Configuración de Seguridad Integrada
-
Upload
solidq -
Category
Technology
-
view
506 -
download
3
description
Transcript of Configuración de Seguridad Integrada
![Page 1: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/1.jpg)
![Page 2: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/2.jpg)
![Page 3: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/3.jpg)
Configuración de Seguridad Integrada
Daniel A. Seara
C&B201
Director de Formación - Colaboración MVP SharePoint Server
![Page 4: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/4.jpg)
α Recomendación de buenas prácticas
Preparando SharePoint Las cuentas de instalación
Cuenta Servicio Permisos
SQLService SQLServer Acorde a los recursos utilizados
SQL Server Agent Importante si accede a recursos externos
SPService SharePoint Server Asignados durante la instalación
SharePoint Admin App Pool En SQLServer
SharePoint Web Services
dbcreator securityadmin db_owner (SharePoint db)
SharePoint Timer
![Page 5: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/5.jpg)
α Bloquear UDP 1434
α Configurar SQL Server para escuchar en puertos no estándar
β TCP 1433
β UPD 1434
α Abrir los puertos seleccionados en el Firewall β Solo para el dominio
α Configurar Alias de Cliente para los nuevos puertos asignados
β Cliconfg.exe
Preparando SharePoint Asegurando el entorno SQL Server
![Page 6: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/6.jpg)
α Conectar al SQL por el Alias
α Especificar un Puerto para Admin
Instalando SharePoint
![Page 7: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/7.jpg)
α El problema de identificación tiene 2 puntos cruciales
β De cliente a SharePoint
β De SharePoint a Otros Servicios
α En ambos casos puede ser
β Clásica (Identificación Windows)
β Reclamo («Claims»)
Identificación en SharePoint
![Page 8: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/8.jpg)
α Integrada β NTLM
γ Pros
δ Fácil de configurar y no requiere configuración adicional del entorno
δ Funciona cuando el cliente no es parte del dominio, o no está en un dominio de confianza para el dominio en que SharePoint reside
γ Contras
δ Requiere que SharePoint contacte al controlador de dominio cada vez
δ No permite Delegación de cliente al «back-end»,(doble salto)
δ Es un protocolo propietario
δ No admite la autenticación de servidor
δ Se considera menos seguro
Identificación del Cliente Clásica
![Page 9: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/9.jpg)
α Integrada β Kerberos
γ Pros
δ Protocolo de autenticación de Windows integrada más seguro
δ Permite la delegación de las credenciales del cliente
δ Admite la autenticación mutua de clientes y servidores
δ Produce menos tráfico en controladores de dominio
δ Protocolo abierto apoyado por muchas plataformas y proveedores
γ Contras
δ Requiere configuración adicional de infraestructura
δ Requiere conectividad con el KDC (controlador de dominio de Active Directory en entornos Windows).
ε Puerto TCP/UDP 88 (Kerberos)
ε Puerto TCP/UDP 464 (Kerberos cambiar contraseña: Windows)
Identificación del Cliente Clásica
![Page 10: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/10.jpg)
α Windows β Traslada la autenticación Integrada a una Identidad «Claims»
γ Sea NTLM o Kerberos
α FBA β La Identificación del usuario se realiza por Membership de asp.net, y
luego se traslada a una Identidad «Claims»
α SAML β La identificación se realiza por un servicio externo (Security Token
Provider) y luego se traslada a una Identidad «Claims»
γ Live Id
γ Windows Identity Foundation (WIF) Claims to Windows Token Service (C2WTS)
Identificación del Cliente Reclamo («Claims»)
![Page 11: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/11.jpg)
α Entre servidores por Claims β Algunos servicios que se exponen en SharePoint no manejan
«Claims»
γ SQL Reporting Services
γ RSS desde orígenes identificados
Identificación en SharePoint
![Page 12: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/12.jpg)
α Sub Sistema Confiable β Autoriza SharePoint, el servicio le cree
γ Con La Identidad del App Pool
γ Con la identidad de servicio compartido
γ Con Identificación anónima
α Delegación β Utiliza las mismas credenciales para
identificar al usuario
γ Kerberos
γ «Claims»
δ Algunos servicios de SharePoint 2010 nativos aún no soportan Claims
Identificación hacia Afuera Otros Servicios
![Page 13: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/13.jpg)
α Kerberos restrictivo β Solo dentro del mismo dominio
γ Excel Services
γ PerformancePoint Services
γ InfoPath Forms Services
γ Visio Services
β Admite entre varios dominios del mismo Bosque
γ Business Data Connectivity service and Microsoft Business Connectivity Services
γ Access Services
γ Microsoft SQL Server Reporting Services (SSRS)
γ Microsoft Project Server 2010
β No permite delegación
γ Microsoft SQL Server PowerPivot for Microsoft SharePoint
Identificación hacia Afuera Kerberos y restricciones
![Page 14: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/14.jpg)
NTLM y Kerberos
![Page 15: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/15.jpg)
NTLM Kerberos
• Más complejo
• Hay que implementarla en fases
• Cuando lo admite, es transparente
entre servicios
• No se lleva bien con alguno servicios
• Búsqueda
• Algunos exploradores (incluyendo versiones de IE)
• Fácil
• Automática
• Completa para todos los servicios
• Requiere configurar delegaciones etc.
por doble salto
![Page 16: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/16.jpg)
α Directorio Activo
α Centro de Distribución de claves
α Servidores de servicios β SQL Server
β SharePoint Server
α Condiciones de seguridad β Todas las cuentas de servicio han de ser de Dominio
β La comunicación entre servidores debe ser directa
β La cuenta con que se realiza la configuración debe ser admón. del bosque
Kerberos Requerimientos
![Page 17: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/17.jpg)
Configurando…
![Page 18: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/18.jpg)
Distribución
Cliente(Win7)
Demos.local
NLB Cluster
SQL Cluster
App Server
MMS
Excel
c2WTS
Web
SQL
SQL AS
SQL Reporting Services NLB Cluster
SSRS
Visio
PPS
BCS
vmSP10WFE01
vmSP10WFE02
vmSP10APP01
vmSQL2k8r2-01
vmSQL2k8r2-02
vmSQL2k8r2-RS01
vmSQL2k8r2-RS01
Search
![Page 19: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/19.jpg)
α ANTES de comenzar la instalación de SharePoint 2010
α Crear los SPN (Service Principal Name) β ADSIEDIT.msc
SQL Server
![Page 20: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/20.jpg)
α Asi como con Asdiedit, es posible asignar nombre con SetSpn
β setspn -a http/FQDN CuentaDelServicio (AppPool)
γ No lleva el «:» y con un solo «/»
γ En caso de utilizar un puerto fuera del estándar
δ Se deben hacer 2 entradas, una sin puerto y otra con él
δ NO se debe registrar con https aún cuando se usa SSL
β Es preferible para URLs, servicios Web, etc.
SharePoint SETSPN
![Page 21: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/21.jpg)
α Cuando se consultan elementos de otro sitio/ colección de sitios
α Y ambos tienen cuentas de App Pools distintas
α Se deben registrar AMBOS usuarios en AMBAS colecciones de sitios
β setspn -S http/sps1.demos.local DEMOS\SpsService
β setspn -S http/sps2.demos.local DEMOS\SpsService
β setspn -S http/sps2.demos.local DEMOS\SpsService2
β setspn -S http/sps1.demos.local DEMOS\SpsService2
SharePoint Delegación restrictiva
![Page 22: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/22.jpg)
α Habilitar además Delegación a nivel del Directorio Activo β Admón de Usuarios y Servidores
β Ficha Delegación
γ Solo existe si el objeto tiene SPN
γ Se agregan las cuentas a delegar
SharePoint Delegación restrictiva
![Page 23: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/23.jpg)
α Las cuentas de los servicios deben registrarse como cuentas administradas
β SharePoint Search Service Account
β SharePoint Search Administration Service Account
β SharePoint Search Query Service Account
β Web App IIS Application Pool Account 1
β Web App IIS Application Pool Account 2 …
SharePoint Cuentas Administradas
![Page 24: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/24.jpg)
Identificación en el sitio
![Page 25: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/25.jpg)
Internet Information Server Configurar Kerberos
![Page 26: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/26.jpg)
α Asegurarse los usuarios accedan al servicio de identificación Kerberos
β Puerto 88
α Asegurar identificación automática para Intranet β ¡En cada cliente!
Finalmente…
α Si se usan nombres completos de host β Servidor.dominio.zona
β Agregarlos (o por comodines), en la zona Intranet
![Page 27: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/27.jpg)
α KerbTray β Resource Kit Windows 2000
β Permite evaluar tickets Kerberos
α Fiddler β Analiza tráfico http
α NetMon 3.4 β Analiza tráfico de TCP
Herramientas Útiles
![Page 28: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/28.jpg)
![Page 29: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/29.jpg)
¡No olvidéis rellenar las evaluaciones en el Portal
del Summit!
¡Nos encontraréis en la zona de exposición en los
siguientes horarios
Daniel A. Seara
MVP SharePoint Server
α En cada descanso
Director de Formación – Colaboración y Búsqueda
![Page 30: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/30.jpg)
![Page 31: Configuración de Seguridad Integrada](https://reader038.fdocuments.ec/reader038/viewer/2022110307/55661f70d8b42a7d608b5239/html5/thumbnails/31.jpg)