怎样配置 WSS 以使用 Kerberos 身份验证(下)

方法 2:使用 IIS 管理脚本编辑 IIS 元数据库

使用脚本在虚拟服务器上启用 Kerberos 身份验证:

1.       在安装IIS的服务器上,打开命令行工具cmd

2.        更改到如下文件夹“驱动器:\Inetpub\Adminscripts”,驱动器为安装windows的驱动器。

3.       键入以下命令行cscript adsutil.vbs get w3svc/xx/NTAuthenticationProviders其中 xx 是虚拟服务器 ID 号,IIS 中的默认 Web 站点的虚拟服务器 ID 1。将返回如下字符串:ntauthenticationproviders:(STRING) "NTLM"

4.       启用kerberos身份验证,键入以下命令行:cscript adsutil.vbs set w3svc/ xx /NTAuthenticationProviders "Negotiate,NTLM"

5.       重新启动IIS.

二.在确认IIS已启用了Kerberos身份验证后,你需要为域账户配置服务主要名称(SPN

如果将 Windows SharePoint Services 站点的应用程序池标识配置为使用内置的安全主体(例如,NT Authority\Network Service NT Authority\Local System),则无须执行该步骤。内置帐户被自动配置为使用 Kerberos 身份验证。如果应用程序池标识是一个域用户帐户,则必须为该帐户配置 SPN。要为该域用户帐户配置 SPN,具体步骤如下

1.下载并安装 Setspn.exe 命令行工具,下载地址:http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/setspn-o.asp

2.使用 Setspn.exe 工具为域帐户添加 SPN,键入Setspn -A HTTP/服务器名称 域\用户名,其中服务器名称 是服务器的完全限定域名 (FQDN) 是该域的名称,用户名 是该域用户帐户的名称。

注意:

A.如果您使用远程Microsoft SQL Server 2000 服务器,并且您需要使用 NT Authority\Network Service 作为域帐户,则您必须添加\计算机名称$ 项,并使用数据库创建者安全管理员权限对其进行配置。这样,Windows SharePoint Services 就可以连接到远程 SQL Server 计算机以创建配置和内容数据库。

       B如果 IIS 服务器是域的成员但不是域控制器,则该服务器必须被信任作为委派,Kerberos 身份验证才能正常工作。要配置 IIS 服务器以信任其作为委派,请按照下列步骤操作:

1.       在域控制器上,启动“Active Directory 用户和计算机

2.       在左窗格中,单击计算机

3.       在右窗格中,右键单击 IIS 服务器的名称,然后单击属性

4.       单击常规选项卡,单击以选中信任计算机作为委派复选框,然后单击确定

C. 如果将应用程序池标识配置为使用域用户帐户,则该帐户必须被信任作为委派,然后才能使用 Kerberos 身份验证。要配置域帐户以信任其作为委派,请按照下列步骤操作:

1.       在域控制器上,启动“Active Directory 用户和计算机

2.       在左窗格中,单击用户

3.       在右窗格中,右键单击该用户帐户的名称,然后单击属性

4.       单击帐户选项卡,在帐户选项下,单击以选中帐户可委派其他帐户复选框,然后单击确定

posted on 2004-06-27 19:17  hgtj  阅读(1126)  评论(0编辑  收藏  举报

导航