ÁghyBlog

A Hungarian SharePoint User Group (HUNSUG) hamarosan újabb találkozót tart, a téma ezúttal a SharePoint 2010 Upgrade.

• Időpont: 2010. szeptember 21. 17:00
• Helyszín: Microsoft Magyarország, Kőrösök terem
• Előadó: Joel Oleson (Online roundtable meeting)

Jelentkezés és bővebb információ a HUNSUG Facebook oldalán.

Ide kapcsolódik a következő változás is. A HUNSUG eddig egy zártkörű site-ot tudhatott magáénak, ám egyre nagyobb igény mutatkozott egy igazi közösségi site iránt. Ezért született meg a HUNSUG hivatalos Facebook oldala, ahol ezentúl minden fontos információt, eseményt, akciót, állásajánlatot, stb. megosztunk Veletek, egymással. Csatlakozz Te is, hogy ne maradj le semmiről!

Természetesen PowerShell René Hézser írja le, hogyan lehet PS-ből letölteni minden előkövetelményt, és hogyan lehet szintén PS-ből automatikusan telepíteni is azokat: How To install SharePoint 2010 prerequisites automatically

Szép!

A SharePoint alapú rendszerek tervezése során gyakran kell szembesülnöm azzal, hogy sokak számára a SharePoint jogosultságkezelése egyfajta misztikum (értem ezalatt az üzemeltetőket, fejlesztőket és végfelhasználókat egyaránt). Pedig a dolog nem is olyan nagy ördöngősség.

A SharePoint maga nem végez felhasználó-hitelesítést (authentication), ezt a feladatot valamelyik alatta lévő rétegre, az ASP.NET-re vagy az IIS-re bízza. Mivel leggyakrabban intranetes portálok kialakítására használják a SharePointot, alapértelmezés szerint az IIS Windows Integrated Authentication van bekapcsolva, ez a felhasználókat az Active Directoryból vagy a helyi számítógép felhasználói közül veszi.

A SharePoint jogosultságkezelése tehát alapértelmezésben Active Directory-alapú, de van lehetőségünk más authentikációs módot is választani (pl. Extranet esetében javasolt a Form Based Authentication, FBA). Ahhoz, hogy a különféle típusú felhasználókat és felhasználói csoportokat egységesen kezelhessük, SharePoint oldalon is lehetőségünk van csoportok definiálására, valamint felhasználók közvetlen hozzáadására. Ezekbe a csoportokba egyedi felhasználók vagy AD csoportok is tartozhatnak, ám SharePoint csoportok egymásba szervezésére nincs lehetőségünk. A különféle tartalmakhoz ezeket a SharePoint csoportokat (valamint az AD csoportokat és felhasználókat) rendelhetjük hozzá különféle jogosultságokkal.

Fontos, hogy azok a felhasználók, akik vagy közvetlenül, vagy valamilyen csoporton keresztül nem kerültek hozzárendelésre semmilyen SharePoint tartalomhoz, nem férhetnek hozzá ezekhez, még csak nem is láthatják ezek létezését. Egyetlen kivétel lehet csupán: ha engedélyeztük az Anonymous hozzáférést (pl. Internet esetében). Ebben az esetben a nem nyilvántartott felhasználók az általános anonim hozzáférési jogokat kapják meg.

A hozzáférést több szinten definiálhatjuk, s ezek között fentről lefelé öröklődhetnek a jogosultságok, vagy minden szinten egyedi jogosultságokat definiálhatunk. Ezek a jogosultsági szintek, tartalmi oldalról a következők:

• site collection
• site
• lista / dokumentumtár
• mappa
• listaelem / dokumentum

Sajnos jogosultságok más dimenzió mentén történő meghatározására nincs lehetőségünk. Így nem határozhatjuk meg, hogy az adott elem bizonyos oszlopait csak a felhasználók egy köre láthassa, s másik oszlophalmazt pedig másik felhasználói csoport. Ugyancsak nincs lehetőségünk arra sem, hogy listanézetekhez definiáljuknk hozzáférési szabályokat.

Jogosultsági szintek, elemi jogok

A fentieken túl természetesen azt is meg kell mondanunk, hogy az adott felhasználó(k), csoport(ok) milyen joggal fér(nek) hozzá az adott tartalmakhoz. Ezt úgy valósíthatjuk meg, hogy az egyes tartalom-csoport(/user) párokhoz hozzárendelünk előre definiált jogosultsági szinteket. Például a Tartalomszerkesztő csoport tagjai a Közérdekű Hírek listához "módosítási" és "értesítésküldő" jogosultsági szinten férnek hozzá.

Ezek a jogosultsági szintek elemi jogokból épülnek fel. Az alapértelmezett, beépített szinteken túl természetesen nekünk is van lehetőségünk újabb jogosultsági szintek definiálására (pl. az "értesítésküldő" szintet senki ne keresse by default ;-)). Néhány elemi jogosultság, melyekből építkezhetünk:

• lista elem létrehozása
• lista elem szerkesztése
• lista elem törlése
• dokumentumverziók megtekintése
• dokumentumverziók törlése
• kivétel felüldefiniálása
• figyelmeztetések küldése/kezelése (más felhasználóknak is!)
• jogosultságok kezelése
• tartalmak létrehozása
• webhelyszerkezet módosítása
• személyes nézet létrehozása
• stb.

Az elemi jogok között olyanokat is találunk, melyek egymásra épülnek, ám szerencsére ezt a SharePoint automatikusan kezeli helyettünk: ha olyan jogot adunk a jogosultsági szintet, amely más jogokra is épít, akkor vizsgálat után bekapcsolja valamennyi szükséges elemi jogot.

Kerberos

A Kerberos az MIT által kifejlesztett, ticketing-alapú authentikációs módszer, amely a jelszó alapú hitelesítés legfontosabb gyengeségeit hivatott kiküszöbölni: A kliens kérésekre a Kerberos szerver egy authentikációs jegyet (ticket) biztosít, amennyiben a kérés érvényes felhasználói azonosítót (user credential) és szolgáltatásazonosítót (Service Principal Name, SPN) tartalmaz. A kliens ezután ezt a ticket-et használja a hálózati erőforrás (esetünkben SharePoint) eléréséhez.

Microsoft Office SharePoint Server 2007 esetében az alábbi egységeket védhetjük Kerberos alapú hitelesítéssel:

• MOSS 2007 és SQL Server közötti kommunikáció;
• SharePoint Central Administration Web Application;
• Shared Services Administration Web Application;
• egyéb, tetszőleges webalkalmazás (felhasználói tartalmak, funkciók, stb.);
• Shared Service-ek.

MOSS 2007 intranet környezet esetében a Kerberos konfigurációja utólag, a telepítést és egyéb beállításokat követően történik. A gördülékeny működés érdekében ezért azt szoktam javasolni, hogy a SharePoint környezet kialakítása az alapértelmezett NTLM authentikációval történjen, s csak később, fokozatosan kerüljön bevezetésre a Kerberos.

Néhány trükk

1. A ticketing miatt a Kerberos csak hosszabb session-ök esetében lesz gyorsabb, mint az egyszerű NTLM. Ezért a Kerberos bevezetése előtt mindenképp érdemes a felhasználói szokásokat, a különféle session-ök időtartamát naplózni és elemezni. Bob Fox és Spence Harbar egyik prezentációjában találtam az alábbi, igen beszédes  összehasonlítást:

2. Kerberos alapú hitelesítést SSP-kre csak a SharePoint Infrastructure Updates (vagy természetesen az SP2) telepítése után alkalmazhatunk.

3. Egy tévhiedelem szerint a MOSS 2007 csak akkor tudja Kerberos-alapú webalkalmazásaink tartalmait felindexelni, ha az a default porton ül (TCP 80 vagy SSL 443), más portok esetében csak NTLM-mel vagy Basic Authentication-nel. – Felejtsük el, ugyanis mindez egyetlen mozdulattal kiküszöbölhető! Mégpedig úgy, ha a nem-alapértelmezett porton található webalkalmazásunkra Host Header-t definiálunk – ekkor ugyanis a SharePoint máris képes lesz bejárni és indexelni annak tartalmát.

Elkészült a SharePoint 2007 SP2 bugfix. Mint azt korábban írtam, az SP2 telepítésekor a MOSS átvált 180 napos trial verzióra, s ha nem adjuk be neki ismételten a Product Key-t, 180 nap után működése megáll. A hotfix segítségével javításra került ez az SP2 hiba, így most már bátran telepíthető.

Bovebb információ és letöltés ITT.

Megjelent végre az SP2. Leginkább Joel írását tudnám ajánlani az SP2 előnyeiről:

Performance Reliability/Stability Fixes

2. Browser support for IE 8 and improvements in tier 2 browsers (Firefox)

3. Reliability improvements in Indexing and Index Corpus

4. Security Improvements

5. New STSADM Commands including some to fix corruption and relationships (orphaning)

BONUS! Pre Upgrade Checker! - 960577 (http://support.microsoft.com/kb/960577/ ) List of all Windows SharePoint Services and SharePoint Server Pre-Upgrade Checker knowledge base articles.  This WILL Be required for the next version.

A hivatalos bejelentés pedig: http://blogs.msdn.com/sharepoint/archive/2009/04/28/announcing-service-pack-2-for-office-sharepoint-server-2007-and-windows-sharepoint-services-3-0.aspx

Ez az év is izgalmasan kezdődik: most jelentek meg ugyanis az első olyan ügyfelek, akik Windows Server 2008-ra upgrade-elnek, így a MOSS 2007 is átkerül erre az op.rendszerre. Nyugaton és az USA-ban lassan már az a meglepő, ha valaki Win2003-at használ, itthon úgy tűnik, most indul a hullám.

Szó ami szó, tegnap telepítenem kellett. Az op.rendszer, Windows 2008 frissen telepítve várt rám, ám sem domain nem volt, sem SQL, szóval volt még alapoznivaló bőven, de ha az emberlánya este 10 körül áll neki, időnk mint a tenger… Fél 2 után már készen is állt minden, hogy a MOSS 2007 elkezdjen felkúszni.

A többi SharePoint MVP-től tudom azonban, hogy ez a scenario elég sok “apró” meglepetéseket tartogathat, így aztán előszedtem minden ide vonatkozó korábbi levelezést és blogpostot, s ezekkel az információkkal felvértezve álltam neki a Nagy Feladatnak. Szerencsémre túl sok falba már nem ütköztem, a legfontosabbakat azonban összefoglalnám:

• A WSS 3.0 nem része a Windows Server 2008-nak, így ha valaki ezt a verziót szeretné telepíteni, külön le kell töltenie;
• A “sima” WSS 3.0 és MOSS 2007 nem megy fel Win2008-ra, úgynevezett slipstream telepítőt kell használni, melyekben már az SP1 is benne van. Ennek készítéséről Hódy Árpád már írt egy cikket, másrészt mind a WSS 3.0 SP1 Slipstream, mind a MOSS 2007 SP1 slipstream készen letölthető, innen már menni fog a dolog.
• Maga a telepítés és a Config Wizard futtatása simán ment, a Central Administration megfelelő működéséhez azonban szükség volt arra, hogy a site-ot az IE Intranet zónájához adjam. Nekem egyszerűen nem ment pl. a Web Application létrehozás (OK gomb lenyomása után semmi nem történt), de pl. Reza JavaScript errorokat is kapott. Nekem elég volt hozzáadni a site-ot az Intranet zónához, majd frissíteni a böngésző tartalmát, ő (és sokan mások) ennél nehezebben tudta csak megoldani a dolgot.

Most jöhetnek az éles telepítések, ügyfeleknél, valódi üzleti környezetben…

Tegnap érdekes tapasztalatot szereztem egy ügyfél-telepítés során. Frissen telepített MOSS farm várt rám, hogy konfiguráljam, illetve másik farmon lévő tartalmakat, custom feature-öket migráljak át rá. Egyszerűnek tűnt a történet: egyetlen MOSS szerver, a háttérben különálló SQL 2005-tel. Egyszerűnek tűnt, de…

A tartalmi adatbázis (content database) készen állt, létrehoztuk az új webalkalmazást (Web application), hozzácsatoltuk a meglévő adatbázist, s minden jónak is tűnt. Ok, a tartalom készen áll, konfiguráljuk és állítsuk be a szükséges dolgokat… Például a keresést, ami aztán tényleg nem lehet bonyolult ezek után: Central Administration, Operations fül, ott pedig Services on Server - indítsuk el a WSS Search Service-t, és az Office Server Search Service-t.

Hoppá! A második service nincs a listában! Sőt, a Server roles lista is teljesen diasbled… Ezért aztán nem tudjuk beállítani a keresést, nem tudunk SSP-t létrehozni, stb. Ha kiadjuk az STSADM -osearch parancsot, “No Search Service” hibaüzenetet kapunk.

Valami tehát op. rendszer vagy adatbázis szinten nem stimmel (igen, a .NET framework 3.5 SP1 történet után kicsit paranoid lettem…). Már a sikítás határán voltam… Szerencsére ehelyett megkérdeztem Bobot és Pault, van-e ötletük. Azt ajánlották, nézzem meg, véletlenül nem Web Front-end telepítés történt-e Complete mód helyett. S lám, a telepítési naplóban találtam egy ilyen bejegyzést: “Setting server role to WFE.”

Itt kezdtem sikítani. A WFE telepítés ugyanis nem teszi lehetővé az Indexing service elindítását.

Szedjünk le mindent, s telepítsük újra az egészet Complete módban, SP1-gyel, Language Pack-kel, stb. És igen: az Office SharePoint Server Search service megjelent a listában, és el tudtuk indítani! Sőt, a Server role lista is működni kezdett, ahogyan azt vártuk is.

A tanulság tehát: a SharePoint telepítés során nagyon könnyű “eltévedni” (akár véletlenül is). Figyeljünk tehát oda, mikor melyik opciót választjuk, különben később lesz nehéz helyrehozni a rendszert. Farmon belül tehát először egy Complete szervert telepítsünk, s csak utána adjunk hozzá Web front-end-eket, de önállóan soha ne hozzunk létre WFE-t!

Paul bejegyzését a beszélgetésünkről az alábbi címen olvashatjátok: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!2748.entry