服务器 频道

SCVMM2008实战之配置Windows集成身份验证

  【IT168 专稿】默认情况下,System Center Virtual Machine Manager (VMM) 2008 自助服务门户设置会将 IIS 配置为基于匿名表单的身份验证。但是,可以使用 Windows 集成的身份验证配置自助服务门户,使用户能够启用单一登录。无论是在运行自助服务门户的计算机上还是在其他 Web 服务器上运行 IIS,都可以配置 Windows 集成的身份验证。

  在用作 VMM 服务器的计算机上安装自助服务门户时,对单一登录进行配置

  如果已经在用作 VMM 服务器的计算机上安装有自助服务门户,而且 VMM 服务器在本地系统下运行,则可以使用以下过程启用 Windows 集成的身份验证。

  在 VMM 服务器上安装自助服务门户时,启用 Windows 集成的身份验证

  打开 ISS 管理器,选择计算机名。

  在"功能视图"中,双击"身份验证"。

  禁用除"Windows 身份验证"类型之外的其他所有身份验证类型。

  注意,如果"Windows 身份验证"不可用,则请安装 Web Server (IIS) 角色用的 Windows 身份验证角色服务。

  此时,自助服务门户被配置为用户提供单一登录。

  如果 VMM 服务器在域用户帐户而不是本地系统下运行,请按照向域用户帐户委派信任中的步骤操作。

  在用作 VMM 服务器的计算机之外的计算机上安装自助服务门户时,对单一登录进行配置

  要在作为 VMM 服务器的计算机之外的计算机上为 Windows 集成的身份验证配置自助服务门户,则要求在 Active Directory 中配置 Kerberos 约束委派。约束委派可建立一种信任关系。在这种关系下,在系统上由系统帐户运行的服务与运行 IIS Web 服务器的系统可进行信任通信。

  在用作 VMM 服务器的计算机之外的计算机上安装自助服务门户时,启用 Windows 集成的身份验证

  打开 ISS 管理器,选择计算机名。

  在"功能视图"中,双击"身份验证"。

  禁用除"Windows 身份验证"类型之外的其他所有身份验证类型。

  注意,如果"Windows 身份验证"不可用,则请安装 Web Server (IIS) 角色用的 Windows 身份验证角色服务。

  打开"Active Directory 用户和计算机",找到 IIS 服务器,右键单击 IIS 服务器,然后单击"属性"。

  如果"Active Directory 用户和计算机"不可用,则请安装 Active Directory 域服务工具功能。

  在"委派"选项卡上,选择"仅信任此计算机委派到特定服务",然后选择"仅使用 Kerberos"。

  单击"添加",然后找到 VMM 服务器。

  选择 VMM 服务器的"主机"服务类型,然后单击"确定"。

  此时,自助服务门户被配置为用户提供单一登录。可以用相同方式配置其他 IIS 服务器。
  向域用户帐户委派信任

  在默认情况下,Virtual Machine Manager (VMM) 服务器在本地系统帐户下运行。但是,可以选择将 VMM 服务器设置为在域用户帐户下运行。如果 VMM 服务器在域帐户下运行时要启用 Windows 集成的身份验证,必须向该帐户委派信任。

  完成为自助服务门户配置 Windows 集成的身份验证中有关在与 VMM 服务器相同的计算机上配置 IIS 的步骤后,可使用以下过程向域用户帐户委派信任。
 

  向域用户帐户委派信任

  在命令行中键入以下内容来创建 Kerberos 服务主题名称 (SPN) 来替代 vmmserviceuser 域的用户名。

  setspn -R vmmserviceuser

  确认 SPN 已创建。将看到类似于以下内容的输出:

  Registered ServicePrincipalNames for CN=Self Service Test,CN=Users,DC=contoso,DC=com:

  HOST/vmmserviceuser

  HOST/vmmserviceuser.contoso.com打开"Active Directory 用户和计算机",找到 IIS 服务器,右键单击 IIS 服务器,然后单击"属性"。

  如果"Active Directory 用户和计算机"不可用,则请安装 Active Directory 域服务工具功能。

  在"委派"选项卡上,选择"仅信任此计算机委派到特定服务",然后选择"仅使用 Kerberos"。

  单击"添加",然后找到 VMM 服务器运行的用户。

  选择用户的"主机"服务类型,然后单击"确定"。

  在自助服务门户的 IIS Web 服务器上创建以下注册表项。要打开注册表编辑器,单击"启动"、"运行",然后键入 regedit。

  如果使用注册表编辑器或使用其他方法错误地修改注册表,则可能会出现严重问题。这些问题可能要求重新安装操作系统。Microsoft 不能保证能够解决这些问题。用户须自行承担修改注册表的后果。

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft System Center Virtual Machine Manager Self-Service Portal\Settings

  值名称:VmmServerSPN

  数据类型:REG_STRING

  值数据(示例):HOST/vmmserviceuser

  此时,自助服务门户被配置为提供单一登录。可以用相同方式配置其他 IIS 服务器。
 

0
相关文章