Llevo tiempo dándole vueltas al tema de las cuentas de SharePoint. En todos los diseños con los que trabajo tengo en cuenta autorización, autenticación, seguridad de colección de sitios, sitio, biblioteca/lista, Sitio de IIS, web app, app pool...creo que no me dejo nada mas...
El caso es que leyendo las especificaciones de MOSS hacen recomendaciones tanto a nivel de Pool como de cuentas de ejecución. Haciendo un análisis de requerimientos he llegado a la siguiente conclusión, en todos los proyectos se realizan las mismas diferenciaciones (por lo general), todo en desarrollo o pruebas se hace con la cuenta de amdin del dominio, cuando se pasa a producción se cambia a cuentas limitadas, por lo que no funciona, así que se vuelve a dejar con cuenta administrador.
Cuentas de seguridad usadas por SharePoint:
- Microsoft Office SharePoint Server 2007 Cuenta de usuario de instalación: Debe ser un administrador en todos los servidores.
- Cuenta de de la granja de servidores:La cuenta de la granja es usada por la aplicación de administración central y el servicio SPTimer(responsable del envío de notifiaciones y de las tareas programadas). Esta cuenta debe ser un administrador en todos los servidores en la granja y debe tener permisos de creador de base de datos y de administrador de Seguridad en el SQL Server.
- Cuenta de administrador de SharePoint: Es definida como "localsystem" o "sistema local" en todos los servidores y es usada para propagar cambios y tareas administrativas a través de la granja.
- Cuenta del proceso del SSP (Proveedor de servicios compartidos):La cuenta es usada por la aplicación web de administración del SSP. Tiene control total a la base de datos de configuración del SSP y debe ser securizada. No puede ser "Network Service" (por defecto) servicio de red en una configuración de granja.
- Cuenta del contenido web del SSP: Provee de acceso a los consumidores de los servicios compartidos. Requiere inicio de sesión del tipo Network_Service.
- Cuenta del proceso de aplicación web (Sites): El proceso de aplicación web provee de isolación a los app pool y acceso a la base de datos de contenido. Una práctica recomendada es tener una cuenta para cada aplicación web creada, teniendo así aislamiento a nivel de aplicación.
- Cuentas de de búsqueda de contenido: Se debe definir una cuenta por defecto de acceso al contenido cuando se habilita el servicio de indexación. Esto deberís ser una cuenta con amplio acceso y su contraseña no debería caducar. Se debería además definir cuentas cuando el acceso a otros orígenes de búsqueda adicionales a los que la cuenta por defecto no tenga acceso. Se pueden crear tantas cuentas como se desee pero SOLO UNA SE PUEDE CONFIGURAR POR ORIGEN DE CONTENIDO.
- Cuenta de acceso a las propiedades y perfiles de usuarios: Si es necesario importar usuarios de orígenes LDAP o dominios adicionales de Active Driectory se necesitara especificar la cuenta de importación en la administración del SSP cuando se cree la conexión de datos de importación.
Cuentas de SQL Server:
0 comentarios:
Publicar un comentario