Utiliser l'authentification intégrée de Windows avec Windows SharePoint Services

L'authentification intégrée de Microsoft Windows prend en charge deux protocoles pour fournir une authentification par stimulation/réponse :

• NTLM    Protocole sécurisé basé sur le cryptage des noms d'utilisateur et des mots de passe avant de les transmettre au réseau. NTLM est un protocole requis dans les réseaux dans lesquels le serveur obtient des demandes provenant de clients hérités qui ne prennent pas en charge l'authentification Kerberos.
• Kerberos    Protocole basé sur un système de ticket. Dans ce cas de figure, un utilisateur doit d'abord fournir un nom d'utilisateur et un mot de passe valides au serveur d'authentification. Ce serveur octroie un ticket à l'utilisateur qu'il peut alors utiliser sur le réseau pour demander d'autres ressources réseau. Pour appliquer ce schéma, le client et le serveur doivent bénéficier d'une connexion approuvée au Centre de distribution de clés du domaine et être compatibles avec les services d'annuaire Microsoft Active Directory.

Kerberos fournit également une méthode qui permet de créer des relations approuvées entre les domaines du réseau. Ces relations approuvées peuvent être transitives, unidirectionnelles ou bidirectionnelles. Pour plus d'informations sur l'authentification Kerberos, consultez la documentation des services Internet (IIS) de Microsoft dans Windows Server 2003.

Les protocoles NTLM et Kerberos permettent d'améliorer la sécurité en cryptant les noms d'utilisateurs et les mots de passe avant de les transmettre au réseau. Par défaut, les serveurs virtuels ont été étendus avec une version de Windows SharePoint Services antérieure à l'authentification NTLM de Windows SharePoint Services Service Pack 2 par défaut, car elle est compatible avec davantage de clients. Windows SharePoint Services Service Pack 2 et ultérieur ne prend pas automatiquement en charge l'authentification NTLM. Toutefois, si vous choisissez d'utiliser l'authentification Kerberos et que le compte du pool d'application utilisé par Windows SharePoint Services sur le serveur virtuel n'est pas le service réseau par défaut, vous devez effectuer les étapes suivantes :

• Configurer un nom principal de service pour l'identité du pool d'applications utilisé par le serveur virtuel exécutant Windows SharePoint Services
• Configurer une approbation pour la délégation des composants WebPart qui ont accès aux ressources distantes

  Par ailleurs, si le serveur virtuel a été étendu avec une version de Windows SharePoint Services antérieure à Windows SharePoint Services Service Pack 2, vous devez modifier la métabase IIS pour activer à la fois l'authentification NTLM et l'authentification Kerberos.

Configurer un nom principal de service pour l'identité du pool d'applications

Remarque  Vous devez être administrateur de domaine pour effectuer les étapes de cette section.

Si l'identité du pool d'applications du site Windows SharePoint Services est configurée pour utiliser une entité de sécurité intégrée (telle que Autorité NT\Service réseau ou Autorité NT\Système local), vous n'avez pas à effectuer cette étape. Les comptes intégrés sont automatiquement configurés pour utiliser l'authentification Kerberos. Cependant, si vous utilisez une base de données Microsoft SQL Server à distance, il est recommandé d'utiliser une entité de sécurité intégrée ou un compte de type domaine/nom_ordinateur$.

Si vous utilisez un serveur distant exécutant Microsoft SQL Server 2000 et que vous souhaitez utiliser Autorité NT\Service réseau comme compte de domaine, vous devez ajouter l'entrée Domaine\Nom_ordinateur$ et la configurer avec les autorisations Créateurs de bases de données et Administrateurs de la sécurité. Cette opération permet à Windows SharePoint Services de se connecter à l'ordinateur SQL Server distant afin de créer les bases de données de contenu et de configuration.

Si l'identité du pool d'application est un compte d'utilisateur de domaine, vous devez configurer un nom principal de service pour ce compte. Pour configurer un nom principal de service pour le compte d'utilisateur de domaine, effectuez les étapes suivantes :

1. Téléchargez et installez l'outil de ligne de commande Setspn.exe à partir de la page de téléchargement Setspn.exe. (En anglais )
2. Utilisez l'outil Setspn.exe pour ajouter un nom principal de service au compte du domaine. Pour ce faire, tapez la ligne suivante à l'invite de commande :

   setspn -A HTTP/ServerName Domain\UserName

   où ServerName est le nom de domaine complet du serveur, Domain le nom du domaine et UserName le nom du compte d'utilisateur du domaine.

Configurer une approbation pour la délégation des composants WebPart qui ont accès aux ressources distantes

Remarque  Vous devez être administrateur de domaine pour effectuer les étapes de cette section.

Vous n'avez pas à effectuer ces étapes supplémentaires si les composants WebPart dont vous disposez n'ont pas accès aux ressources distantes.

Si vous développez des composants WebPart pour Windows SharePoint Services qui ont accès aux ressources distantes, vous devez effectuer les étapes listées dans la section « Configurer un nom principal de service pour le compte d'utilisateur de domaine » et configurer l'ordinateur et le compte du pool d'applications de sorte qu'ils soient approuvés pour la délégation, comme décrit dans les sections suivantes.

Configurer le serveur IIS de sorte qu'il soit approuvé pour la délégation

Remarque  Vous devez être administrateur de domaine pour effectuer les étapes de cette section.

1. Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Utilisateurs et ordinateurs Active Directory.
2. Dans le volet gauche, cliquez sur Ordinateurs.
3. Dans le volet droit, cliquez avec le bouton droit sur le nom du serveur IIS et cliquez sur Propriétés.
4. Cliquez sur l'onglet Général, activez la case à cocher Approuver l'ordinateur pour la délégation et cliquez sur OK.

Configurer le compte de domaine du pool d'applications pour la délégation approuvée

1. Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Utilisateurs et ordinateurs Active Directory.
2. Dans le volet gauche, cliquez sur Utilisateurs.
3. Dans le volet droit, cliquez avec le bouton droit sur le nom du compte d'utilisateur utilisé par le pool d'applications et cliquez sur Propriétés.
4. Cliquez sur l'onglet Compte, puis sous Options de compte, activez la case à cocher Le compte est approuvé pour la délégation et cliquez sur OK.

Modifier la métabase IIS

Vous pouvez modifier la métabase IIS en utilisant le Bloc-notes de Microsoft ou un script. La méthode de script est la méthode à préférer si vous procédez à la mise à jour de plusieurs serveurs. Les sections suivantes vous indiquent comment utiliser les deux méthodes.

Modifier la métabase IIS à l'aide du Bloc-notes

Remarque  Vous ne devez effectuer cette étape que sur les serveurs virtuels qui ont été étendus avec une version de Windows SharePoint Services antérieure au Service Pack 2.

1. Sur le serveur exécutant Windows SharePoint Services, cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires, puis cliquez sur Bloc-notes.
2. Cliquez sur Fichier, Ouvrir, puis ouvrez le fichier %Racine_Système%\System32\Inetsrv\Metabase.xml, où %RacineSystème% est le chemin d'accès et le nom de dossier où Microsoft Windows est installé.
3. Dans la section <IIsWebServer>, recherchez la ligne suivante :

   NTAuthenticationProviders="NTLM"

4. Remplacez-la par :

   NTAuthenticationProviders="Negotiate,NTLM"

5. Cliquez sur Fichier, puis sur Enregistrer.
6. Cliquez sur Fichier, puis sur Quitter.
7. Redémarrez IIS :
   1. Cliquez sur Démarrer, puis sur Exécuter.
   2. Dans la fenêtre Exécuter, tapez cmd et cliquez sur OK.
   3. À l'invite de commande, tapez iisreset et appuyez sur Entrée.
   4. Tapez exit et appuyez sur Entrée pour fermer la fenêtre Invite de commande.

Modifier la métabase IIS à l'aide de scripts

Remarque  Vous ne devez effectuer cette étape que sur les serveurs virtuels qui ont été étendus avec une version de Windows SharePoint Services antérieure au Service Pack 2.

1. Cliquez sur Démarrer, puis sur Exécuter.
2. Dans la fenêtre Exécuter, tapez cmd et cliquez sur OK.
3. Dans le dossier Inetpub\Adminscripts, tapez :

   cd Drive:\inetpub\adminscripts

   où Drive est le lecteur dans lequel Windows est installé.
4. Tapez la commande :

   cscript adsutil.vbs get w3svc/xx/NTAuthenticationProviders

   où xx est le numéro d'identification du serveur virtuel. Le numéro d'identification du serveur virtuel du site Web par défaut dans IIS est 1. Si le serveur virtuel a été étendu avec Windows SharePoint Services, la chaîne suivante est renvoyée :

   ntauthenticationproviders: (STRING) "NTLM"

5. Pour activer Kerberos sur le serveur virtuel, tapez :

   cscript adsutil.vbs set w3svc/xx/NTAuthenticationProviders "Negotiate,NTLM"

   où xx est le numéro d'identification du serveur virtuel.
6. Redémarrez IIS :
   1. Cliquez sur Démarrer, puis sur Exécuter.
   2. Dans la fenêtre Exécuter, tapez cmd et cliquez sur OK.
   3. À l'invite de commande, tapez iisreset et appuyez sur Entrée.
   4. Tapez exit et appuyez sur Entrée pour fermer la fenêtre Invite de commande.

Rubriques connexes

Guide d'administration de Windows SharePoint Services (En anglais )