Ir al contenido principal

SHAREPOINT 2013 : USE AD GROUPS ? YES, BUT…DON’T FORGET THE SECURITY TOKEN CACHING: LOGONTOKENCACHEEXPIRATIONWINDOW AND WINDOWSTOKENLIFETIME

 

06 de julio 2013 · por sergeluca · en SharePoint 2013 . ·
Una de las buenas prácticas en materia de seguridad de SharePoint es organizar los usuarios en grupos centralizados (como grupos de Active Directory) gestionados por el servicio de gestión de la identidad de la empresa y para anidar estos grupos en los grupos de seguridad de SharePoint. Este enfoque proporciona una gestión de seguridad fácil
Hay pros y los contras del uso de sólo los grupos de AD, pero básicamente el patrón habitual es:
  • en intranet / extranet: utilizar grupos de anuncios y anidar en grupos de SharePoint
  • en los sitios de colaboración: jugar más con los grupos de SharePoint y menos con grupos de AD (= más flexibilidad en la gestión de la seguridad)
Sin embargo , la semana pasada me di cuenta de que SharePoint no tomó mis modificaciones grupo AD en cuenta.
Uno de mi anuncio usuario contoso \ annab era parte de un grupo de ADdenominada miembros de la intranet .
En mi SP2013 intranet tuve un grupo de miembros de la Intranet (con la edición de nivel de permisos predeterminado).
Todo funcionó a la perfección ... hasta que me quité contoso \ Annab del grupo miembro . Incluso si ella no era parte del grupo más, Annab todavía era capaz de aportar.
Y por lo que yo recordaba, SharePoint 2010 no se comportaba así.
La razón es que por defecto de SharePoint 2013 reclamaciones utilizar la autenticación basada. Así que tenemos que hacer frente a las reclamaciones.
Por defecto, cuando se crea una aplicación web de Administración central, su aplicación web se basa en las reivindicaciones. En mi caso, yo estaba usando notificaciones de Windows muestra-en; las informaciones del grupo AD se convierten en reclamos y empaquetados en token de seguridad emitido por el STS (Security Token Service)
La vida útil de los tokens emitidos a inicios de sesión que utilizan inicio de sesión basado en Windows se define en el WindowsTokenLifetime propiedad del SecurityTokenServiceConfig (el valor predeterminado es de 10 horas)
El LogonTokenCacheExpirationWindow propiedad (10 minutos por defecto) de la SecurityTokenServiceConfig controla cuando SharePoint considerará que el token de seguridad ha caducado y awill pedir al usuario que vuelva a autenticarse con el emisor y obtener un nuevo token. SharePoint comprueba si el token de seguridad ha expirado en el inicio de cada solicitud.
por ejemplo, si WindowsTokenLifetime = 10 minutos y LogonTokenCacheExpirationWindow = 2 minutos
-> Esto significa que después de 10 minutos, 2 minutos = 8 minutos, SharePoint decidirá que el token de seguridad ha caducado.
-> Si el usuario solicita una página de SharePoint nueve minutos después de iniciar sesión, SharePoint comprueba si la sesión está a punto de expirar durante el tiempo en minutos representados por LogonTokenCacheExpirationWindow: en este caso la respuesta es sí, porque nueve más dos es superior al diez .
Estos son los valores por defecto:
imagen
La siguiente secuencia de comandos PowerShell establece la vida útil de 2 minutos (en lugar de 10 horas) y los LogonTokenCacheExpirationWindows a 1 minuto:
 
    • $mysts = Get-SPSecurityTokenServiceConfig
    • $mysts.WindowsTokenLifetime = (New-TimeSpan -Minutes 2)
    • $mysts.LogonTokenCacheExpirationWindow
    • $mysts.Update()

Cuando la señal de seguridad expira, el usuario se supone que volver a autenticarse (En realidad no me di cuenta de que, probablemente hay un NTLM re-negociación bajo la cubierta)
Asegúrese de que el LogonTokenCacheExpirationWindow es pequeño que el WindowsTokenLifetTime, de lo contrario el código de autenticación volverá a AD para la autenticación de nuevo. Y así sucesivamente, de ida y vuelta.

imagen
Con el fin de asegurarse de que Annab será capaz de ver el sitio, le he añadido a la Intranet Visitantes:
imagen
Al hacer clic sobre los miembros de Intranet, se obtiene el siguiente grupo de anuncios:
imagen
En este grupo AG, encontrará Annab:
imagen
Cuando registro en el sitio e ir a una biblioteca de documentos, de hecho Annab tiene los permisos necesarios para agregar documentos:
imagen
Ahora, vamos a eliminar Annab del grupo AD:
imagen
Annab todavía puede contribuir:
imagen
Pero después de 4 o 5 minutos (¿por qué no? 2 minutos, no lo sé todavía) que sólo puede leer, que es lo que yo esperaba.
imagen
Así que en resumen, siempre debe probar su SharePoint intranet / extranet configuración de seguridad mediante la definición de uno o varios usuarios de prueba virtuales que se pueden mover a diferentes grupos de AD, pero no se olvide de cambiar el LogonTokenCacheExpirationWindow y la WindowsTokenLifetime . Y ser paciente, como de costumbre.
En la producción de los valores por defecto debería estar bien.
Más enlaces:







































Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Get SharePoint Online Site and SubSites permission using PowerShell

The below PowerShell script retrieves the following for the given SharePoint Online Site All the Sub-site's URL Security group attached with each Sub-site with their permission level Prerequisites: This PowerShell script uses the latest version of SharePoint Online PnP Module. Download the installer from https://github.com/SharePoint/PnP-PowerShell/releases  Install-Module SharePointPnPPowerShellOnline  Install-Module - Name ' SharePointPnP.PowerShell.Commands.Files.Recurse ' function  connect - site( $webs , $creds ){    Connect - PNPonline  - Url  $webs   - Credentials  $cred     }    function  get - sitepermission( $web , $cred ){    $rec =@()    connect - site  - webs  $web   - creds  $cred     if ( $web   - eq  $parentsitename )  {  #Write-Host "Parent site permission" $web   $Pgroups =Get - PNPGroup  foreach ( $Pgroup   in   $Pgroups )  {  $DLGP  =  ""   |   Select   "SiteUrl" , "GroupName" , "Permiss
Publicar un comentario
Leer más

Find and Delete Orphaned Users in SharePoint

Fuente: http://www.sharepointdiary.com/2012/09/find-and-delete-orphaned-users-in-sharepoint.html Orphaned User? Who are they? Orphaned users are those who have been disabled/removed from Active Directory, but still have permissions to sites, lists and items. Internally, SharePoint keeps them in " UserInfo " table of the content database for meta-data such as created/modified by fields. Its unavoidable in any organization where employees constantly on-boarding and off-boarding. Its really difficult to manage, when it comes to thousands of sub-sites, sites, libraries and lists with their own sets of permissions. Why we care about Orphaned users? It is a best practice to delete orphaned users to keep the farm clean & organized. Also this will solve the problem of deleted active directory users still appearing on the people picker which was discussed here  People Picker not showing users from Active Directory? . If you know the user base or criteria then you can use: Clea
Publicar un comentario
Leer más

Conexión desde casa a una VPN sin perder salida a internet

Solución, asumiendo que estas en Windows: Panel de Control, Conexiones de Red. Clic derecho en la VPN, dale a propiedades. Anda a la pestaña de "Funciones de Red" y selecciona Protocolo Internet TCP/IP y clic en el botón "Propiedades". Ahora hazle clic al botón "Opciones Avanzadas..."En la pestaña "General", desmarca la opción que dice "Usar la puerta de enlace predeterminada en la red remota". Dale a aceptar a todas las ventanitas de opción, y ahora conéctate a la VPN nuevamente. Con eso deberías entrar a la VPN sin perder la conexión local de tu red e internet.
Publicar un comentario
Leer más