Sharepoint学习笔记—习题系列--70-576习题解析 -(Q63-Q65)

Question 63
You are designing a SharePoint 2010 implementation that will be used by a company with a variety of authentication systems. The authentication system must provide:
.Authentication for Windows-based and Linux-based systems
.Support for multiple authentication types
.Strong real-time authentication for applications
.Delegation of user identity among applications
You need to use standard SharePoint 2010 technologies to meet all these requirements. Which authentication model should you design for the SharePoint farm?
A. Claims based
B. Forms based
C. Kerberos
D. Windows

解析：
  你为一家公司设计Sharepoint2010应用,此应用需要基于多种身份认证方式，你的认证系统必须支持:
要求1.基于Windows和Linux系统的身份认证 
要求2.同时支持多种认证类型
要求3.提供应用程序强大的实时认证
要求4.在应用程序中可以提供用户标识委托
你需要基于Sharepoint2010所提供的标准技术来达到上述认证要求。
  首先,根据要求1,可以排除选项D ,因为很显然Windows 身份认证仅是针对Window系统的，而要求1还要求支持Linux系统。其次，根据要求2,需要同时支持多种认证类型，我们就只有排除选项B.C了，因为它们都只属于多种认证类型中的一种。只有选项A符合本题题意，
 
因此本题答案应该选 A

参考 
http://msdn.microsoft.com/zh-cn/library/hh147177(v=office.14).aspx

Question 64
You are designing a Web application for a SharePoint 2010 system. You need to plan an authorization system that meets the following requirements:
.It must enforce uniform security throughout all site collections at the Web application or zone level.
.It must use Windows authentication.
.It must assign a role incorporating a collection of rights to individual SharePoint 2010 users or domain groups.
.It must specify the rights for a user or group in the Web application based on an Active Directory (AD) user or group account.
.The rights should not be shared across other Web applications.
You need to design a plan that provides specific control of SharePoint object access and meets all requirements. Which approach should you recommend?
A. Create custom SharePoint roles and assign AD users and groups to the roles.
B. Create a security policy in the web.config file for the Web application. Add AD users and groups to the policy.
C. Create a forms-based authentication and set the Zone to Extranet for the Web application. Specify a custom role provider that maps to a custom Microsoft SQL Server database for users and groups.
D. Create a custom authentication provider based on Kerberos for the Web application. Specify roles for the users and groups in a Lightweight Directory Access Protocol (LDAP) directory.

解析：
   你在设计一个Sharepoint2010应用程序时需要基于如下要求考虑其认证方式的实现：
要求1.必须在Web application或者zone级别的全部网站集上强制实行统一的的安全策略
要求2.必须使用Windows身份认证
要求3.必须可以为Sharepoint的单独的用户或域内的某个组指派角色并配以相应的权限集
要求4.必须可以为Web application内的单独用户或组(他们基于域内的用户与组创建)指定相应的权限。
要求5.权限不能在Web applications 之间共享。
  你所设计的方案必须满足上述要求，并且还需要提供对Sharepoint对象特定的访问控制。
  根据要求2，直接可以排除选项C.D,因为Form 身份认证与Kerberos身份认证均是与Windows身份认证不同的身份认证方式。
   再根据要求1，可以排除选项A，因为创建用户Sharepoint角色是针对的在网站或网站集级别创建,并没有跨越Web application或者zone级别。
   而选项B由于直接控制的是Web.config，此配置文件本来就可以针对Web Application起作用，且通过引入了AD用户与安全策略来实现本题要求。
因此本题答案应该选 B

参考 
http://msdn.microsoft.com/zh-cn/library/907hb5w9(v=vs.100).aspx
http://msdn.microsoft.com/zh-cn/library/ms414036.aspx
http://msdn.microsoft.com/zh-cn/library/wyts434y(v=vs.100).aspx

Question 65
You are designing a SharePoint 2010 application that contains a Web Part. The Web Part must connect to an RSS data stream provided by a Web service. The Web service is on another server in the domain. You need to recommend an authentication approach that meets the following requirements:
.SharePoint users must not be required to supply additional credentials for the Web service.
.Standard authentication systems available to SharePoint 2010 must be used.
Which authentication approach should you recommend?
A. NTLM
B. Forms-based authentication (FBA)
C. Kerberos
D. Lightweight Directory Access Protocol (LDAP)

解析：
  你在设计一个包含有某个Web Part的Sharepoint2010应用程序，此Web Part可以通过RSS从一个Web Service那儿获取数据, 此Web Service由域内的另一台服务器提供。你需要推荐一个认证方式以满足如下要求:
.Sharepoint用户不需要提供额外的凭证就能访问那个Web Service.
.必须使用Sharepoint2010标准的认证系统。 
  下面我们分别分析各选项:

选项A. NTLM : 在使用NTLM协议时，客户端发送用户名到服务器端；服务器生成一个challenge并发送给客户端；客户端使用用户的密码来加密这个challenge，然后发送response到服务器端。如果该账号是一个本机账号，那么服务器使用Security Account Manager来验证用户；如果账号是一个域账号，那么服务器把这个response请求转送到域控制器(DC)上来让域控制器调用组安全策略来做用户认证，然后服务器就可以构建一个安全令牌并建立一个session。
     如果使用NTLM访问同一个域内的Web Service，你仍然需要传递Web Service所在的服务器授权的合法用户凭证(可能是域用户或者服务器上的本地用户凭证)，也就是仍需要提供额外的凭证。否则你就会遇到"The HTTP request is unauthorized with client authentication scheme 'Anonymous'. The authentication header received from the server was 'Negotiate,NTLM'."报错。

选项B. Forms-based authentication (FBA) ：Forms 身份验证使用客户端重定向来将未经过身份验证的用户重定向至一个 HTML 表单，用户可以在该表单中输入凭据，通常是用户名和密码。 确认凭据有效后，系统会将用户重定向至他们最初请求的页面。很明显，它需要用户提供额外的凭证，所以被排除。

选项C. Kerberos :  Kerberos 是一种网络身份验证协议，它提供了一种用于对网络上的客户端和服务器实体（安全主体）进行身份验证的极为安全的方法。这些安全主体使用基于主密钥和加密票证的身份验证。
在 Kerberos 协议模式中，每个客户端/服务器连接开始时都会进行身份验证。客户端和服务器轮流依次执行一系列操作，这些操作用于向连接每一端的一方确认另一端的一方是真实的。如果身份验证成功，则会话设置完成，从而建立了一个安全的客户端/服务器会话。
下面列出了 Kerberos 身份验证的其中一些主要优点：
• 相互验证身份。客户端可以验证服务器主体的身份，服务器也可以验证客户端。尽管可以在两个服务器之间建立安全的网络连接，但本文档自始至终都将这两个实体称为“客户端”和“服务器”。
• 安全的身份验证票证。仅使用加密票证，且密码绝不会包含在票证中。
• 集成的身份验证。用户登录后，只要客户端票证未过期，该用户就无需再次登录便可访问支持 Kerberos 身份验证的任何服务。每个票证都具有一个生存期，此生存期由生成此票证的 Kerberos 领域的策略决定。
Kerberos 提供了一种先在实体之间相互验证身份再建立安全网络连接的机制。Kerberos 利用密钥发行中心 (KDC) 这个可信的第三方来帮助生成和安全分发身份验证票证和对称会话密钥。KDC 以服务的形式运行在安全的服务器上，并为其领域中所有的安全主体维护一个数据库。对 Kerberos 而言，领域相当于一个 Windows 域。
在 Windows 环境中，对 KDC 的操作由域控制器进行，并且操作时通常会用到 Active Directory。所有 Windows 域用户实际上都是 Kerberos 主体，因而都可以使用 Kerberos 身份验证。

选项D. Lightweight Directory Access Protocol (LDAP) LDAP是一种协议，它可提供到一般管理性目录服务的访问。在LDAP中提供三种认证机制，即匿名、基本认证和SASL（Simple Authentication and Secure Layer）认证。匿名认证即不对用户进行认证，该方法仅对完全公开的方式适用；基本认证均是通过用户名和密码进行身份识别，又分为简单密码和摘要密码认证；SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。
此选项不符合要求2，即必须使用Sharepoint2010标准的认证系统，
因此本题答案应该选 C

参考 
http://msdn.microsoft.com/zh-cn/library/cc280744.aspx
http://forums.asp.net/t/1689809.aspx/1
http://msdn.microsoft.com/zh-cn/library/ff647076.aspx#XSLTsection133121120120