Microsoft Windows SharePoint A partir de Microsoft Windows SharePoint Services 2.

0 Service Pack 2 (SP2), puede crear el servidor virtual de Administracin central de SharePoint o extender un servidor virtual de contenido para utilizarlo con la autenticacin Kerberos o la autenticacin NTLM. Ya no tiene que modificar directamente la metabase de IIS. La autenticacin integrada de Microsoft Windows admite los dos protocolos siguientes que proporcionan un mtodo de autenticacin de tipo desafo-respuesta:

NTLM NTLM es un protocolo seguro que se basa en el cifrado de los nombres de usuario y las contraseas antes de enviarlos a travs de la red. La autenticacin NTLM se requiere en las redes en las que el servidor recibe las solicitudes de clientes que no admiten la autenticacin Kerberos. Kerberos El protocolo Kerberos se basa en el uso de vales. En este esquema, un usuario debe proporcionar primero un nombre de usuario y contrasea vlidos a un servidor de autenticacin. A continuacin, el servidor de autenticacin concede un vale al usuario. El vale se puede utilizar en la red para solicitar otros recursos de red. Para utilizar este esquema, el cliente y el servidor deben tener una conexin de confianza con el Centro de distribucin de claves (KDC, Key Distribution Center) del dominio. Adems, tanto el cliente como el servidor deben ser compatibles con el servicio de directorio Active Directory.

Nota: casi siempre debera elegir la autenticacin NTLM. Si no tiene una necesidad concreta que le obligue a usar la autenticacin Kerberos o si no puede configurar el nombre principal de servicio (SPN), elija la autenticacin NTLM. Si elige la autenticacin Kerberos y no puede configurar el SPN, slo los administradores del servidor podrn autenticar el sitio web de SharePoint. Tanto Windows SharePoint Services 3.0 como Microsoft Office SharePoint Server 2007 contienen una funcionalidad integrada para volver a la autenticacin NTLM o configurar la autenticacin. La autenticacin NTLM es el mtodo preferido. Para configurar la autenticacin NTLM en la aplicacin web, use uno de los mtodos siguientes:

Configure la autenticacin NTLM en la aplicacin web desde Administracin Central de SharePoint 3.0. 1. Haga clic en Inicio, en Herramientas administrativas y, a continuacin, haga doble clic en Administracin central de SharePoint. 2. Haga clic en la ficha Administracin de aplicaciones y, a continuacin, haga clic en Proveedores de autenticacin. 3. En la lista Aplicacin web, seleccione la aplicacin web que tiene que actualizar. 4. Haga clic en la Zona que desee. 5. En la pgina Modificar autenticacin para Configuracin de autenticacin IIS, Autenticacin integrada de Windows, haga clic en NTLM. 6. Para aplicar el cambio, haga clic en Aceptar.

Configure la autenticacin NTLM en la aplicacin web desde la utilidad de la lnea de comandos Stsadm.exe. 1. En un smbolo del sistema, cambie el directorio por el siguiente: <unidad del sistema>:\Archivos de programa\Archivos comunes\Microsoft Shared\web server extensions\12\BIN 2. Ejecute el comando siguiente: stsadm -o authentication -url http://urlofthewebapplication -type windows exclusivelyusentlm Nota: para ver otras opciones de la operacin, ejecute el comando siguiente: stsadm -help authentication

Configurar Windows SharePoint Services 2.0 para utilizar la autenticacin Kerberos o la autenticacin NTLM A partir de Windows SharePoint Services 2.0 Service Pack 2 (SP2), puede utilizar la interfaz de usuario de SharePoint o comandos en un smbolo del sistema para configurar el servidor virtual de Administracin central de SharePoint y servidores virtuales de contenido. El servidor virtual de Administracin central de SharePoint se configura al crear la Administracin central de SharePoint, y los servidores virtuales de contenido se configuran al extender el servidor virtual de contenido. Cuando crea el servidor virtual de Administracin central de SharePoint o extiende un nuevo servidor virtual, hay una nueva seccin Configuracin de seguridad donde puede especificar si desea utilizar la autenticacin NTLM o la autenticacin Kerberos. Para revisar todas las opciones de configuracin administrativas para establecer la configuracin de la autenticacin, consulte la gua de administrador de Windows SharePoint Services (Windows SharePoint Services Administrator's Guide). Para ver el Manual del administrador de Windows SharePoint Services, visite el siguiente sitio web de Microsoft: http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a43e33fa13d230&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a43e33fa13d230&DisplayLang=en) Si ejecuta servidores virtuales de SharePoint que se extendieron o se crearon en versiones de Windows SharePoint Services 2.0 anteriores a Windows SharePoint Services 2.0 Service Pack 2 y tiene que configurarlos para la autenticacin Kerberos, debe configurar esta autenticacin manualmente para el servidor virtual si se requiere. Para usar un script que habilite la autenticacin Kerberos en el servidor virtual, siga estos pasos: 1. En el servidor que est ejecutando IIS, haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar. 2. Cambie a la carpeta Inetpub\Adminscripts. 3. Escriba el comando siguiente y presione ENTRAR: cd Unidad:\inetpub\adminscripts

Nota: en este comando, Unidad es la unidad donde est instalado Microsoft Windows. 4. Escriba el comando siguiente y presione ENTRAR: cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders Nota: en este comando, ## es el nmero de Id. del servidor virtual. El nmero del identificador del servidor virtual del sitio web predeterminado en IIS es 1. 5. Para habilitar la autenticacin Kerberos en el servidor virtual, escriba el comando siguiente y presione ENTRAR: cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM" Nota: en este comando, ## es el nmero de Id. del servidor virtual. 6. Reinicie IIS. Para ello, siga estos pasos: a. Haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar. b. En el smbolo del sistema, escriba iisreset y presione ENTRAR. c. Escriba exit y presione ENTRAR para cerrar la ventana del smbolo del sistema. Si elige la autenticacin Kerberos cuando crea los servidores virtuales de contenido o Administracin central de SharePoint, pero tiene que volver a la autenticacin NTLM, puede utilizar un script para habilitar esta autenticacin en el servidor virtual. Para usar un script que habilite la autenticacin NTLM en el servidor virtual, siga estos pasos: 1. En el servidor que est ejecutando IIS, haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar. 2. Cambie a la carpeta Inetpub\Adminscripts. 3. Escriba el comando siguiente y presione ENTRAR: cd Unidad:\inetpub\adminscripts Nota: en este comando, Unidad es la unidad donde est instalado Windows. 4. Escriba el comando siguiente y presione ENTRAR: cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders Nota: en este comando, ## es el nmero de Id. del servidor virtual. El nmero del identificador del servidor virtual del sitio web predeterminado en IIS es 1. 5. Para habilitar la autenticacin NTLM en el servidor virtual, escriba el comando siguiente y presione ENTRAR:

cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM" Nota: en este comando, ## es el nmero de Id. del servidor virtual. 6. Reinicie IIS. Para ello, siga estos pasos: a. Haga clic en Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar. b. En el smbolo del sistema, escriba iisreset y presione ENTRAR. c. Escriba exit y presione ENTRAR para cerrar la ventana del smbolo del sistema. Configurar un nombre principal de servicio para la cuenta de usuario de dominio Si la identidad del grupo de aplicaciones para el sitio de Windows SharePoint Services 2.0 se ha configurado para usar una entidad de seguridad integrada (como NT Authority\Network Service o NT Authority\Local System), no tiene que realizar este paso. Las cuentas integradas estn configuradas automticamente para funcionar con autenticacin Kerberos. Si utiliza un servidor remoto de Microsoft SQL Server 2000 y desea utilizar NT Authority\Network Service como cuenta de dominio, tiene que agregar la entrada dominio\nombreDeEquipo$ y configurarla con los permisos Creadores de base de datos y Administradores de seguridad. De este modo, Windows SharePoint Services 2.0 puede conectar con el equipo SQL Server remoto para crear las bases de datos de contenido y configuracin. Si la identidad del grupo de aplicaciones es una cuenta de usuario de dominio, debe configurar un SPN para esa cuenta. Para configurar un SPN para la cuenta de usuario de dominio, siga estos pasos: 1. Descargue e instale la herramienta Setspn.exe de la lnea de comandos. Para ello, visite uno de los siguientes sitios web de Microsoft. Para Microsoft Windows 2000 Server: http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfeff01d29e5c46&amp;DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfeff01d29e5c46&DisplayLang=en) Para Microsoft Windows Server 2003: 892777 (http://support.microsoft.com/kb/892777/ ) Herramientas de soporte tcnico del Service Pack 1 de Windows Server 2003 2. Use la herramienta Setspn.exe para agregar un SPN para la cuenta de dominio. Para ello, escriba la lnea siguiente en el smbolo del sistema y presione ENTRAR, donde nombreDeServidor es el nombre de dominio completo (FQDN) del servidor, dominio es el nombre del dominio y nombreDeUsuario es el nombre de la cuenta de usuario de dominio:

setspn -A HTTP/nombreDeServidor dominio\nombreDeUsuario Configurar la confianza para la delegacin para los elementos web Para configurar el servidor de IIS para que se confe en l para la delegacin, siga estos pasos: 1. Inicie Usuarios y equipos de Active Directory. 2. En el panel de la izquierda, haga clic en Equipos. 3. En el panel derecho, haga clic con el botn secundario del mouse en el nombre del servidor de IIS y, despus, haga clic en Propiedades. 4. Haga clic en la ficha General, active la casilla Confiar en este equipo para delegacin y haga clic en Aceptar. 5. Cierre Usuarios y equipos de Active Directory. Si la identidad del grupo de aplicaciones est configurada para usar una cuenta de usuario de dominio, se confiar en la cuenta de usuario para delegacin antes de poder usar la autenticacin Kerberos. Para configurar la cuenta de dominio de manera que se confe en ella para la delegacin, siga estos pasos: 1. En el controlador de dominio, inicie Usuarios y equipos de Active Directory. 2. En el panel de la izquierda, haga clic en Usuarios. 3. En el panel derecho, haga clic con el botn secundario del mouse en el nombre de la cuenta de usuario y, despus, haga clic en Propiedades. 4. Haga clic en la ficha General, bajo Opciones de la cuenta active la casilla Se confa en la cuenta para su delegacin y, a continuacin, haga clic en Aceptar. 5. Cierre Usuarios y equipos de Active Directory. Si la identidad del grupo de aplicaciones es una cuenta de usuario de dominio, debe configurar un SPN para esa cuenta. Para configurar un SPN para la cuenta de usuario de dominio, siga estos pasos: 1. Descargue e instale la herramienta Setspn.exe de la lnea de comandos. Para ello, visite el siguiente sitio web de Microsoft: http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfeff01d29e5c46&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfeff01d29e5c46&DisplayLang=en) 2. Use la herramienta Setspn.exe para agregar un SPN para la cuenta de dominio. Para ello, escriba la lnea siguiente en el smbolo del sistema y presione ENTRAR, donde nombreDeServidor es el nombre de dominio completo (FQDN) del servidor, dominio es el nombre del dominio y nombreDeUsuario es el nombre de la cuenta de usuario de dominio: Setspn -A HTTP/ServerName Domain\UserName