Wednesday, September 16, 2009

Delegacion credenciales en SQL Server e IIS

Si desea configurar paso de credenciales de kerberos (delegation) entre un IIS y un SQL Server es necesario ejecutar ciertos pasos:

Configurar los SPN correspondientes con SETSPN, verificar que no existan SPN duplicados, esto es dos servicios configurados con dos cuentas distintas, mas informacion en
http://blogs.technet.com/askds/archive/2008/05/29/kerberos-authentication-problems-service-principal-name-spn-issues-part-1.aspx

Configurar Trusted for delegation para las cuentas de las maquinas y las cuentas de los usuarios

Configurar IIS para que utilice kerberos
http://support.microsoft.com/default.aspx?scid=kb;EN-US;215383
cscript adsutil.vbs set w3svc/WebSite/root/NTAuthenticationProviders "Negotiate,NTLM"


Tambien puede utilizar una herramienta creada por Brian Murphy que puede ser accedida en
http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/delegconfig-delegation-configuration-reporting-tool.aspx que verifica de forma automatica todos los errores de configuracion posibles y les dice como arreglarlos.

Se pueden bajar desde http://www.iis.net/downloads/default.aspx?tabid=34&g=6&i=1887

For 2.0+ framework - IIS 6.0, 7.0, 7.5 - http://blogs.iis.net/brian-murphy-booth/archive/2009/04/22/delegconfig-v2-beta.aspx
For 1.1 framework - IIS 5.0, IIS 6.0 - http://www.iis.net/downloads/default.aspx?tabid=34&g=6&i=1434

No comments: