Partager via


Configurer des sites authentifiés par Kerberos en vue d’une analyse

Mise à jour : 2008-08-28

Dans cet article :

Conditions préalables à la solution

Vue d’ensemble des étapes de la solution 1

Déployer la solution 1 (Configurer un nouveau site Web de manière à utiliser Kerberos)

Vue d’ensemble des étapes de la solution 2

Déployer la solution 2 (Configurer un site Web existant de manière à utiliser Kerberos)

L’authentification Kerberos garantit une sécurité accrue par rapport à NTLM, mécanisme d’authentification par défaut pour les applications Web Microsoft Office SharePoint Server 2007. Toutefois, gardez à l’esprit que le composant d’index du serveur d’index, parfois appelé robot, ne peut pas analyser les sites que Kerberos authentifie si ces sites sont configurés pour utiliser des ports non standards. Les ports non standards correspondent à tout numéro de port, à l’exception du port TCP 80 (HTTP) et du port SSL 443 (HTTPS).

L’ordre d’interrogation des zones d’applications Web a un impact sur l’analyse. Le robot commence toujours par interroger la zone Par défaut. Si cette zone utilise l’authentification Kerberos, mais qu’elle n’utilise pas le port TCP 80 ou le port SSL 443, le robot ne tente pas de s’authentifier en utilisant la zone suivante dans l’ordre d’interrogation et aucun contenu de l’application Web n’est analysé. Cela signifie que le contenu n’est pas indexé ou retourné dans les résultats des requêtes de recherche. Pour plus d’informations sur le fonctionnement de l’ordre d’interrogation avec le robot, voir la section « Planifier l’authentification pour l’analyse du contenu » dans Planifier des méthodes d’authentification (Office SharePoint Server).

Cet article s’applique aux déploiements Office SharePoint Server 2007 autonomes et de batteries de serveurs. Il fournit une solution pour l’analyse des sites qui utilisent l’authentification Kerberos dans la zone par défaut, ainsi qu’une solution pour l’analyse des sites qui utilisent NTLM dans la zone par défaut et l’authentification Kerberos dans une autre zone. Quelle que soit la solution que vous utilisez, les utilisateurs finaux qui accèdent aux applications Web utilisant Kerberos pour l’authentification peuvent obtenir des résultats de requêtes de recherche. Les solutions sont les suivantes :

  • Solution 1 : créer une application Web qui utilise Kerberos pour l’authentification dans la zone par défaut et la configurer de manière à utiliser un port standard. Vous devez privilégier cette solution, car elle évite aux utilisateurs qui s’authentifient à l’aide de Kerberos de spécifier un numéro de port dans l’URL de leurs sites. Si vous ne pouvez pas déployer cette solution, utilisez la solution 2.

  • Solution 2 : créer une application Web qui utilise l’authentification NTLM, puis étendre l’application Web de manière à utiliser l’authentification Kerberos dans la deuxième zone. De cette manière, le robot peut analyser le contenu dans la zone par défaut à l’aide de l’authentification NTLM. Déployez cette solution si vous ne pouvez pas utiliser l’authentification Kerberos sur un port standard.

Conditions préalables à la solution

Les procédures incluses dans ces solutions requièrent les types d’administrateurs suivants :

  •  administrateur DNS (Domain Name System) ;

  • administrateur du serveur ;

  • administrateur de service de recherche ;

  • administrateur de batterie ;

  • administrateur IIS (Internet Information Services).

Les autres conditions requises sont les suivantes :

Ces solutions supposent ce qui suit :

Vue d’ensemble des étapes de la solution 1

  1. Créez une application Web qui utilise l’authentification Kerberos.

  2. Assignez le port 80 ou 443 à la nouvelle application Web.

  3. Créez des noms principaux de service dans Active Directory.

  4. Vérifiez que l’application Web est accessible.

  5. Vérifiez que le robot bénéficie au minimum d’un accès en lecture à l’application Web.

  6. Vérifiez que le comportement de l’analyse de recherche est correct.

  7. Vérifiez que les requêtes de recherche retournent des résultats précis.

  8. Publiez l’URL à l’attention des utilisateurs finaux.

Déployer la solution 1

Créer une application Web qui utilise l’authentification Kerberos

  1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis cliquez sur Administration centrale de SharePoint 3.0.

  2. Cliquez sur l’onglet Gestion des applications.

  3. Dans la page Gestion des applications, dans la section Gestion des applications Web SharePoint, cliquez sur Créer ou étendre une application Web.

  4. Dans la page Créer ou étendre une application Web, cliquez sur Créer une application Web.

  5. Dans la page Créer une application Web, dans la section Site Web IIS, acceptez le paramètre par défaut, Créer un nouveau site Web IIS, puis tapez un nom pour le site Web dans la zone Description.

  6. Dans la zone Port, tapez 80 ou 443. Si vous utilisez le port 443, vous devez également sélectionner Utiliser SSL.

  7. Spécifiez un en-tête d’hôte IIS pour le site Web.

    Pour plus d’informations sur la configuration de SSL pour un site Web à l’aide d’un en-tête d’hôte IIS, voir Configuration d’en-têtes d’hôtes SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x40C) .

  8. Dans la section Configuration de la sécurité, sélectionnez Négocier (Kerberos).

  9. Dans la section Pool d’applications, acceptez le paramètre par défaut, Créer un nouveau pool d’applications, puis spécifiez le compte de sécurité pour le nouveau pool d’applications.

  10. Cliquez sur OK.

  11. Redémarrez IIS.

    Pour ce faire, à l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :

    Iisreset /restart /noforce

  12. Fermez l’invite de commandes.

  13. Mettez à jour DNS/WINS pour résoudre l’en-tête d’hôte IIS sur l’adresse IP du serveur Web frontal.

Créer des noms principaux de service dans Active Directory

  • Utilisez l’outil Setspn.exe faisant partie des outils de support Windows Server 2003 pour créer deux noms principaux de service pour l’application Web configurée pour l’authentification Kerberos. L’un des noms principaux de service doit utiliser le nom NetBIOS de l’application Web, tandis que l’autre doit recourir au nom de domaine pleinement qualifié DNS de l’application Web. Utilisez la syntaxe suivante :

    **Setspn.exe -A HTTP/**NomServeur DomaineAD/NomUtilisateur

    HTTP est la classe de service, NomServeur le nom NetBIOS ou le nom de domaine pleinement qualifié, DomaineAD le domaine Active Directory et NomUtilisateur est l’identité du pool d’applications de l’application Web.

    Les exemples suivants illustrent ce à quoi ressembleraient les noms principaux de service si l’en-tête d’hôte que vous avez configuré pour une application Web était serveur1.contoso.com.

    • NetBIOS SPN: HTTP/serveur1

    • FQDN SPN: HTTP/serveur1.contoso.com

Vérifier que l’application Web est accessible à l’aide de l’authentification Kerberos

  1. Connectez-vous à un ordinateur appartenant au même domaine que votre batterie de serveurs. Vérifiez que l’ordinateur n’est pas un serveur Web frontal au sein de votre batterie de serveurs.

    ImportantImportant :

    Ne vérifiez pas si le comportement de l’authentification Kerberos est correct directement sur l’un des ordinateurs qui hébergent les sites Web utilisant l’authentification Kerberos. Au lieu de cela, vérifiez ce comportement à partir d’un autre ordinateur dans le domaine.

  2. Ouvrez un navigateur Web sur cet autre ordinateur et accédez à l’URL de votre application Web.

    La page d’accueil de l’application Web authentifiée par Kerberos doit s’afficher. Pour plus d’informations sur la façon de vérifier que l’authentification Kerberos a été utilisée pour l’accès à l’application Web, voir la section « Vérifier l’accès aux applications Web à l’aide de l’authentification Kerberos » dans Configurer l’authentification Kerberos (Office SharePoint Server).

Vérifier que le robot bénéficie au minimum d’un accès en lecture à l’application Web

  • Pour que le robot puisse être authentifié par l’application Web, il doit bénéficier au minimum d’un accès en lecture à cette application Web. Sinon, l’analyse échoue. Assurez-vous que l’une des conditions suivantes est vérifiée :

    • Il existe une règle d’analyse qui spécifie un compte de domaine bénéficiant au minimum d’un accès en lecture à l’application Web.

    • Le compte de domaine affecté au compte d’accès au contenu par défaut bénéficie au minimum d’un accès en lecture à l’application Web.

    Pour plus d’informations sur les règles d’analyse et sur le compte d’accès au contenu par défaut, voir Configurer l'authentification du robot (Office SharePoint Server 2007)

Vérifier que le comportement de l’analyse de recherche est correct

  1. Dans la page Administration de services partagés, dans la section Recherche, cliquez sur Paramètres de recherche.

  2. Dans la page Configurer les paramètres de recherche, dans la section Paramètres de l’analyse, cliquez sur Sources de contenu et planifications d’analyse.

    NoteRemarque :

    Par défaut, lorsqu’un administrateur de batterie de serveurs crée ou étend une application Web, l’URL de l’application Web est automatiquement ajoutée à la source de contenu par défaut. Cette source de contenu est nommée Sites Office SharePoint Server locaux, par défaut. Vous pouvez utiliser la source de contenu par défaut pour effectuer une analyse complète de la nouvelle application Web, mais, ce faisant, vous analysez également toutes les autres applications Web spécifiées dans cette source de contenu. Étant donné que vous devez effectuer une analyse complète de la nouvelle source de contenu, l’analyse du contenu à l’aide de la source de contenu par défaut peut prendre beaucoup de temps selon la quantité de contenu analysée. Pensez à créer une nouvelle source de contenu pour analyser la nouvelle application Web afin d’éviter l’analyse de la totalité du contenu de la source de contenu par défaut. Si vous optez pour cette procédure, vous devrez d’abord supprimer l’URL de l’application Web de la source de contenu par défaut. Pour plus d’informations sur la création d’une source de contenu, voir Ajouter une source de contenu pour analyser des sites SharePoint, des sites Web, des partages de fichiers ou des dossiers publics Microsoft Exchange (Office SharePoint Server).

  3. Dans la page Gérer les sources de contenu, pointez sur la source de contenu que vous souhaitez analyser, cliquez sur la flèche qui apparaît, puis cliquez sur Démarrer l’analyse complète dans le menu qui s’affiche.

    NoteRemarque :

    La valeur de la colonne État devient Analyse complète pour la source de contenu que vous avez sélectionnée au cours de cette étape. Toutefois, la valeur de la colonne État dans la page ne change pas automatiquement lorsque l’analyse est terminée. Pour mettre à jour la colonne État, vous devez actualiser la page Gérer les sources de contenu en cliquant sur Actualiser.

  4. Attendez que l’analyse se termine. Si l’analyse échoue avec des erreurs de type « accès refusé », cela est dû au fait que le compte d’accès au contenu n’a pas accès à la source de contenu ou au fait que l’authentification Kerberos a échoué. Vous devez corriger cette erreur avant de continuer, car vous devez effectuer une analyse complète de l’application Web authentifiée par Kerberos avant de pouvoir vérifier que les requêtes de recherche retournent des résultats précis. Pour plus d’informations sur le compte d’accès au contenu, voir Vérifier que le robot bénéficie au minimum d’un accès en lecture à l’application Web.

Vérifier que les requêtes de recherche retournent des résultats précis

  1. Connectez-vous à un ordinateur appartenant au même domaine que votre batterie de serveurs. Vérifiez que l’ordinateur n’est pas un serveur Web frontal au sein de votre batterie de serveurs.

  2. Ouvrez un navigateur Web sur cet ordinateur et accédez au site de niveau supérieur de l’application Web que vous avez analysée.

  3. Lorsque la page d’accueil s’affiche, sélectionnez la zone de recherche Ce site.

  4. Tapez un mot clé dans le champ Rechercher, puis appuyez sur Entrée.

    TipConseil :

    Utilisez un mot clé qui existe dans votre site Web.

  5. Vérifiez que les résultats des requêtes de recherche sont retournés pour l’application Web. S’ils ne le sont pas, vérifiez les points suivants :

    • Le mot clé que vous avez tapé est un mot qui existe dans votre application Web.

    • L’indexation se déroule correctement.

    • Le service Office SharePoint Server Search est en cours d’exécution sur vos serveurs d’index et de requêtes.

    • Si votre serveur d’index n’est pas également un serveur de requêtes, vérifiez qu’il n’y a aucun problème de propagation de la recherche entre votre serveur d’index et vos serveurs de requêtes.

  6. Publiez l’URL de l’application Web authentifiée par Kerberos à l’attention de vos utilisateurs finaux.

Vue d’ensemble des étapes de la solution 2

  1. Créez une application Web qui utilise l’authentification NTLM (méthode d’authentification par défaut).

  2. Étendez la nouvelle application Web configurée pour l’authentification NTLM sur la zone Par défaut et configurez une autre zone, pour utiliser l’authentification Kerberos.

  3. Laissez IIS affecter un port aléatoire ou fournissez un port non standard de votre choix et configurez la zone de l’application Web étendue pour l’authentification Kerberos.

  4. Créez des noms principaux de service pour la zone configurée pour l’authentification Kerberos afin d’inclure le numéro de port et configurez votre navigateur.

  5. Vérifiez que l’application Web étendue est accessible à l’aide de l’authentification Kerberos.

  6. Vérifiez que l’application Web est accessible à l’aide de l’authentification NTLM.

  7. Vérifiez que le robot bénéficie au minimum d’un accès en lecture à l’application Web.

  8. Vérifiez que le comportement de l’analyse de recherche est correct.

  9. Vérifiez que les requêtes de recherche retournent des résultats précis.

  10. Publiez l’URL de l’application Web qui utilisait l’authentification Kerberos à l’attention de vos utilisateurs. Vérifiez que l’URL contient un numéro de port.

Déployer la solution 2

Créer une application Web qui utilise l’authentification NTLM

  1. Dans la page d’accueil de l’Administration centrale, cliquez sur l’onglet Gestion des applications.

  2. Dans la page Gestion des applications, dans la section Gestion des applications Web SharePoint, cliquez sur Créer ou étendre une application Web.

  3. Dans la page Créer ou étendre une application Web, cliquez sur Créer une application Web.

  4. Dans la page Créer une application Web, dans la section Site Web IIS, acceptez le paramètre par défaut, Créer un nouveau site Web IIS, puis tapez un nom pour le site Web dans la zone Description.

  5. Dans la zone Port, effectuez l’une des opérations suivantes :

    • Tapez 80 ou 443. Si vous utilisez le port 443, vous devez également sélectionner Utiliser SSL.

    • Tapez un numéro de port non standard ou laissez IIS affecter un numéro de port non standard.

  6. Spécifiez un en-tête d’hôte IIS pour le site Web.

    Pour plus d’informations sur la configuration de SSL pour un site Web à l’aide d’un en-tête d’hôte IIS, voir Configuration d’en-têtes d’hôtes SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x40C) .

  7. Dans la section Configuration de la sécurité, acceptez le paramètre par défaut, NTLM.

  8. Dans la section Pool d’applications, acceptez le paramètre par défaut, Créer un nouveau pool d’applications, puis spécifiez le compte de sécurité pour le nouveau pool d’applications.

  9. Cliquez sur OK.

  10. Redémarrez IIS.

    Pour ce faire, à l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :

    Iisreset /restart /noforce

  11. Fermez l’invite de commandes.

  12. Mettez à jour DNS/WINS pour résoudre l’en-tête d’hôte IIS sur l’adresse IP du serveur Web frontal.

Étendre une application Web pour utiliser l’authentification Kerberos

  1. Dans la page Créer ou étendre une application Web, cliquez sur Étendre une application Web existante.

  2. Dans la page Étendre une application Web à un autre site Web IIS, dans la section Application Web, dans le menu Application Web, cliquez sur Modifier Application Web.

  3. Sur la page Sélectionner une application Web, cliquez sur l’application Web que vous venez de créer.

  4. Dans la section Site Web IIS, configurez les paramètres pour une application Web étendue.

  5. Dans la zone Description, tapez, si vous le souhaitez, une description pour l’application Web étendue.

  6. Effectuez l’une des actions suivantes :

    1. Dans la zone Port, tapez le numéro de port à utiliser.

    2. Laissez IIS affecter un numéro de port aléatoire.

  7. Dans la section Configuration de la sécurité, sélectionnez Négocier (Kerberos).

  8. Dans la section URL avec équilibrage de la charge réseau, sélectionnez la zone que vous souhaitez utiliser, par exemple, Intranet.

  9. Cliquez sur OK.

  10. Redémarrez IIS.

    Pour ce faire, à l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :

    iisreset /restart /noforce

    Effectuez la procédure sur tous les serveurs Web frontaux de la batterie de serveurs.

  11. Fermez l’invite de commandes.

Créer des noms principaux de service dans Active Directory et configurer votre navigateur

  1. Utilisez l’outil Setspn.exe faisant partie des outils de support Windows Server 2003 pour créer deux noms principaux de service pour l’application Web. Utilisez la syntaxe suivante :

    **Setspn.exe -A HTTP/**NomServeur:Port DomaineAD/NomUtilisateur

    HTTP est la classe de service, NomServeur le nom NetBIOS ou le nom de domaine pleinement qualifié, Port le port non standard ou aléatoire assigné à l’application Web étendue, DomaineAD le domaine Active Directory et NomUtilisateur l’identité du pool d’applications de l’application Web étendue.

  2. Si vous utilisez Internet Explorer comme navigateur, configurez-le de manière à ce qu’il reconnaisse les numéros de port dans les noms principaux de service. Pour plus d’informations sur la configuration d’Internet Explorer afin d’inclure les numéros de port dans les noms principaux de service, voir, dans la Base de connaissances, l’article 908209 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x40C).

Vérifier que l’application Web est accessible à l’aide de l’authentification Kerberos

  1. Connectez-vous à un ordinateur appartenant au même domaine que votre batterie de serveurs.

    ImportantImportant :

    Ne vérifiez pas si le comportement de l’authentification Kerberos est correct directement sur l’un des ordinateurs qui hébergent les sites Web utilisant l’authentification Kerberos. Au lieu de cela, vérifiez ce comportement à partir d’un autre ordinateur dans le domaine.

  2. Ouvrez un navigateur Web sur cet autre ordinateur et accédez à l’URL de votre application Web qui se trouve dans la zone configurée pour l’authentification Kerberos.

    La page d’accueil de l’application Web authentifiée par Kerberos doit s’afficher. Pour plus d’informations sur la façon de vérifier que l’authentification Kerberos a été utilisée pour l’accès à l’application Web, voir la section « Vérifier l’accès aux applications Web à l’aide de l’authentification Kerberos » dans Configurer l’authentification Kerberos (Office SharePoint Server).

Vérifier que l’application Web est accessible à l’aide de l’authentification NTLM

  1. Connectez-vous à un ordinateur appartenant au même domaine que votre batterie de serveurs.

    Note

    Ne vérifiez pas si le comportement de l’authentification NTLM est correct directement sur l’un des ordinateurs qui hébergent les sites Web que vous explorez. Au lieu de cela, vérifiez ce comportement à partir d’un autre ordinateur dans le domaine.

  2. Ouvrez un navigateur Web sur cet autre ordinateur et accédez à l’URL de votre application Web qui se trouve dans la zone configurée pour l’authentification NTLM.

  3. La page d’accueil de l’application Web authentifiée par NTLM doit s’afficher. Si ce n’est pas le cas, recherchez l’erreur et corrigez-la.

Vérifier que le robot bénéficie au minimum d’un accès en lecture à l’application Web

  • Pour que le robot puisse être authentifié par l’application Web, il doit bénéficier au minimum d’un accès en lecture à cette application Web. Sinon, l’analyse échoue. Assurez-vous que l’une des conditions suivantes est vérifiée :

    • Il existe une règle d’analyse qui spécifie un compte de domaine bénéficiant au minimum d’un accès en lecture à l’application Web.

    • Le compte de domaine affecté au compte d’accès au contenu par défaut bénéficie au minimum d’un accès en lecture à l’application Web.

    Pour plus d’informations sur les règles d’analyse et sur le compte d’accès au contenu par défaut, voir Configurer l'authentification du robot (Office SharePoint Server 2007)

Vérifier que le comportement de l’analyse de recherche est correct

  1. Dans la page Administration de services partagés, dans la section Recherche, cliquez sur Paramètres de recherche.

  2. Dans la page Configurer les paramètres de recherche, dans la section Paramètres de l’analyse, cliquez sur Sources de contenu et planifications d’analyse.

  3. Dans la page Gérer les sources de contenu, pointez sur la source de contenu qui contient l’URL de l’application Web NTLM que vous avez précédemment créée, cliquez sur la flèche qui apparaît, puis, dans le menu qui s’affiche, cliquez sur Démarrer l’analyse complète.

    NoteRemarque :

    La valeur de la colonne État devient Analyse complète pour la source de contenu que vous avez sélectionnée au cours de cette étape. Toutefois, la valeur de la colonne État dans la page ne change pas automatiquement lorsque l’analyse est terminée. Pour mettre à jour la colonne État, vous devez actualiser la page Gérer les sources de contenu en cliquant sur Actualiser.

    Attendez que l’analyse se termine, puis consultez les journaux d’analyse de la source de contenu que vous avez analysée pour vérifier que l’analyse n’a pas échoué avec des erreurs de type « accès refusé ». Si l’analyse a échoué avec des erreurs de ce type, il est possible que le compte d’accès au contenu utilisé par le robot n’ait pas accès aux sites Web dans l’application Web. Vous devez corriger cette erreur avant de passer à l’étape suivante, car vous devez effectuer une analyse complète de l’application Web authentifiée par Kerberos avant de pouvoir vérifier que les requêtes de recherche retournent des résultats précis. Pour plus d’informations sur le compte d’accès au contenu, voir la section Vérifier que le robot bénéficie au minimum d’un accès en lecture à l’application Web plus haut dans cet article.

Vérifier que les requêtes de recherche retournent des résultats précis

  1. Connectez-vous à un ordinateur appartenant au même domaine que votre batterie de serveurs. Vérifiez que l’ordinateur n’est pas un serveur Web frontal au sein de votre batterie de serveurs.

  2. Ouvrez un navigateur Web sur cet ordinateur et accédez au site de niveau supérieur de l’application Web que vous avez analysée.

  3. Lorsque la page d’accueil s’affiche, sélectionnez la zone de recherche Ce site.

  4. Tapez un mot clé de recherche dans le champ Rechercher, puis appuyez sur Entrée.

    TipConseil :

    Utilisez un mot clé qui existe dans votre site Web.

  5. Vérifiez que les résultats des requêtes de recherche sont retournés pour l’application Web. S’ils ne le sont pas, vérifiez les points suivants :

    • Le mot clé que vous avez tapé est un mot qui existe dans votre application Web.

    • Les journaux d’analyse de la source de contenu que vous avez analysée doivent indiquer que l’indexation se déroule correctement.

    • Le service Office SharePoint Server Search est en cours d’exécution sur vos serveurs d’index et de requêtes.

    • Si votre serveur d’index n’est pas également un serveur de requêtes, vérifiez qu’il n’y a aucun problème de propagation de la recherche entre votre serveur d’index et vos serveurs de requêtes.

  6. Publiez l’URL de l’application Web authentifiée par Kerberos à l’attention de vos utilisateurs et vérifiez que l’URL contient un numéro de port.

Voir aussi

Autres ressources

Blog de Joel Oleson consacré à SharePoint