Kerberos mit ProjectServer 2010

Bei der Erstellung von Konzepten kommt man immer wieder an einen Punkt, an dem man sich Gedanken über die Authentifizierungsanbieter macht. Viele Consultants scheuen hierbei die Option Kerberos, da diese ja im allgemeinen sehr komplex ist. Ist Kerberos wirklich so komplex? In diesem Artikel möchte ich eine Schritt für Schritt-Anleitung zur Verfügung stellen, wie Sie Ihre PWA und den SQL  über den Authentifizierungsanbieter Kerberos bereitstellen können.

Bitte denken Sie daran, dass nicht immer Kerberos die optimale Lösung ist und dies immer auf Ihre Situation geprüft werden sollte.

Vorteile von Kerberos liegen auf der Hand, bessere Performance als das NTLM Authentifizierungsprotokoll, Delegation der Anmeldeinformationen an ein weiteres System und die Verschlüsselung der Berechtigungsinformationen (credentials).

Aktivieren von Kerberos auf Ihrem SQL Server

Als erstes wollen wir auf dem SQL Server das Kerberos-Protokoll aktivieren. Hierzu benötigen wir zuerst den Dienstnamen. Diesen können wir relativ einfach über die PowerShell abrufen. Geben Sie hierzu den folgenden Befehl ein:

Get-Services * | Where {$_.Status –eq running}

Danach sollte die Ausgabe wie folgt bei Ihnen aussehen:

image

Suchen Sie nun den Namen Ihre SQL Server Instanz. In meinem Beispiel “MICROSOFTSQLSERVER”. Merken Sie sich den Servicenamen.

Als nächstes werden wir einen Service Principal Name (SPN) für den SQL Server registrieren. Dies können wir mit dem Kommandozeilentool setspn.exe durchführen. Hier gilt die folgende Syntax:

image

Geben Sie nun den folgenden Befehl ein:

setspn -A MSSQLSERVER/BL-SQL-01:1433 blankertz-pm\SQLDBEngine

Danach müsste die Ausgabe wie folgt aussehen:

image

Mit dem folgenden Befehl können Sie prüfen, ob der SPN erfolgreich angelegt wurde.

setup -L blankertz-pm\SQLDBEngine

Alternativ können Sie dies natürlich auch im ActiveDirectory prüfen. Öffnen Sie hierfür den genannten Benutzer, gehen Sie unter den Optionen auf die Registerkarte “Attribute-Editor” und suchen Sie dort die Option “servicePrincipaleName”.

Achtung: Sollte Ihnen der Attribut Editor nicht zur Verfügung stehen, müssen Sie die “Erweiterten Ansicht “ unter der Registerkarte “Ansichten” aktivieren.

image

Führen Sie einen Doppelklick auf die Option “ServicePrincipalName” aus. Natürlich können Sie weitere SPN’s auch hier eintragen Zwinkerndes Smiley:

image

Das war es schon auf der SQL Seite.

Achtung: Es macht eventuell Sinn, alle Zugriffsmöglichkeiten aufzunehmen!

Einstellen von Kerberos auf der SharePoint bzw. Project Server Seite

Sollten Sie schon eine PWA angelegt haben, dann gehen Sie wie folgt vor. Kontrollieren Sie den Service-Account unter dem die Websitesammlung ausgeführt wird. Dies können Sie über den IIS prüfen. Öffnen Sie den IIS-Manager. Wählen Sie Ihren Anwendungspool unter den Anwendungspools und klicken Sie in der rechten Seite auf “Erweiterte Einstellungen”.

image

Unter Prozessmodell können Sie den ServiceAccount ablesen:

image

Nun müssen wir den SPN für die PWA Site hinzufügen. Hierzu gilt die folgende Syntax:

image

Geben Sie also den folgenden Befehl ein:

setspn -A http/pwa domäne\PWAAppAccount

Das war es schon auf der ProjectServer Seite

Öffnen Sie danach den Benutzer, für den wir gerade den SPN eingerichtet haben übder “Active Directory Benutzer und Computer”. Wechseln Sie dort auf die Registerkarte Delegierung und aktivieren Sie die Option “Benutzer bei Delegierungen aller Dienste vertrauen (nur Kerberos)”.

image

Achtung: Diese Registerkarte steht Ihnen nur zur Verfügung, wenn Sie einen SPN eingerichtet haben!

Verfolgung von Kerberos-Tickets

Viele Administratoren werden noch das Programm kerbtray.exe kennen. Dieses Programm wird leider nicht mehr unter Windows Server 2008 (R2) zur Verfügung gestellt. Aber natürlich können Sie das Programm aus dem 2003 Ressourcen-Kit weiterhin benutzen (download) oder direkt das Programm von meinem Link herunterladen (download). Natürlich auf eigene Gefahr Flirten - Mann.

image

Umstellung der Websitesammlung auf Kerberos-Authentifizierung

Wechseln Sie nun auf Ihre Zentraladministration auf Ihrem Project Server 2010. Wechsel Sie unter der Rubrik “Anwendungsverwaltung” auf den Link “Anwendungen verwalten”:

image

Wählen Sie nun Ihre Webanwendung unter dieser der PWA ausgeführt wird, und klicken Sie anschließend in der Ribbonoberfläsche auf den Button “Authentifizierungsanbieter”.

image

Klicken Sie in dem darauf folgenden Fenster auf den Link “Standard”.

image

Scrollen Sie nun in den unteren Bereich der Seite bis zum Bereich “IIS Authentifizierungseinstellungen” und aktivieren Sie dort “Aushandeln (Kerberos)”.

image

Achtung: Sollten Sie eine neue PWA-Site anlegen, heißt die Rubrik “Sicherheitskonfiguration”. Achten Sie darauf, dass Sie als Service-Account den zuvor aktivierten Account wählen und als Authentifizierung “Standard Authentifizierung” wählen. 

image

image

Kontrolle der Kerberos Protokoll im SQL Server:

Kontrollieren Sie nun, ob die Aktivierung des Kerberos Protokolls erfolgreich war. Öffnen Sie hierzu das SQL Management Studio. Gehen Sie auf “Neue Abfrage” und geben Sie nun den folgenden SQl Befehl ein:

image

Erfolgreiche Bereitstellung der Kerberos Authentifizierung:

image

Nicht erfolgreiche Bereitstellung der Kerberos-Authentifizierung:

image

Der DNS Eintrag

Achten Sie darauf, dass der DNS Eintrag nicht als Canoncial Name (CNAME) eingetragen ist, sondern als A-Record (A oder AAAA). Sie können zwar den Host SPN hinzufügen, hier von rate ich Ihnen allerdings ab.

Advertisements

Über T.Blankertz

Torben Blankertz lebt mit seiner Familie in Erkelenz im Kreis Heinsberg am linken Niederrhein. Hauptberuflich ist er bei der Firma Bechtle IT-Systemhaus Köln im Microsoft Competence Team als IT-Consultant im Enterprise-Segment tätig.Während seiner Ausbildung an der Akademie für Information- und Telekommunikationstechnik zu Essen entwickelte er seinen Schwerpunkt im IT-Controlling: Ermittlung von Projektfortschritten und dessen Wirtschaftlichkeit mit der Ertragswertanalyse (Earned Value). Während der Ausbildung war er als technischer Projektleiter bei einem Dienstleistungsunternehmen in der Umweltbranche tätig. Dort konnte er seine technische Expertise in den Technologien Linux, Microsoft und Citrix ausbauen und vertiefen. Nach der Ausbildung wechselte er in den Raum Köln, wo er als Projektmanager und Berater für Projektmanagement in den Bereichen ITC-Migrations- und ITC-Integrationsprojekte sowie Rollouts mit dem Schwerpunkt Microsoft Technologien eingesetzt wurde. Für die Abwicklung der Projekte war er federführend verantwortlich und richtete dabei seinen Fokus auf die Projktmanagementmethode PRINCE2. Seit 2006 richtet er sein Interesse auf die Umsetzung der Projektmanagementmethoden PRINCE2 und deren Umsetzung mit den entsprechenden Projektmanagementtechnologien aus. Bedingt durch diesen Fokus, ist er auch als Technologieberater für die Produkte: SharePoint und Project Server und deren benötigten Infrastruktur tätig. Seit 2008 doziert er an der Akademie für Informations- und Telekommunikationstechnik zu Essen in den Fächern IT-Controlling, IT-Qualitätsmanagement und IT-Risikomanagement sowie Microsoft Project.
Dieser Beitrag wurde unter MS Project Server 2010, MS-Project, MS-SQL-Server, SharePoint Server 2010, SQL Server 2008 R2, Windows Server 2008 abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Kerberos mit ProjectServer 2010

  1. fraspr schreibt:

    Hallo Torben,

    genau das was ich gebraucht habe.

    Danke

  2. Pingback: Kerberos mit Project Server 2010 « Microsoft Project 2010 | Microsoft Visio 2010

Kommentar verfassen

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s