Desde SharePoint 2007 Service Pack 2 se puede configurar Kerberos como modo de autenticación.
Kerberos es un protocolo de autenticación basado en Tickets. Un usuario que se autentica en un servidor se le genera un ticket si las credenciales son aceptadas, este ticket es usado por el resto de servidores para acceder a otros recursos. Para poder usar este método, el cliente y el servidor deben tener una conexión de confianza con el servidor de dominio que mantiene el Key Distribution Center (KDC) y ambos deben de estar conectados a un servicio de Active Directory.
En la mayoría de los despliegues de SharePoint no es necesario el uso de Kerberos, los casos en los que es necesario este método de autenticación nos llevan a entornos de BI (mayoritariamente), en los que es necesaria la autenticación de los usuarios con servidores SQL Server (OLAP y Analysis) que no residen en el servidor web de la granja de SharePoint.
Microsoft ha publicado un guía, de obligada lectura, para la configuración de nuestra granja de SharePoint con Kerberos.
Esta guía contiene un paso a paso para configurar Kerberos para los siguientes escenarios:
- Granja SharePoint
- SQL OLTP
- SQL Analysis Services
- SQL Reporting Services
- Delegación de Identidades para Excel Services
- Delegación de Identidades para PowerPivot para SharePoint 2010
- Delegación de Identidades para Visio Services
- Delegación de Identidades para Performance Point Services
- Delegación de Identidades para Business Connectivity Services
Como podemos ver, configurar Kerberos en SharePoint no es una tarea trivial y si nos saltamos algún paso o lo configuramos mal, nos va a dar muchos dolores de cabeza para averiguar dónde está el problema y cómo solucionarlo. Para evitar problemas, es recomendable documentar los pasos a realizar (con los nombres de usuarios, servidores y servicios), revisar la documentación y seguirla al pie de la letra sin saltarse ningún paso.
Saludos a todos…
Hola,
Tenemos una granja con Sharepoint 2010 y servidores SQL Server 2008 independientes, los usuarios con Office 2010. Cada vez que cualquier usuario abre un archivo de Office tanto desde una biblioteca o de un resultado de búsqueda, se le requiere autenticación. ¿se solucionaría este problema con Kerberos, o es un tema relativo a la confianza cliente-servidor?
He seguido las instrucciones del manual que mencionas y me sigue pidiendo autenticación al abrir archivos. Y por otro lado, para identificarse con Kerberos ¿Es necesario hacerlo con el formato: usuario@DOMINIO.COM?
muchas gracias por el artículo
saludos
Hola Carmen,
Kerberos no solucionaría este problema. Posiblemente sea un problema de confianza entre el pc del usuario y el portal de SharePoint. Tendrías que configurar en los pc que la url de tu SharePoint sea un sitio de confianza y que utilice las mismas credenciales que el pc para la validación.
Te dejo un enlace al foro de Microsoft dónde hablan un poco de todas las opciones, si necesitas ayuda dímelo y lo vemos.
http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/45feb132-c304-4521-8b79-42236a829aab
La identificación de Kerberos se puede realizar con el formato usuario@dominio.com o con el formato dominiousuario. Eso no lo controla Kerberos, ya que la validación se sigue realizando frente al Active Directory.
Muchísimas gracias.
Pude solucionar el problema gracias al vínculo que mencionaste. Temas de seguridad de Intranet en Internet Explorer.
Saludos
muy buenas tardes,
quisiera saber si me podrias ayudar.
tengo instalado sharepoint 2010. y mi servidor se llama «\sharepoint2010» y a mi sitios de sharepoint acceso con http://sharepoint2010/miSitio, lo que nesesito es cambiar el nombre de mi dminio para accesar a mis sitios por ejempo «http://intranet.net» lo cual logre hacer haciendo una extencion desde el sitio de administración central de sharepoint en la opcion de acceso alternativo.
si funciona pero me aparece una leyenda que dice: «Puede estar intentando tener acceso a este sitio desde un explorador protegido en el servidor. Habilite los scripts y vuelva a cargar la página.
»
y no puedo acesar con esta direccion desde otra maquina. solo desde el mismo servidor
espero ayudarme porfavor
gracias.
Hola José Alberto,
por lo que puedo ver, y no es mucho, tienes dos posibles problemas. Uno de confianza en la url (intranet.net) que se puede solucionar en el Internet Explorer añadiendo esa url a la zona de Intrante y el otro con el servidor dns que parece no estar enterado de la url de tu servidor.
gracias alberto
me puse a invertigar sobre dns
y si era eso