Konfigurasi Kerberos di SharePoint Web Application (Classic Windows Authentication)

Dalam posting ini saya akan menjelaskan bagaimana kita melakukan konfigurasi security Kerberos di sebuah web application SharePoint 2010 yang sebelumnya sudah kita konfigurasi menggunakan Classic Windows Authentication dengan authentication provider NTLM. Untuk web application yang menggunakan Claims Based Authentication, memerlukan cara-cara yang berbeda yang akan saya jelaskan dalam posting terpisah.

Posting saya ini juga memberikan referensi terhadap posting saya sebelumnya yang menjelaskan langkah demi langkah membangun environment untuk pengembangan solusi di atas SharePoint 2010. Salah satu langkahnya adalah memutuskan penggunaan Kerberos untuk security settings pada saat menjalankan SharePoint Products Configuration Wizard. Penggunaan Kerberos memerlukan setting tambahan yang akan saya jelaskan di sini.

Penggunaan Kerberos yang akan saya jelaskan mengambil skenario penerapan pada web application yang sudah saya buat sebelumnya, yaitu SharePoint web application yang ada di port 80. Web application ini menerapkan Classics Windows Authentication dengan NTLM sebagai authentication provider. URL web application ini adalah http://sps2010.foo.local yang berada dalam domain foo.local.

Berikut ini adalah langkah-langkah konfigurasi Kerberos pada web application SharePoint 2010 yang menerapkan Classics Windows Authentication.

  1. Buka SharePoint 2010 Central Administration » Application Management » Manage web applications. Highlight (jangan di-click link-nya), klik button Authentication Providers di ribbon.

    2012010301

  2. Dalam kotak dialog Authentication Providers yang dimunculkan, klik link Default.

    2012010302

  3. Dalam kotak dialog Edit Authentication, scroll down sampai menemukan IIS Authentication Settings. Ubah dari NTLM ke Negotiate (Kerberos).

    2012010303

  4. Setelah klik tombol Save dalam kotak dialog tersebut, akan muncul pesan warning yang menginstruksikan kita untuk melakukan konfigurasi tambahan apabila security account yang digunakan dalam application pool dari web application bukan Network Service. Kita akan melakukan konfigurasi ini karena web application yang akan kita konfigurasi menggunakan security domain account FOO\sp_admin.

    2012010304

  5. Buka ADSI Edit dengan mengetikkan adsiedit.msc di kotak dialog Run, koneksikan ADSI Edit ke domain foo.local. Apabila data Active Directory sudah terisi dalam ADSI Edit, pilih OU Users, lalu scroll down ke bawah sampai menemukan user SharePoint Administrator (CN untuk account FOO\sp_admin).

    2012010305

  6. Klik kanan pada user SharePoint Administrator, pilih Properties. Akan muncul kotak dialog properties ADSI untuk user SharePoint Administrator yang menampilkan seluruh atribut Active Directory untuk user tersebut. Scroll down pada listbox yang ada dalam kotak doalog tersebut sampai menemukan atribut servicePrincipalName. Double-click atribut tersebut untuk mengeditnya. Untuk mengetahui lebih lanjut apa itu Service Principal Name (SPN), klik link ini.

    2012010306
  7. Masukkan entri berikut ini pada pada atribut servicePrincipalName.
    • HTTP/sps2010
    • HTTP/sps2010.foo.local
    2012010307

    Jika kita ingin melakukan konfigurasi terhadap web application Central Administration (yang di SharePoint saya ada di port 9999), tambahkan juga entri berikut ini:

    • HTTP/sps2010:9999
    • HTTP/sps2010.foo.local:9999

  8. Lakukan trust for delegation for delegation untuk user account SharePoint Administrator (FOO\sp_admin). Caranya buka Active Directory Users and Computers snap-in dengan mengetikkan dsa.msc di kotak dialog Run. Cari user SharePoint Administrator di OU Users.

    2012010308

  9. Double klik account SharePoint Administrator untuk menampilkan properties-nya. Pada kotak dialog properties yang ditampilkan, buka tab Delegation, lalu ubah pilihan delegation ke Trust this user for delegation to any service (Kerberos only).

    2012010309

  10. Lakukan konfigurasi di internet explorer agar melakukan automatic login untuk zona Intranet. Ini bisa dilakukan dari tab Security di Internet Options. Pilih Local Intranet, klik tombol Site, klik tombol Advanced pada kotak dialog yang muncul berikutnya, lalu tambahkan URL *.foo.local di listbox Websites yang terdapat dalam kotak dialog Local Intranet.

    2012010310

Ringkasan

Kita bisa memilih menggunakan Kerberos sebagai mekanisme authentication dalam sebuah web application SharePoint. Untuk menggunakan Kerberos, diperlukan konfigurasi khusus berupa setting Service Principal Name di Active Directory. Posting ini menjelaskan langkah demi langkah yang diperlukan untuk melakukan setting Kerberos ini, namun terbatas pada web application SharePoint yang dibuat dengan Classics Windows Authentication.

(Sumber Configuring Kerberos on SharePoint Web Applications (Classic Windows Authentication)

Published Wednesday, February 01, 2012 2:35 PM by ganagus
Filed under:

Comments

No Comments
Powered by Community Server (Non-Commercial Edition), by Telligent Systems