HyperLink
Bejelentkezés
E-mail: 
Jelszó: 





Skip Navigation Links
 

Kerberos hitelesítés használata fürtözött szolgáltatásban

Cikkünk bemutatja, hogy hogyan használjuk a Kerberos hitelesítést olyan alkalmazások esetében, amelyek működése egy fürtben elosztottan valósul meg. A fürt számítógépei Windows 2003 szervere operációs rendszerek.

A Kerberos egy olyan hitelesítési mechanizmus, amely ellenőrzi a felhasználó, vagy a kiszolgáló azonosságát. A technológia elérhető a Windows 2000-ben, de a hitelesítés a terheléselosztott rendszerekben csak a Windows 2003 rendszercsaládban használható.
Előfeltételek:
  • Vegyük fel az elosztást megvalósítandó Windows 2003 szervereket egy tartományba.
  • Állítsuk be a terhelést elosztó fürtöt.
  • Nevezzük el a fürtöt, és a DNS/WINS-ben térképezzük fel az IP címét. Ez nem kell, hogy a teljes internet név legyen, amit a Cluster Parameters lapon megadtunk a Network Load Balancing Properties dialógusablakban.
Kerberos hitelesítés beállítása a fürtnév SPN (Service Principal Name) nevével szemben.
Három fázisa van ennek a beállításnak, valamennyi más célt szolgál. Egy minta beállítást mutatunk be, de ettől az egyéni konfigurációnk eltérhet.
A tartományvezérlő adminisztrációja
A Windows 2003 tartományvezérlőn a következő lépéseket hajtsuk végre (rendszergazdai jogok szükségesek):
  • Hozzunk létre egy tartományi felhasználó azonosítót az IIS 6.0-hoz. Például a tartományvezérlőn futtassuk az alábbi parancsot: 
net user /add felhasználónév jelszó
  • Ha még nem létezne, akkor a kliens számára is készítsünk egy tartományi felhasználói azonosítót.
  • Regisztráljuk az SPN nevet, amelyet a kliens arra fog használni, hogy azonosítsa a szolgáltatást a létrehozott tartományi felhasználói azonosítón. Ehhez használjuk a setspn.exe eszközt. (Első kapcsolódó cikkünk.) Például, ha az Internet Explorer a kliens, és a "testweb" a fürt neve a tartományvezérlőn, akkor futtassuk a "setspn -a HOST/testweb nlb.net\iisid" parancsot, hogy regisztráljuk a HOST/testweb nevű SNP-t az nlb.net\iisid nevű tartományi azonosítón.
A kiszolgálók adminisztrációja
Végezzük el valamennyi lépést a Windows 2003 fürt minden gépén.
  • Állítsuk be az IIS-t, hogy "Worker Process Isolation Mode"-ban fusson. Indítsuk el az IIS Manager-t, nyissuk le a Local Computer-t, és kattintsunk jobb egérgombbal a Web sites-ra, majd kattintsunk a Properties-re. Kattintsunk a Service lapra, töröljük a "Run WWW service in IIS 5.0 isolation mode" checkbox-ot, és kattintsunk az OK-ra. Ha a "Worker Process Isolation Mode"-ra való átkapcsolás sikeres, akkor egy "Application Pools" nevű mappa jelenik meg az IIS Manager listában a local computer-hez.
  • Rendeljük hozzá a tartományi felhasználói azonosítót (amelyet az első fázis első lépésében készítettünk) ahhoz az "application pool"-hoz, amelyet futtatni akarunk a weboldalon. Kattintsunk jobb egérgombbal az ide vonatkozó alkalmazás készlet mappára, válasszuk a Properties-t, kattintsunk az Identity lapra, és az Application pool identity alatt, válasszuk a Configurable-t és adjuk meg a korábban létrehozott felhasználói nevet és jelszót.
  • Vegyük fel az első fázis első lépésében létrehozott tartományi azonosítót az IIS_WPG csoporthoz. Ez az IIS Worker Process csoport. Ez a Computer Management-ből vagy parancssorból is megvalósítható. Parancssorból: 
net localgroup iis_wpg add <iisid>
  • Hozzuk létre a weboldalt.
  • Rendeljük hozzá a weboldalt az alkalmazáskészlethez. Kattintsunk jobb egérgombbal a weboldal mappára, válasszuk a Properties-t, és kattintsunk a Home Directory lapra, és az Application settings-ben, az Application pool legördülő listában válasszuk a megfelelő alkalmazáskészletet.
  • Ha host header neveket használunk, akkor kattintsunk jobb egérgombbal a weboldal mappára, válasszuk a Properties-t, kattintsunk a Web Site lapra, és a Web site identification-ban kattintsunk az Advanced-re és írjuk be a fürt nevét a host header értékhez.
  • Kattintsunk jobb egérgombbal a weboldal mappára, válasszuk a Properties-t, kattintsunk a Directory Security lapra, és az Authentication and access control-ban kattintsunk az Edit-re, és az Authenticated access alatt, töröljük a Basic authentication checkbox-ot és válasszuk az Integrated Windows Authentication-t.
  • Ahhoz, hogy kikényszerítsük a Kerberos elsőbbségét az NTLM előtt, lépjünk az Inetpub\AdminScripts mappába, ahol az adsutil.vbs script található. Futtassuk a következő parancsot: 
adsutil set w3svc/ntauthenticationproviders "Negotiate, Kerberos"
A kliens adminisztrációja
Valójában nincs olyan lépés, amely speciálisan végrehajtandó a kliensen. A kliens gép használni fogja a tartományi felhasználói azonosítóhoz regisztrált SPN-t. Ha a második lépésben egy másik azonosítót is létrehoztunk, akkor a kliens azt használhatja belépésre. A mi példánkban az Internet Explorer a kliens és rendszergazdaként lépünk be. Az IE-t arra késztetjük, hogy új megbízásokat fogadjon el, kiválasztva a Prompt for user name and password-öt a Tools/Internet Options/Security/Custom Level/User Authentication/Log on helyen.
Megoldásfuttatás és ellenőrzés
Miután végeztünk a három fázissal, a beállítás készen áll arra, hogy ellenőrizzük. A kliens elérheti a weboldalt Kerberos hitelesítéssel, a tesztkörnyezetünkben ez a http://testweb/test.html oldal az IE segítségével. Ahhoz, hogy ellenőrizzük a Kerberos-t (az NTLM helyett), vizsgáljuk meg az Eseménynaplóban a biztonsági naplót.

Könyv
Ez a cikk megtalálható ebben a könyvben: Windows Software Offline 2003 évkönyv 773. oldal

Felhasználási feltételek
A Software Online szoftverfejlesztői magazin mindegyik cikke, minden megjelent képe, és egyéb publikált anyaga szerzői jog védelme alatt áll! Bármilyen formában történő másodlagos terjesztésük, közzétételük vagy felhasználásuk kizárólag a kiadó előzetes írásbeli engedélyével történhet!

Copyright © 1999-2012 Animare Software Kft. Minden jog fenntartva!
| Készült: Animare Stúdió | Adatvédelem | Kapcsolat |