments, users may be members of many Active Directory groups, which can increase the size of their Kerberos tickets. If the tickets grow too large, Kerberos authentication can fail. For more information about how to adjust the max token size see: New resolution for problems with Kerberos authentication when users belong to many groups Note: When adjusting max token size, be aware that if you configure the max token size beyond the maximum value for the registry setting, you may see Kerberos authentication errors. It is recommended to not exceed 65535 decimal, FFFF hexadecimal, for max token size.
Kerberos Web App Setup Appendix
Web Application Settings
AuthN Provider
Friendly Warning, More to Do…
IIS Authentication Double Check
Ensure Windows Auth is Enabled
Make Sure not to Use Kernel Mode Auth
Ensure the Negotiate Provider is Enabled  This is done by SharePoint via the Web App Settings
Don’t use Aliases in DNS (CNAME)
Register the SPNs
Ways to Verify SPNs (Ensure no Duplicates)
You can also check for SPNs in Active Directory
Purge your tickets before testing the web app
After Making a Request, Check the Ticket Cache
Netmon Capture of the AuthN Sequence
Excel Services Appendix
Check Data Source to Ensure Kerberos is Enabled
Register SPNs for Data Source (SQL Example)
Start the Claims to Windows Token Service
Register Dummy SPN to get to Delegation Tab
Configure Constrained Delegation to Data Source
Dump of claims on Windows Claims Site  You must use Windows Claims for Excel Services with C2WTS to work
Test Connection Refresh
BCS Screen Shots Appendix
Configure SPNs on the Web App Service Account
Configure Delegation from Web App to Data Source
Configure ECT Connection
Use Per-User (User’s Identity) AuthN
Rencontre mensuelle Montreal - juillet 2012 - kerberos

Recomendados

Configurer kerberos et SharePoint 2010 FR
Configurer kerberos et SharePoint 2010 FRConfigurer kerberos et SharePoint 2010 FR
Configurer kerberos et SharePoint 2010 FRNicolas Georgeault
 
Tp2 - WS avec JAXRS
Tp2 - WS avec JAXRSTp2 - WS avec JAXRS
Tp2 - WS avec JAXRSLilia Sfaxi
 
Cours services web_fabrice_mourlin
Cours services web_fabrice_mourlinCours services web_fabrice_mourlin
Cours services web_fabrice_mourlinangeeLee
 
Tp1 - WS avec JAXWS
Tp1 - WS avec JAXWSTp1 - WS avec JAXWS
Tp1 - WS avec JAXWSLilia Sfaxi
 
eServices-Tp3: esb
eServices-Tp3: esbeServices-Tp3: esb
eServices-Tp3: esbLilia Sfaxi
 
Service WEB de type REST avec Java
Service WEB de type REST avec JavaService WEB de type REST avec Java
Service WEB de type REST avec JavaFrancois ANDRE
 
Introductions Aux Servlets
Introductions Aux ServletsIntroductions Aux Servlets
Introductions Aux ServletsFrançois Charoy
 
REST JUG Toulouse 20100615
REST JUG Toulouse 20100615REST JUG Toulouse 20100615
REST JUG Toulouse 20100615JUG Toulouse
 

Recomendados

Configurer kerberos et SharePoint 2010 FR
Configurer kerberos et SharePoint 2010 FRConfigurer kerberos et SharePoint 2010 FR
Configurer kerberos et SharePoint 2010 FRNicolas Georgeault
 
Tp2 - WS avec JAXRS
Tp2 - WS avec JAXRSTp2 - WS avec JAXRS
Tp2 - WS avec JAXRSLilia Sfaxi
 
Cours services web_fabrice_mourlin
Cours services web_fabrice_mourlinCours services web_fabrice_mourlin
Cours services web_fabrice_mourlinangeeLee
 
Tp1 - WS avec JAXWS
Tp1 - WS avec JAXWSTp1 - WS avec JAXWS
Tp1 - WS avec JAXWSLilia Sfaxi
 
eServices-Tp3: esb
eServices-Tp3: esbeServices-Tp3: esb
eServices-Tp3: esbLilia Sfaxi
 
Service WEB de type REST avec Java
Service WEB de type REST avec JavaService WEB de type REST avec Java
Service WEB de type REST avec JavaFrancois ANDRE
 
Introductions Aux Servlets
Introductions Aux ServletsIntroductions Aux Servlets
Introductions Aux ServletsFrançois Charoy
 
REST JUG Toulouse 20100615
REST JUG Toulouse 20100615REST JUG Toulouse 20100615
REST JUG Toulouse 20100615JUG Toulouse
 
Soap, wsdl et uddi
Soap, wsdl et uddiSoap, wsdl et uddi
Soap, wsdl et uddimiraprincesse
 
Soap
SoapSoap
Soapwissalll
 
cours j2ee -présentation
cours j2ee -présentationcours j2ee -présentation
cours j2ee -présentationYassine Badri
 
les servlets-java EE
les servlets-java EEles servlets-java EE
les servlets-java EEYassine Badri
 
Talend ESB : Monitoring, Repartition de Charge et Authentification
Talend ESB : Monitoring, Repartition de Charge et AuthentificationTalend ESB : Monitoring, Repartition de Charge et Authentification
Talend ESB : Monitoring, Repartition de Charge et AuthentificationLilia Sfaxi
 
Cours JSP
Cours JSPCours JSP
Cours JSPherynantenaina
 
Presentation SOAP
Presentation SOAP Presentation SOAP
Presentation SOAPlitayem bechir
 
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)ENSET, Université Hassan II Casablanca
 
Création de Services et Configuration du ESB avec TalendESB
Création de Services et Configuration du ESB avec TalendESBCréation de Services et Configuration du ESB avec TalendESB
Création de Services et Configuration du ESB avec TalendESBLilia Sfaxi
 
Services rest & jersey
Services rest & jerseyServices rest & jersey
Services rest & jerseyMathieu Hicauber
 
Jsp
JspJsp
Jspraymen87
 
Les Servlets et JSP
Les Servlets et JSPLes Servlets et JSP
Les Servlets et JSPKorteby Farouk
 
Servlets et JSP
Servlets et JSPServlets et JSP
Servlets et JSPHeithem Abbes
 
Axis2 services fr
Axis2 services frAxis2 services fr
Axis2 services frBen Abdallah Helmi
 
7 rest
7 rest7 rest
7 restyoussef kotti
 
Aspnetcore introduction
Aspnetcore introductionAspnetcore introduction
Aspnetcore introductionMichel Bruchet
 
APACHE HTTP
APACHE HTTPAPACHE HTTP
APACHE HTTPRachid NID SAID
 
Presentation Tomcat Load Balancer
Presentation Tomcat Load BalancerPresentation Tomcat Load Balancer
Presentation Tomcat Load Balancertarkaus
 
Cours php
Cours php Cours php
Cours php Yassine Badri
 
eServices-Tp5: api management
eServices-Tp5: api managementeServices-Tp5: api management
eServices-Tp5: api managementLilia Sfaxi
 
Support Web Services SOAP et RESTful Mr YOUSSFI
Support Web Services SOAP et RESTful Mr YOUSSFISupport Web Services SOAP et RESTful Mr YOUSSFI
Support Web Services SOAP et RESTful Mr YOUSSFIENSET, Université Hassan II Casablanca
 
LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)Clément OUDOT
 

Mais conteúdo relacionado

Mais procurados

cours j2ee -présentation
cours j2ee -présentationcours j2ee -présentation
cours j2ee -présentationYassine Badri
 
les servlets-java EE
les servlets-java EEles servlets-java EE
les servlets-java EEYassine Badri
 
Talend ESB : Monitoring, Repartition de Charge et Authentification
Talend ESB : Monitoring, Repartition de Charge et AuthentificationTalend ESB : Monitoring, Repartition de Charge et Authentification
Talend ESB : Monitoring, Repartition de Charge et AuthentificationLilia Sfaxi
 
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)ENSET, Université Hassan II Casablanca
 
Création de Services et Configuration du ESB avec TalendESB
Création de Services et Configuration du ESB avec TalendESBCréation de Services et Configuration du ESB avec TalendESB
Création de Services et Configuration du ESB avec TalendESBLilia Sfaxi
 
Aspnetcore introduction
Aspnetcore introductionAspnetcore introduction
Aspnetcore introductionMichel Bruchet
 
Presentation Tomcat Load Balancer
Presentation Tomcat Load BalancerPresentation Tomcat Load Balancer
Presentation Tomcat Load Balancertarkaus
 
eServices-Tp5: api management
eServices-Tp5: api managementeServices-Tp5: api management
eServices-Tp5: api managementLilia Sfaxi
 

Mais procurados (20)

Soap, wsdl et uddi
Soap, wsdl et uddiSoap, wsdl et uddi
Soap, wsdl et uddi
 
Soap
SoapSoap
Soap
 
cours j2ee -présentation
cours j2ee -présentationcours j2ee -présentation
cours j2ee -présentation
 
les servlets-java EE
les servlets-java EEles servlets-java EE
les servlets-java EE
 
Talend ESB : Monitoring, Repartition de Charge et Authentification
Talend ESB : Monitoring, Repartition de Charge et AuthentificationTalend ESB : Monitoring, Repartition de Charge et Authentification
Talend ESB : Monitoring, Repartition de Charge et Authentification
 
Cours JSP
Cours JSPCours JSP
Cours JSP
 
Presentation SOAP
Presentation SOAP Presentation SOAP
Presentation SOAP
 
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
 
Création de Services et Configuration du ESB avec TalendESB
Création de Services et Configuration du ESB avec TalendESBCréation de Services et Configuration du ESB avec TalendESB
Création de Services et Configuration du ESB avec TalendESB
 
Services rest & jersey
Services rest & jerseyServices rest & jersey
Services rest & jersey
 
Jsp
JspJsp
Jsp
 
Les Servlets et JSP
Les Servlets et JSPLes Servlets et JSP
Les Servlets et JSP
 
Servlets et JSP
Servlets et JSPServlets et JSP
Servlets et JSP
 
Axis2 services fr
Axis2 services frAxis2 services fr
Axis2 services fr
 
7 rest
7 rest7 rest
7 rest
 
Aspnetcore introduction
Aspnetcore introductionAspnetcore introduction
Aspnetcore introduction
 
APACHE HTTP
APACHE HTTPAPACHE HTTP
APACHE HTTP
 
Presentation Tomcat Load Balancer
Presentation Tomcat Load BalancerPresentation Tomcat Load Balancer
Presentation Tomcat Load Balancer
 
Cours php
Cours php Cours php
Cours php
 
eServices-Tp5: api management
eServices-Tp5: api managementeServices-Tp5: api management
eServices-Tp5: api management
 

Semelhante a Rencontre mensuelle Montreal - juillet 2012 - kerberos

LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)Clément OUDOT
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOClément OUDOT
 
Présentation de WAMP.ws, le protocole pour faire du PUB/SUB et RPC over Webso...
Présentation de WAMP.ws, le protocole pour faire du PUB/SUB et RPC over Webso...Présentation de WAMP.ws, le protocole pour faire du PUB/SUB et RPC over Webso...
Présentation de WAMP.ws, le protocole pour faire du PUB/SUB et RPC over Webso...sametmax
 
LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2Clément OUDOT
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeiTProFR
 
S51 vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de phpS51 vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de phpGautier DUMAS
 
Prez -chtijug-29032016-(micro)services, loadbalancing et gestion des erreurs ...
Prez -chtijug-29032016-(micro)services, loadbalancing et gestion des erreurs ...Prez -chtijug-29032016-(micro)services, loadbalancing et gestion des erreurs ...
Prez -chtijug-29032016-(micro)services, loadbalancing et gestion des erreurs ...Christophe Furmaniak
 
eServices-Tp1: Web Services
eServices-Tp1: Web ServiceseServices-Tp1: Web Services
eServices-Tp1: Web ServicesLilia Sfaxi
 
Intellicore Tech Talk 10 - Apache Web Server Internals
Intellicore Tech Talk 10 - Apache Web Server InternalsIntellicore Tech Talk 10 - Apache Web Server Internals
Intellicore Tech Talk 10 - Apache Web Server InternalsNeil Armstrong
 
Procédure ocs glpi_jeremy_chatel_2012_final
Procédure ocs glpi_jeremy_chatel_2012_finalProcédure ocs glpi_jeremy_chatel_2012_final
Procédure ocs glpi_jeremy_chatel_2012_finalcisco7878
 
Presentation
PresentationPresentation
Presentationbois
 
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Bruno Bonnin
 
XebiCon'17 : Serverless is the new back - Jérémy Pinsolle et Gérôme Egron
XebiCon'17 : Serverless is the new back - Jérémy Pinsolle et Gérôme EgronXebiCon'17 : Serverless is the new back - Jérémy Pinsolle et Gérôme Egron
XebiCon'17 : Serverless is the new back - Jérémy Pinsolle et Gérôme EgronPublicis Sapient Engineering
 
Le Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéLe Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéNoureddine BOUYAHIAOUI
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerThe Incredible Automation Day
 
SSL 2011 : Présentation de 2 bases noSQL
SSL 2011 : Présentation de 2 bases noSQLSSL 2011 : Présentation de 2 bases noSQL
SSL 2011 : Présentation de 2 bases noSQLHervé Leclerc
 

Semelhante a Rencontre mensuelle Montreal - juillet 2012 - kerberos (20)

Support Web Services SOAP et RESTful Mr YOUSSFI
Support Web Services SOAP et RESTful Mr YOUSSFISupport Web Services SOAP et RESTful Mr YOUSSFI
Support Web Services SOAP et RESTful Mr YOUSSFI
 
LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
 
Présentation de WAMP.ws, le protocole pour faire du PUB/SUB et RPC over Webso...
Présentation de WAMP.ws, le protocole pour faire du PUB/SUB et RPC over Webso...Présentation de WAMP.ws, le protocole pour faire du PUB/SUB et RPC over Webso...
Présentation de WAMP.ws, le protocole pour faire du PUB/SUB et RPC over Webso...
 
LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
 
Soap
SoapSoap
Soap
 
S51 vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de phpS51 vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de php
 
Prez -chtijug-29032016-(micro)services, loadbalancing et gestion des erreurs ...
Prez -chtijug-29032016-(micro)services, loadbalancing et gestion des erreurs ...Prez -chtijug-29032016-(micro)services, loadbalancing et gestion des erreurs ...
Prez -chtijug-29032016-(micro)services, loadbalancing et gestion des erreurs ...
 
eServices-Tp1: Web Services
eServices-Tp1: Web ServiceseServices-Tp1: Web Services
eServices-Tp1: Web Services
 
Intellicore Tech Talk 10 - Apache Web Server Internals
Intellicore Tech Talk 10 - Apache Web Server InternalsIntellicore Tech Talk 10 - Apache Web Server Internals
Intellicore Tech Talk 10 - Apache Web Server Internals
 
Procédure ocs glpi_jeremy_chatel_2012_final
Procédure ocs glpi_jeremy_chatel_2012_finalProcédure ocs glpi_jeremy_chatel_2012_final
Procédure ocs glpi_jeremy_chatel_2012_final
 
Cozy, a Personal PaaS
Cozy, a Personal PaaSCozy, a Personal PaaS
Cozy, a Personal PaaS
 
Presentation
PresentationPresentation
Presentation
 
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
 
XebiCon'17 : Serverless is the new back - Jérémy Pinsolle et Gérôme Egron
XebiCon'17 : Serverless is the new back - Jérémy Pinsolle et Gérôme EgronXebiCon'17 : Serverless is the new back - Jérémy Pinsolle et Gérôme Egron
XebiCon'17 : Serverless is the new back - Jérémy Pinsolle et Gérôme Egron
 
Le Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéLe Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécurité
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium Paris
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp Docker
 
SSL 2011 : Présentation de 2 bases noSQL
SSL 2011 : Présentation de 2 bases noSQLSSL 2011 : Présentation de 2 bases noSQL
SSL 2011 : Présentation de 2 bases noSQL
 

Mais de Nicolas Georgeault

GUM365 - Rencontre mensuelle Avril 2024 - Montréal
GUM365 - Rencontre mensuelle Avril 2024 - MontréalGUM365 - Rencontre mensuelle Avril 2024 - Montréal
GUM365 - Rencontre mensuelle Avril 2024 - MontréalNicolas Georgeault
 
Construisez votre gouvernance Power Platform
Construisez votre gouvernance Power PlatformConstruisez votre gouvernance Power Platform
Construisez votre gouvernance Power PlatformNicolas Georgeault
 
aMS Delhi - Are you thinking about building PowerApps on to of SharePoint-Ser...
aMS Delhi - Are you thinking about building PowerApps on to of SharePoint-Ser...aMS Delhi - Are you thinking about building PowerApps on to of SharePoint-Ser...
aMS Delhi - Are you thinking about building PowerApps on to of SharePoint-Ser...Nicolas Georgeault
 
Improve your Dynamics 365 usage with AI
Improve your Dynamics 365 usage with AIImprove your Dynamics 365 usage with AI
Improve your Dynamics 365 usage with AINicolas Georgeault
 
How to get prepared for Syntex
How to get prepared for SyntexHow to get prepared for Syntex
How to get prepared for SyntexNicolas Georgeault
 
Quelles sont vos opportunités AI dans Microsoft 365
Quelles sont vos opportunités AI dans Microsoft 365Quelles sont vos opportunités AI dans Microsoft 365
Quelles sont vos opportunités AI dans Microsoft 365Nicolas Georgeault
 
How to get prepared for SharePoint Syntex
How to get prepared for SharePoint SyntexHow to get prepared for SharePoint Syntex
How to get prepared for SharePoint SyntexNicolas Georgeault
 
Solving problems! and what we could learn from covid19
Solving problems! and what we could learn from covid19Solving problems! and what we could learn from covid19
Solving problems! and what we could learn from covid19Nicolas Georgeault
 
M365 Saturday Saskatchewan 2020 - Build your #PowerPlatform #Governance
M365 Saturday Saskatchewan 2020 - Build your #PowerPlatform #GovernanceM365 Saturday Saskatchewan 2020 - Build your #PowerPlatform #Governance
M365 Saturday Saskatchewan 2020 - Build your #PowerPlatform #GovernanceNicolas Georgeault
 
M365 Virtual Marathon - Construire votre gouvernance pour la Power Platform
M365 Virtual Marathon - Construire votre gouvernance pour la Power PlatformM365 Virtual Marathon - Construire votre gouvernance pour la Power Platform
M365 Virtual Marathon - Construire votre gouvernance pour la Power PlatformNicolas Georgeault
 
Montreal Skype and Teams User Group: Développer une application Microsoft Teams
Montreal Skype and Teams User Group: Développer une application Microsoft TeamsMontreal Skype and Teams User Group: Développer une application Microsoft Teams
Montreal Skype and Teams User Group: Développer une application Microsoft TeamsNicolas Georgeault
 
SPS Ottawa 2019: From the field: Modernize your SharePoint Intranet with Shar...
SPS Ottawa 2019: From the field: Modernize your SharePoint Intranet with Shar...SPS Ottawa 2019: From the field: Modernize your SharePoint Intranet with Shar...
SPS Ottawa 2019: From the field: Modernize your SharePoint Intranet with Shar...Nicolas Georgeault
 
ESPC19: What is the cdm and how to use it?
ESPC19: What is the cdm and how to use it?ESPC19: What is the cdm and how to use it?
ESPC19: What is the cdm and how to use it?Nicolas Georgeault
 
SPS Calgary 2019 - What if your intranet was a simple bot?
SPS Calgary 2019 - What if your intranet was a simple bot?SPS Calgary 2019 - What if your intranet was a simple bot?
SPS Calgary 2019 - What if your intranet was a simple bot?Nicolas Georgeault
 
PowerPlatform World Tour Toronto 2019 - Introduction with canvas vs model-dri...
PowerPlatform World Tour Toronto 2019 - Introduction with canvas vs model-dri...PowerPlatform World Tour Toronto 2019 - Introduction with canvas vs model-dri...
PowerPlatform World Tour Toronto 2019 - Introduction with canvas vs model-dri...Nicolas Georgeault
 
SPSNYC2019 - What is Common Data Model and how to use it?
SPSNYC2019 - What is Common Data Model and how to use it?SPSNYC2019 - What is Common Data Model and how to use it?
SPSNYC2019 - What is Common Data Model and how to use it?Nicolas Georgeault
 
SPSChicagoBurbs 2019 - What is CDM and CDS?
SPSChicagoBurbs 2019 - What is CDM and CDS?SPSChicagoBurbs 2019 - What is CDM and CDS?
SPSChicagoBurbs 2019 - What is CDM and CDS?Nicolas Georgeault
 
CRM-UG Summit Phoenix 2018 - What is Common Data Model and how to use it?
CRM-UG Summit Phoenix 2018 - What is Common Data Model and how to use it?CRM-UG Summit Phoenix 2018 - What is Common Data Model and how to use it?
CRM-UG Summit Phoenix 2018 - What is Common Data Model and how to use it?Nicolas Georgeault
 
SPSVB 2019 - Pour first Power Apps in 30 minutes
SPSVB 2019 - Pour first Power Apps in 30 minutesSPSVB 2019 - Pour first Power Apps in 30 minutes
SPSVB 2019 - Pour first Power Apps in 30 minutesNicolas Georgeault
 

Mais de Nicolas Georgeault (20)

GUM365 - Rencontre mensuelle Avril 2024 - Montréal
GUM365 - Rencontre mensuelle Avril 2024 - MontréalGUM365 - Rencontre mensuelle Avril 2024 - Montréal
GUM365 - Rencontre mensuelle Avril 2024 - Montréal
 
Construisez votre gouvernance Power Platform
Construisez votre gouvernance Power PlatformConstruisez votre gouvernance Power Platform
Construisez votre gouvernance Power Platform
 
aMS Delhi - Are you thinking about building PowerApps on to of SharePoint-Ser...
aMS Delhi - Are you thinking about building PowerApps on to of SharePoint-Ser...aMS Delhi - Are you thinking about building PowerApps on to of SharePoint-Ser...
aMS Delhi - Are you thinking about building PowerApps on to of SharePoint-Ser...
 
Improve your Dynamics 365 usage with AI
Improve your Dynamics 365 usage with AIImprove your Dynamics 365 usage with AI
Improve your Dynamics 365 usage with AI
 
Utiliser Process Advisor
Utiliser Process AdvisorUtiliser Process Advisor
Utiliser Process Advisor
 
How to get prepared for Syntex
How to get prepared for SyntexHow to get prepared for Syntex
How to get prepared for Syntex
 
Quelles sont vos opportunités AI dans Microsoft 365
Quelles sont vos opportunités AI dans Microsoft 365Quelles sont vos opportunités AI dans Microsoft 365
Quelles sont vos opportunités AI dans Microsoft 365
 
How to get prepared for SharePoint Syntex
How to get prepared for SharePoint SyntexHow to get prepared for SharePoint Syntex
How to get prepared for SharePoint Syntex
 
Solving problems! and what we could learn from covid19
Solving problems! and what we could learn from covid19Solving problems! and what we could learn from covid19
Solving problems! and what we could learn from covid19
 
M365 Saturday Saskatchewan 2020 - Build your #PowerPlatform #Governance
M365 Saturday Saskatchewan 2020 - Build your #PowerPlatform #GovernanceM365 Saturday Saskatchewan 2020 - Build your #PowerPlatform #Governance
M365 Saturday Saskatchewan 2020 - Build your #PowerPlatform #Governance
 
M365 Virtual Marathon - Construire votre gouvernance pour la Power Platform
M365 Virtual Marathon - Construire votre gouvernance pour la Power PlatformM365 Virtual Marathon - Construire votre gouvernance pour la Power Platform
M365 Virtual Marathon - Construire votre gouvernance pour la Power Platform
 
Montreal Skype and Teams User Group: Développer une application Microsoft Teams
Montreal Skype and Teams User Group: Développer une application Microsoft TeamsMontreal Skype and Teams User Group: Développer une application Microsoft Teams
Montreal Skype and Teams User Group: Développer une application Microsoft Teams
 
SPS Ottawa 2019: From the field: Modernize your SharePoint Intranet with Shar...
SPS Ottawa 2019: From the field: Modernize your SharePoint Intranet with Shar...SPS Ottawa 2019: From the field: Modernize your SharePoint Intranet with Shar...
SPS Ottawa 2019: From the field: Modernize your SharePoint Intranet with Shar...
 
ESPC19: What is the cdm and how to use it?
ESPC19: What is the cdm and how to use it?ESPC19: What is the cdm and how to use it?
ESPC19: What is the cdm and how to use it?
 
SPS Calgary 2019 - What if your intranet was a simple bot?
SPS Calgary 2019 - What if your intranet was a simple bot?SPS Calgary 2019 - What if your intranet was a simple bot?
SPS Calgary 2019 - What if your intranet was a simple bot?
 
PowerPlatform World Tour Toronto 2019 - Introduction with canvas vs model-dri...
PowerPlatform World Tour Toronto 2019 - Introduction with canvas vs model-dri...PowerPlatform World Tour Toronto 2019 - Introduction with canvas vs model-dri...
PowerPlatform World Tour Toronto 2019 - Introduction with canvas vs model-dri...
 
SPSNYC2019 - What is Common Data Model and how to use it?
SPSNYC2019 - What is Common Data Model and how to use it?SPSNYC2019 - What is Common Data Model and how to use it?
SPSNYC2019 - What is Common Data Model and how to use it?
 
SPSChicagoBurbs 2019 - What is CDM and CDS?
SPSChicagoBurbs 2019 - What is CDM and CDS?SPSChicagoBurbs 2019 - What is CDM and CDS?
SPSChicagoBurbs 2019 - What is CDM and CDS?
 
CRM-UG Summit Phoenix 2018 - What is Common Data Model and how to use it?
CRM-UG Summit Phoenix 2018 - What is Common Data Model and how to use it?CRM-UG Summit Phoenix 2018 - What is Common Data Model and how to use it?
CRM-UG Summit Phoenix 2018 - What is Common Data Model and how to use it?
 
SPSVB 2019 - Pour first Power Apps in 30 minutes
SPSVB 2019 - Pour first Power Apps in 30 minutesSPSVB 2019 - Pour first Power Apps in 30 minutes
SPSVB 2019 - Pour first Power Apps in 30 minutes
 

Rencontre mensuelle Montreal - juillet 2012 - kerberos

  • 1. Configurer Kerberos et SharePoint 2010 10 Juillet 2012 Nicolas Georgeault Architecte SharePoint, MVP SharePoint, Public Consulting Group Courriel: ngeorgeault@club-sharepoint.fr Blog: http://ngeorgeault.club-sharepoint.fr
  • 2. Public Consulting Group http://publicconsultinggroup.com  Conseil aux états et aux programmes locaux de service aux Individus et de la Santés depuis 1986.  Plus de 1000 professionnels sur 50 bureaux aux Etats-Unis, au Canada, en Angleterre et en Pologne.  Services de conseil en management et en solutions technologiques pour la mesure de la performance des services du secteur publique.  5 pôles de compétences:
  • 3. Agenda  Qu’est-ce que Kerberos, et pourquoi en avons-nous besoin?  Les SPNs requis pour SharePoint 2010  Configurer le service C2WTS  Démos  Scenario 1 – Services Excel vers les Services d’Analyses  Scenario 2 – Applications Web (Afficheur RSS)  Scenario 3 – Bases de données SQL Server  Scenario 4 – Services de Rapports SQL Server  Trucs, astuces et Liens utiles  Questions
  • 4. References…  Martin Hatch - SharePoint User Group UK (SUGUK)  http://www.martinhatch.com/  De longues journées et nuits a comprendre et a mettre en place…
  • 5. Demo Environment  Domaine AD: “skopus.local” Web Server App Server Data Server wfe1.skopus.local app1.skopus.local olap1.skopus.local http://portail/ http://portail-rss/ Services d’ Analyses SQL Services Excel Bases de données SQL Server (DBs SP) Administration Centrale
  • 6. En general… Alors vous deployez en production… Mais alors que ce passe-t-il? CHAMPAGNE!! Tous fonctionne bien… C’est facile ;) Production Développent BAM! “Login failed for user 'NT AUTHORITYANONYMOUS LOGON'"
  • 7. Le fameux problème de “Double-Hop”  Le “double hop” fait référence a la situation ou un service (Service A) doit utiliser l’identite de l’utilisateur (John) pour être identifier auprès d’un autre service comme cet utilisateur.  C’est ce qu’on appelle la “Délégation” bob bob John Delegation Client Service A Service B  Le défis c’est que l’authentification par défaut de Windows (NTLM) ne supporte pas la délégation. Voila pourquoi le second service reçoit une demande de connexion NULL (connexion anonyme)
  • 8. Qu’est-ce que Kerberos ?  Protocole d’Authentification  Le plus sécurisé des Protocoles d’Authentification Windows  Tellement plus efficace que NTLM  Vous permets de “déléguer l’authentification” (ex: multi-hop)  Si vous être authentifie par une source de données “au nom de l’utilisateur actuel” Alors vous n’y couperez pas… Kerberos est indispensable!  SQL Server n’est pas “Claims aware” (en version pré SQL 2011)  Services de Rapports SQL Server (SSRS)  Services d’Analyses SQL Server (SSAS)
  • 9. Kerberos Authentication Example svcPortal KRB_AS_REQ John SPN: 1 HTTP/portail Client 2 KRB_TGS_REQ KRB_AS_REP 5 SPN 6 svcPortal KRB_TGS_REP KRB_AP_REQ 7 svcPortal KDC skopus.l ocal HTTP GET 3 KRB_AP_REP ACCESS 4 DENIED 8 Serveur svcPortal http://portail
  • 10. Prérequis Kerberos  Avoir le temps…  Etre super copain avec l’administrateur du domaine.  Un Service de synchronisation du temps!  Une ferme SharePoint 2010  Des comptes de services correctement crées (Dépend de vos besoins)  Un services DNS opérationnel (un fichier Host peut dépanner)  Configuration d’Active Directory (SPN, Délégation)  Configuration de SharePoint  Configuration IIS (Kernel Mode)  Port de communication non bloque (par défaut TCP/UDP 88)
  • 11. Ok… Mais c’est quoi un SPN?  “SPN pour Service Principal Name est le nom par lequel un client identifie de manière unique une instance d'un service.”  Plusieurs instances > Un SPN pour chaque instance.  Plusieurs noms > Un SPN pour chaque nom si besoin d’authentification.  Une instance de service peut enregistrer un SPN pour chaque nom ou l'alias de l'hôte. http://support.microsoft.com/kb/929650/fr
  • 12. DNS  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME)  Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME) Nom D’Hote (A Record) seulement, PAS D’ALIAS (CNAME) !!! On vous l’a dit?
  • 13. SPNs  Active Directory utilise les “Service Principal Names” (SPNs) pour identifier les objets dans une implémentation Kerberos. Un SPN consiste en: <un type de service> / <un nom de domaine> : <un port>  Vous créez les SPNs en utilisant la commande setspn.exe: setspn.exe –S <SPN> <domain><account> Il faut être administrateur du domaine pour utiliser la commande  Lister tous les SPNs pour un compte setspn.exe –L <domain><account>  Trouver tous les SPNs dupliques setspn.exe –X
  • 14. Déléguer ses supers pouvoirs!  Vous avez déjà probablement essaye de déléguer ce pouvoir…  Avec un Control total ce sera parfait ;) Failed!!!  La délégation n’est pas une permission… Mais un droit d’utilisateur ntrights -u DOMAINuseraccount +r SeEnableDelegationPrivilege
  • 15. Web Applications  Les Applications Web utilisent le protocole “HTTP”.  Le numéro de Port est EGALEMENT requis si vous n’utilisez pas un numéro de port non-standards Note, Le SPN reste HTTP même pour les applications en SSL!  Vous devez déclarer le nom de domaine ET le FQDN de l’URL pour cette application web.  Ex: http://portail ou https://portail dans le domaine skopus.local HTTP/portail HTTP/portail.skopus.local  Ex: http://nonstandardport:8080/ dans le domaine skopus.local HTTP/portail:8080 HTTP/portail.skopus.local:8080 HTTP/portail HTTP/portail.skopus.local  A appliquer au COMPTE DE SERVICE du POOL D’APPLICATION de cette Application Web.
  • 16. Bases de données SQL  Les Bases de données SQL utilisent le protocole “MSSQLSvc”  Vous devez déclarer le FQDN du serveur SQL (Indépendamment du fait que vous utilisiez les alias SQL!)  Création automatique du SPN  Si le Server SQL fonctionne avec les comptes Local System ou un compte Admin du domaine, il créera automatiquement le SPN quand l’instance est démarrée.  Ok… Vous devriez vraiment faire cela manuellement!  Mes serveurs SQL sont “app1.skopus.local” Les SPNs devront être:  MSSQLSvc/app1.skopus.local  MSSQLSvc/app1.skopus.local:1433 (Bonne pratique SQL… Changer le port par défaut)  A appliquer au COMPTE DE SERVICE de l’instance de la base de données!
  • 17. Les Services d’Analyses SQL Server  Les services SSAS utilisent le protocole “MSOLAPSvc.3”  Vous devez déclarer le nom de domaine ET le FQDN de votre server SSAS sans aucun numéro de port!  Mes services SSAS sont installes sur “olap1.skopus.local” Les SPNs dont j’ai besoin sont:  MSOLAPSvc.3/olap1  MSOLAPSvc.3/olap1.skopus.local  A appliquer au COMPTE DE SERVICE des Services d’Analyses SQL de l’instance SSAS!
  • 18. L’Authentification dans SharePoint 2010 Clients Ferme SharePoint Systeme externe Classic (Windows Auth) Classic (Windows Auth) Claims Claims Claims Authentification Authentification Authentification Entrante Intra/Inter Ferme Sortante
  • 19. Normalisation de l’identite Classique Claims/Revendications NT Token NT Token ASP.Net (FBA) SAML1.1+ Windows Windows SAL, LDAP, ADFS, etc. Identity Identity Custom SAML Token Claims Based Identity SPUser
  • 20. Normalisation des revendications vers l’identite Windows NTLM CLAIMS Kerberos John WFE APP SQL
  • 21. Le service C2WTS  C2WTS: Claims to Windows Token Service traduit les “Informations d’autorisation basées sur les revendications” interne a SharePoint en Informations d’autorisation Windows.  C2WTS est un Service Windows  Fonctionne par défaut avec le compte “Local System”  Bonne pratique: Utiliser un Compte de Domaine  Vous devrez créer un SPN fictif pour le C2WTS. Nous en auront juste besoin pour la Délégation Contrainte. Nous créons le SPN “SP/C2WTS”  A appliquer au COMPTE DE SERVICE du service Windows C2WTS
  • 22. Le service C2WTS “ Les applications de service suivantes exigent la traduction des informations d’identification fondées sur les revendications vers les informations d'identification Windows. Ce processus de traduction utilise le Claim To Windows Token Service (C2WTS):  Excel Services ”  PerformancePoint Services  InfoPath Forms Services  Visio Services TechNet - http:// technet.microsoft.com/en-us/library/ff607695.aspx
  • 23. Example de service C2WTS C2WTS S4U Logon Kerb SAML AD Excel Services Kerb SAML NTLM SAML Kerberos John WFE APP SQL
  • 24. Configurer C2WTS  C2WTS requière le service “Cryptographic Service” veillez vous assurer de mettre en place la dépendance!  Le service C2WTS essayera de vérifier les certificats de sécurité Microsoft a son démarrage; cela nécessite une connexion Internet et les connexions par Proxy ne sont pas supportées!  Contournement1 - .Net 4  Install .Net Framework 4 (which supports Proxy connections)  Some reported issues with SharePoint PowerShell and .Net 4  Contournement2 – Desactiver le controle de CRL (Liste de Revocation des Certificats)  HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionWinTrustTrust ProvidersSoftware Publishing  Value = State  Radix= decimal  Changer la valeur a '146944' pour desactiver le controle de CRL  Contournement3 – Fichier HOSTS  Ajouter une entrée dans le fichier host “crl.microsoft.com” vers 127.0.0.1
  • 25. Configurer C2WTS  Le compte de service C2WTS doit être administrateur local sur le server sur lequel il est en fonction.  Ce compte doit en plus avoir les permissions suivantes:  Actas part of the operating system  Impersonate a client after authentication  Log on as a service En utilisant la gestion des règles de sécurité de la machine locale (secpol.msc)
  • 26. Scenario 1: Services Excel vers les Services d’Analyses Requête Web Interne Requête de donnée (Claims) (Kerberos) WFE Services Excel Service d’Analyses SQL Server STS C2WTS SP/c2wts MSOLAPSvc.3/ SP/excel olap1.skopus.local Delegation Contrainte
  • 27. Services Excel et C2WTS  Dans notre démo nous avons les paramètres suivant:  Le compte de service des Services Excel: “SKOPUSSkpSvcExcel”  Le compte de service de C2WTS: “SKOPUSSkpSvcC2WTS”  Les services SSAS fonctionnent sur le serveur “olap1.skopus.local”  Le compte de service des services SSAS est “SKOPUSSkpSvcSQLAnalysis”  Donc il nous faut configurer les SPNs suivant:  setspn.exe –S SP/excel SKOPUSSkpSvcExcel  setspn.exe –S SP/c2wts SKOPUSSkpSvcC2WTS  setspn.exe –S MSOLAPSvc.3/olap1.skopus.local SKOPUSSkpSvcSQLAnalysis  setspn.exe –S MSOLAPSvc.3/olap1 SKOPUSSkpSvcSQLAnalysis  La Délégation Contrainte est paramétrée par Active Directory Users & Computers
  • 28. Ser vices Excel vers les Ser vices d’Analyses DEMO Configurer Kerberos et SharePoint 2010
  • 29. Conclusion: Services Excel vers les Services d’Analyses  Les SPNs NE sont pas requis sur l’Application Web  C2WTS fait tout le “Sale” boulot ;)  Tant que vous utilisez des comptes du domaine, vous n’aurez a configurer les SPNs et la Délégation Contrainte qu’une seule fois.. Peut importe le nombre de serveurs Excel vous installerez!  PerformancePoint Services Fonctionne exactement de la même façon (et si vous avez déjà configure les Services Excel alors le paramétrage de C2WTS a déjà été fait!)
  • 30. Scenario 2: Le Lecteur de flux RSS http://portail/ http://portail-rss/ Requete Web Requette Lecteur RSS (Kerberos) (Kerberos) WFE 1 APP 1 Lecteur RSS HTTP/portail HTTP/portail-rss Delegation Constrainte
  • 31. Configurer l’Application Web  Administration Centrale – Changer le fournisseur d’authentification pour Kerberos  Vous devez créer les SPNs pour votre application Web  Dans notre exemple, vous avez 2 URLs d’Application Web  http://portail et http://portail-rss/  Le domaine AD est skopus.local  Le compte du pool d’application est SKOPUSSkpAppPool  Il vous faut donc configurer les SPNs suivants:  setspn.exe –S HTTP/portail SKOPUSSkpAppPool  setspn.exe –S HTTP/portail.skopus.local SKOPUSSkpAppPool  setspn.exe –S HTTP/portail-rss SKOPUSSkpAppPool  setspn.exe –S HTTP/portail-rss.skopus.local SKOPUSSkpAppPool  Délégation Contrainte: portail  portail-rss
  • 33. Scenario 3: Serveur SQL de données  Pas réellement “requis” mais recommande nous avons dons Kerberos de disponible dans l’installation  (Plus efficace aussi!)  SQL fonctionne sur le serveur app1.skopus.local  Le compte de service SQL est “SKOPUSSkpSqlDbSvc”  Le port de la base de donnees SQL est 60433  Il nous faut donc configurer les SPNs suivants:  setspn.exe –S MSSQLSvc/app1.skopus.local:60433 SKOPUSSkpSqlDbSvc  setspn.exe –S MSSQLSvc/app1.skopus.local SKOPUSSkpSqlDbSvc
  • 34. Le Ser veur SQL de donnees DEMO Configurer Kerberos et SharePoint 2010
  • 35. Conclusion: Le Serveur SQL de données  Rapide et facile (Pas de redémarrages nécessaires)  Requête SQL pour vérifier que les connexions fonctionnent: Select s.session_id, s.login_name, s.host_name, c.auth_scheme from sys.dm_exec_connections c inner join sys.dm_exec_sessions s on c.session_id = s.session_id where s.host_name = ‘WFE1’  Le journal d’evenements sur le Serveur Web  Evènement de connexion (4624)  Le Package d’authentification devrait être “Kerberos”
  • 36. Scenario 4: SQL Server Reporting Services Web Request Web Service Data Request (Kerberos) (Kerberos) (Kerberos) WFE SQL Server SQL Server Reporting Analysis Services Services HTTP/kerberos HTTP/app1 MSOLAPSvc.3/ olap1.sp2010.local Constrained Delegation
  • 37. Scenario 4: Services de Rapports  Les Services de Rapport SQL Serveur (SSRS) fonctionne depuis un Service Web sur la machine Reporting Services, c’est une connexion HTTP standard  La web part de l’affichage de rapport (sur le Frontal Web) est le lien de communication avec SSRS  Ainsi nous aurons besoin de:  Un SPN pour l’application Web (Ou s’execute la web part de l’afficheur de rapports)  Un SPN pour notre URL du service Web de SSRS  Une délégation depuis l’Application Web  Le service Web SSRS (2ieme hop)  Un SPN pour le service SSAS  Une délégation depuis le service Web SSRS  SSAS (3ieme hop)
  • 38. Scenario 4: Services de Rapports  Nous avons deja configure les SPNs suivants (dans les etapes 1 et 2):  L’Application Web  Les Services d’Analyses SQL Server (SSAS)  Donc il nous manque juste les SPNs pour les services de rapport  setspn.exe –S HTTP/app1.skopus.local SP2010SkpSqlRpSvc  setspn.exe –S HTTP/app1 SP2010SkpSqlRpSvc  La Délégation Contrainte est, cette fois encore, paramétrée par Active Directory Users & Computers
  • 39. SSRS  SSAS DEMO Configurer Kerberos et SharePoint 2010
  • 41. Conclusion: SSRS  SSAS  Le Service Web SSRS est une Application Web  Les SPNs sont requis pour les Services Web SSRS  Comme SSRS ne support pas le Claims en 2008 R2, Kerberos fera toujours le hop depuis le Frontal Web! Mais ca change ;) Vive SQL 2012…  Si les Services SSRS sont montes en grappe, il faut alors utiliser l’adresse du cluster.  Le journal d’evenements Windows et le Profiler SQL sont des moyens simples pour voir si cela fonctionne  Le même journal d’evenements est utilise pour l’Application Web  Les mêmes vérifications faites pour les services Excel avec le Profiler SQL
  • 42. Trucs et astuces…  C2WTS peut être compliquer a paramétrer. Le service doit fonctionner sur le bon serveur…  Les applications web utilisant une authentification basée sur formulaires ou sur SAML personnalise NE PEUVENT PAS UTILISER C2WTS  Les Délégations Contraintes Kerberos ne peuvent pas traverser les frontières du domaine  Les Applications de Service Applications et les sources de données externes doivent donc être dans le même domaine  Le Serveur Windows 2008 contient un bug connu Kerberos AES bug  Limitée toutefois au fait de fonctionner avec 2 machines qui seraient équipées de Windows Server 2008 ou Windows Vista (ca ne serait quand même pas de chance :P)  Un Hotfix Microsoft est disponible; http://support.microsoft.com/kb/969083  Note – Ce bug n’existe pas avec Windows Server 2008 R2!  Les SPNs sont vraiment très faciles a casser... Toutes erreur de type peut être fatale!
  • 43. Trucs et astuces…  PowerPivot  Pensez a paramétrer le fichier web.config caché dans : “C:Program FilesCommon FilesMicrosoft SharedWeb Server Extensions14ISAPIPowerPivot”  Reporting Services  Pensez a paramétrer le fichier de connexion rsreportserver.config caché dans le répertoire du service SSRS “ C:Program FilesMicrosoft SQL ServerMSRS10_50.MSSQLSERVERReporting ServicesReportServer ”
  • 44. Lancez vous..  PREVOYEZ PREVOYEZ PREVOYEZ  Plus de 90% des mauvaises implémentations proviennent d’erreurs de configuration des SPNs  Kerberos est un prérequis pour certains scenarii de business intelligence  Pas besoin d’exorciste, ni magie noire…  Vous pouvez vérifier le fonctionnement avec des outils standards  Journaux d’evenements Windows (Sur les Serveurs Web)  SQL Profiler (Sur les Bases de Données)  Fiddler (Sur le Client)  Il faut maitriser l’AD… Donc prévoyez de vous faire de nouveaux amis chez les Administrateurs de votre domaine.  La délégation est un prérequis si vous vous engages sur le service
  • 45. Liens Utiles… TechNet – What is Kerberos Authentication? http://technet.microsoft.com/en-us/library/cc7804 Microsoft Guide – Configuring Kerberos Authentication for Microsoft SharePoint 2010 products http://www.microsoft.com/download/en/details.as
  • 48. Question 1 Une nouvelle Application web vient d’etre ajoutée a SharePoint avec le host header REPORTS. Le site SharePoint se trouve sur le serveur frontal SP2010-WFE-01.skopus.com. L’application devra etre accessible par l’adresse https://reports.skopus.com. Quelle(s) ligne(s) de commande dois-je utiliser pour ajouter les Service Principal Names corrects? setspn.exe –s HTTP/reports SP2010-WFE-01 setspn.exe –s HTTP/reports.skopus.com SP2010-WFE-01
  • 49. Question 2 Que dois-je verifier dans mon DNS pour assurer le bon fonctionnement de Kerberos? Nom d’Hote (A Record) seulement Et surtout… Surtout pas d’Alias (CNAME)
  • 50. Problèmes Kerberos connus Annexes Configurer Kerberos et SharePoint 2010
  • 51. HTTP and non-default ports  Issue: Clients (.NET, IE) create malformed SPNs for HTTP services running on non-default ports by forming the SPN without port number.  http://support.microsoft.com/kb/908209/en-us  http://technet.microsoft.com/en-us/library/cc263449.a Example:  If the web application is running at http://intranet.contoso.com:1234, the client will create a SPN for http/intranet.contoso.com instead of http/intranet.contoso.com:1234
  • 52. HTTP and non-default ports To workaround this issue, register SPNs with and without port number. Example: Actual URL: http://intranet.contoso.com:12345 SPNs: http/intranet http/intranet.contso.com http/intranet:12345 http/intranet.contoso.com:12345 Option 2: To resolve this issue, you'll need to set the FEATURE_INCLUDE_PORT_IN_SPN_KB908209 registry value (as per http://support.microsoft.com/kb/908209).
  • 53. SPN Uses Host Name instead of Alias  Issue: Clients (.NET, IE) create malformed SPNs by using the host name instead of the alias name of the target service  http://support.microsoft.com/kb/911149/en-us  http://support.microsoft.com/kb/938305/en-us Example:  A Record: wfe01.skopus.local  CNAME: intranet.skopus.local (aliases wfe01.skopus.local)  If the client attempts to authenticate with http://intranet.skopus.local it creates a malformed SPN and requests a Kerberos ticket for http/wfe01.skopus.local instead of http/intranet.skopus.local
  • 54. SPN Uses Host Name instead of Alias  To workaround this issue, configure Kerberos enabled services using DNS A records instead of CNAME aliases.  Use the FEATURE_USE_CNAME_FOR_SPN_KB91114 9 registry key documented in this article: http://support.microsoft.com/kb/911149.
  • 55. Kerberos will fail if ticket is too large  In some environments, users may be members of many Active Directory groups, which can increase the size of their Kerberos tickets. If the tickets grow too large, Kerberos authentication can fail. For more information about how to adjust the max token size see: New resolution for problems with Kerberos authentication when users belong to many groups Note: When adjusting max token size, be aware that if you configure the max token size beyond the maximum value for the registry setting, you may see Kerberos authentication errors. It is recommended to not exceed 65535 decimal, FFFF hexadecimal, for max token size.
  • 56. Kerberos Web App Setup Appendix
  • 61. Ensure Windows Auth is Enabled
  • 62. Make Sure not to Use Kernel Mode Auth
  • 63. Ensure the Negotiate Provider is Enabled  This is done by SharePoint via the Web App Settings
  • 64. Don’t use Aliases in DNS (CNAME)
  • 66. Ways to Verify SPNs (Ensure no Duplicates)
  • 67. You can also check for SPNs in Active Directory
  • 68. Purge your tickets before testing the web app
  • 69. After Making a Request, Check the Ticket Cache
  • 70. Netmon Capture of the AuthN Sequence
  • 71. Excel Services Appendix
  • 72. Check Data Source to Ensure Kerberos is Enabled
  • 73. Register SPNs for Data Source (SQL Example)
  • 74. Start the Claims to Windows Token Service
  • 75. Register Dummy SPN to get to Delegation Tab
  • 77. Dump of claims on Windows Claims Site  You must use Windows Claims for Excel Services with C2WTS to work
  • 79. BCS Screen Shots Appendix
  • 80. Configure SPNs on the Web App Service Account
  • 81. Configure Delegation from Web App to Data Source
  • 83. Use Per-User (User’s Identity) AuthN

Notas do Editor

  1. Valid up to SQL 2008 R2
  2. Always use –S … You could use –A .. But the –S command will also check for duplicates before it creates the SPN!
  3. Impersonates a user using Kerberos Protocol Transition (S4U)
  4. CRL = Certificate Revocation List
  5. The T-SQL query on this slide can be used from SQL Server Management Studio .. It gives you a list of all of the sessions on the server, and whether they are using NTLM or Kerberos
  6. Please Email or Twitter me if you have any comments or feedback!