• Makale

Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma

Genişletilmiş koruma olan bir küme son geliştirmeler, Windows işletim sistemi.Genişletilmiş koruma, kimlik bilgileri ve kimlik bilgileri doğrulaması uygulamaları tarafından nasıl korunabilir geliştirir.Özellik doğrudan kimlik bilgisi iletimi gibi belirli saldırılara karşı koruma sağlamaz, ancak bir altyapı uygulamaları için gibi sağladığı Reporting Services kimlik doğrulaması için genişletilmiş koruma zorlamak için

Ana kimlik doğrulaması genişletilmiş koruma parçası olan geliştirmelerdir hizmet bağlama ve kanal bağlama.Kanal bağlama kanal bağlama belirteci (cbt) iki uç nokta arasında kurulan kanal tehlikede olduğunu doğrulamak için kullanır.Hizmet bağlama tasarlanan doğrulamak için hizmet asıl adları (spn) kullanan hedef kimlik doğrulaması belirteçleri.Genişletilmiş koruma hakkında daha fazla arka plan bilgileri için bkz: Tümleşik Windows kimlik doğrulaması genişletilmiş koruma ile birlikte.

SQL Server 2008 R2 supports and enforces Extended Protection that has been enabled in the operating system and configured in Reporting Services.Varsayılan olarak, Reporting Services , anlaşma veya ntlm kimlik doğrulaması belirtin ve bu nedenle işletim sistemindeki genişletilmiş koruma destek sağlayacağı isteklerini kabul eder ve Reporting Services genişletilmiş koruma özellikleri.

Önemli notÖnemli

Varsayılan olarak, Windows, genişletilmiş koruma etkinleştirmez.Genişletilmiş koruma Windows etkinleştirme hakkında daha fazla bilgi için bkz: Kimlik doğrulaması için genişletilmiş koruma.Bu kimlik doğrulama başarılı olur hem işletim sistemi hem de istemci kimlik doğrulaması yığın genişletilmiş koruma desteklemesi gerekir.Eski işletim sistemleri için yükleme birden fazla tek bir güncelleştirme için bir tam, genişletilmiş koruma hazır bilgisayar gerekebilir.Genişletilmiş koruma ile birlikte son gelişmeler hakkında daha fazla bilgi için bkz: güncelleştirilmiş bilgileri genişletilmiş koruma ile birlikte.

Raporlama Hizmetleri genişletilmiş koruma genel bakış

SQL Server 2008 R2 Reporting Services supports and enforces extended protection that has been enabled in the operating system. If the operating system does not support extended protection or the feature in the operating system has not been enabled, the Reporting Services extended protection feature will fail authentication. Reporting Services Extended Protection also requires an SSL Certificate.Daha fazla bilgi için bkz. Güvenli Yuva Katmanı (ssl) bağlantıları için rapor sunucusu yapılandırma

Önemli notÖnemli

Varsayılan olarak, Reporting Services sağlamaz genişletilmiş koruma.The feature can be enabled by modifying the rsreportserver.config configuration file or using WMI APIs to update the configuration file.SQL Server 2008 R2 does not provide a user interface to modify or view extended protection settings.Daha fazla bilgi için bkz: yapılandırma ayarlarını Bu bölümde.

Genişletilmiş koruma ayarları veya hatalı yapılandırılmış ayarları değişiklikleri nedeniyle ortaya çıkan yaygın sorunları yok olması sunulur belirgin hata iletileri veya iletişim windows ile.Genişletilmiş koruma yapılandırma ve uyumluluk sonuçlanır kimlik doğrulaması hataları ve hataların ilgili sorunların Reporting Services izleme günlüklerini inceleyin.Genişletilmiş koruma ile doğrulama ve sorunlarını giderme hakkında bilgi için Reporting Servicesbakın Genişletilmiş Koruma (Raporlama Servisleri) sorun giderme

Önemli notÖnemli

Microsoftsql istemcisi değil güncelleştirilmiştir genişletilmiş koruma at desteklemek için saat , SQL Server 2008 R2 yayın.sql istemcisi bağlanmak için kullanılan sql Server veri kaynakları ve çok Reporting Services Katalog Veritabanı.sql istemcisi etkileri, bu sınırlama Reporting Services aşağıdaki şekillerde:

Çalışan sql Server Reporting Services Katalog Veritabanı yapamazsınız genişletilmiş koruma etkinleştirilmiş veya rapor sunucusu başarıyla katalog veritabanına bağlanmak ve dönüş kimlik doğrulaması hataları.

Olarak kullanılan sql Server Reporting Services rapor veri kaynakları, genişletilmiş koruma etkin olamaz veya bağlanmak için veri kaynak başarısız ve dönüş rapor rapor sunucusu olarak çalışır. kimlik doğrulaması hataları Olası iş çevresine değiştirmektir Reporting Services veri kaynaklarını kullanmak doğal sağlayıcıları ve değil sql istemci.Örneğin, odbc sürücüsünün veri kaynaklarını yapılandırın ve sonra sql Native Client, genişletilmiş koruma desteği, kullanılacak.

Yükseltme

  • Yükseltme bir Reporting Services sunucuya SQL Server 2008 R2 yapılandırma ayarlarını varsayılan değerlerine sahip ekler rsreportserver.config dosyası.Ayarlar zaten, yoktu, SQL Server 2008 R2 Yükleme bunları korumak rsreportserver.config dosyası.

  • Ne zaman yapılandırma ayarlarını eklenen rsreportserver.config yapılandırma dosyası, varsayılan davranıştır için Reporting Services genişletilmiş koruma özelliğini kapalı ve bu konuda ileride açıklandığı özelliğini etkinleştirmeniz gerekir. Daha fazla bilgi için bkz: yapılandırma ayarlarını Bu bölümde.

  • Ayar için varsayılan değer RSWindowsExtendedProtectionLevel olan Off.

  • Ayar için varsayılan değer RSWindowsExtendedProtectionScenario olan Proxy.

  • SQL Server 2008 R2Yükseltme Danışmanı'nı değil doğrulamak için işletim sistemi veya geçerli yüklemesinin Reporting Services genişletilmiş koruma desteği etkinleştirilmiş olan.

Reporting Services hangi genişletilmiş koruma kapak

Aşağıdaki özellik alanları ve senaryolar tarafından desteklenmeyen genişletilmiş koruma özelliğini:

  • Yazarlar, Reporting Services özel güvenlik uzantıları gerekir için genişletilmiş koruma için destek Eklekendi özel güvenlik uzantısı.

  • Üçüncü parti bileşenler eklenebilir veya tarafından kullanılan bir Yükleme güncelleştirildi, desteklemek için üçüncü taraf satıcı tarafındangenişletilmiş koruma. Daha fazla bilgi için üçüncü taraf satıcısına başvurun.

Dağıtım senaryoları ve öneriler

Aşağıdaki senaryolar farklı dağıtımları ve topoloji ve onlarla güvenliğini sağlamak için önerilen yapılandırma gösterilmektedir Reporting Services genişletilmiş koruma.

Doğrudan

Bu senaryo, bir rapor sunucusu için örneğin, bir intranet ortamında doğrudan bağlanmayı açıklar.

Senaryo

Senaryosu Diyagramı

Güvenli duruma getirme

Doğrudan ssl iletişim.

Rapor sunucusu raporu sunucu kanal bağlama için istemci zorunlu kılar.

 Uzatılmış Koruma SSL ile Doğrudan erişim

1) İstemci uygulaması

2) Rapor sunucusu

  • ssl kanalı kanal bağlama için kullanılacak hizmet bağlama gerekli değildir, çünkü.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Direct.

Doğrudan http iletişim.Rapor sunucusu rapor sunucusu için hizmet bağlama istemci zorunlu kılar.

 Uzatılmış Koruma ve doğrudan erişim

1) İstemci uygulaması

2) Rapor sunucusu

  • ssl kanal kanal bağlamasının hiçbir zorlama bu nedenle mümkündür.

  • Hizmet bağlama doğrulanabilir, ancak kanal bağlama olmadan tam bir savunma değil ve kendi başına hizmet bağlama yalnızca temel tehditlere karşı koruma sağlar.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

Proxy ve Ağ Yükü Dengeleme

İstemci uygulamaları, bir aygıt veya yazılım ssl gerçekleştiren ve kimlik bilgileri sunucu kimlik doğrulaması için örneğin, extranet, Internet veya Intranet güvenli geçirir bağlayın.istemci bir Proxy sunucuya bağlanır veya tüm istemciler bir proxy sunucu kullanın.

Bir Ağ Yükü Dengeleme (nlb) aygıtı kullanırken durum aynıdır.

Senaryo

Senaryosu Diyagramı

Güvenli duruma getirme

http iletişim.Rapor sunucusu kullanılmasını zorunlu istemci için rapor sunucusu hizmet bağlama.

 RS Uzatılmış Koruma Dolaylı erişim

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

  • ssl kanal kanal bağlamasının hiçbir zorlama bu nedenle mümkündür.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

  • Emin olmak için proxy sunucusunun adını öğrenmek için rapor sunucusu yapılandırılmış olmalıdır hizmet bağlama doğru şekilde zorlanır.

http iletişim.

Rapor sunucusu kullanılmasını zorunlu istemci kanal Proxy bağlama için ve istemci için rapor sunucusu hizmet bağlama.

 RS Uzatılmış Koruma SSL ile Dolaylı Erişim

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

  • Proxy için ssl kanalı bu nedenle kanal bağlama proxy için zorunlu bulunmaktadır.

  • Hizmet bağlama da yaptırılabilir.

  • Proxy adı rapor sunucusu bilinmesi ve rapor sunucusu yöneticisi url ayırma, bir ana bilgisayar üstbilgisi ile oluşturabilir veya Proxy adı Windows kayıt defteri girdisini yapılandırmak BackConnectionHostNames.

RSWindowsExtendedProtectionLevelto Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Güvenli proxy ile dolaylı https iletişimi.Rapor sunucusu istemci proxy kanal bağlama ve rapor sunucusu hizmet bağlama istemciye zorunlu kılar.

 Uzatılmış Koruma dolaylı erişim SSL ve HTTPS

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

  • Proxy için ssl kanalı bu nedenle kanal bağlama proxy için zorunlu bulunmaktadır.

  • Hizmet bağlama da yaptırılabilir.

  • Proxy adı rapor sunucusu bilinmesi ve rapor sunucusu yöneticisi url ayırma, bir ana bilgisayar üstbilgisi ile oluşturabilir veya Proxy adı Windows kayıt defteri girdisini yapılandırmak BackConnectionHostNames.

RSWindowsExtendedProtectionLevelto Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Ağ geçidi

Bu senaryoda, bir aygıt veya kullanıcının kimliğini doğrular ve ssl gerçekleştiren yazılım bağlanan istemci uygulamaları açıklanmaktadır.Rapor sunucusu için bir istekte önce sonra aygıt veya yazılım kullanıcı içerik veya bir başka kullanıcı içeriği taklit.

Senaryo

Senaryosu Diyagramı

Güvenli duruma getirme

Dolaylı http iletişim.

Ağ geçidi istemci ağ geçidi kanal bağlama için zorunlu kılar.Rapor sunucusu hizmet bağlama için ağ geçidi vardır.

 RS Uzatılmış Koruma SSL ile Dolaylı Erişim

1) İstemci uygulaması

2) Rapor sunucusu

3) Ağ geçidi aygıtı

  • Sunucudan istemciye kanal bağlama rapor sunucusu mümkün değil çünkü ağ geçidi bir içeriği temsil eder ve bu nedenle yeni bir ntlm belirteci oluşturur.

  • Yok yok ssl kanal bağlama bu nedenle, rapor sunucusu ağ geçidinden zorlanamaz.

  • Hizmet bağlama yaptırılabilir.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

  • Ağ geçidi aygıtı, kanal bağlama zorlamak için Yöneticisi tarafından yapılandırılmalıdır.

Güvenli bir ağ geçidi ile dolaylı https iletişim.Ağ geçidi istemci ağ geçidi kanal bağlama için zorunlu kılar ve rapor sunucusu rapor sunucusu kanal bağlama için ağ geçidi zorunlu kılar.

 Uzatılmış Koruma dolaylı erişim SSL ve HTTPS

1) İstemci uygulaması

2) Rapor sunucusu

3) Ağ geçidi aygıtı

  • Sunucudan istemciye kanal bağlama rapor sunucusu mümkün değil çünkü ağ geçidi bir içeriği temsil eder ve bu nedenle yeni bir ntlm belirteci oluşturur.

  • ssl, rapor ağ geçidinden sever kanal bağlama zorlanan anlamına gelir.

  • Hizmet bağlama gerekli değildir.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Direct.

  • Ağ geçidi aygıtı, kanal bağlama zorlamak için Yöneticisi tarafından yapılandırılmalıdır.

Bileşimi

Bu senaryoda, istemci bir Proxy nereye bağlanır Extranet veya Internet ortamları anlatılmaktadır.Burada rapor sunucusu için bir istemci bağlayan bir intranet ortamı ile birlikte olmasıdır.

Senaryo

Senaryosu Diyagramı

Güvenli duruma getirme

Dolaylı ve doğrudan istemciden gelen rapor sunucusuna erişim hizmet sever her iki istemci proxy veya raporu için İstemci ssl olmayan bağlantılar.

 Uzatılmış Koruma karma ortam

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

4) İstemci uygulaması

  • Sunucudan istemciye hizmet bağlama rapor sunucusu yaptırılabilir.

  • Proxy adı rapor sunucusu bilinmesi ve rapor sunucusu yöneticisi url ayırma, bir ana bilgisayar üstbilgisi ile oluşturabilir veya Proxy adı Windows kayıt defteri girdisini yapılandırmak BackConnectionHostNames.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

Dolaylı ve doğrudan erişim istemcisinden rapor sunucusu burada istemci proxy veya rapor sunucusu için bir ssl bağlantısı kurar.

 Uzatılmış Koruma SSL ile karma

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

4) İstemci uygulaması

  • Kanal bağlama kullanılabilir

  • Proxy adı rapor sunucusu bilinmesi ve rapor sunucusu yöneticisi url ayırma için bir ana bilgisayar üstbilgisi ile proxy oluşturabilir veya Proxy adı Windows kayıt defteri girdisini yapılandırmak BackConnectionHostNames.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Genişletilmiş Rervices bildirdiği korumasını yapılandırma

The rsreportserver.config file contains the configuration values that control the behavior of Reporting Services extended protection.

Düzenleme ve kullanma hakkında daha fazla bilgi için rsreportserver.config , dosya Bkz: RSReportServer Yapılandırma dosyası.Genişletilmiş koruma ayarları da değiştirilebilir ve WMI API'leri kullanarak kontrol edilebilir.Daha fazla bilgi için bkz: SetExtendedProtectionSettings yöntemi (WMI MSReportServer_ConfigurationSetting).

Ne zaman yapılandırma ayarlarını kimlik doğrulaması başarısız, kimlik doğrulaması türleri RSWindowsNTLM, RSWindowsKerberos ve RSWindowsNegotiate devre dışı bırakılır rapor sunucusu.

Raporlama Hizmetleri genişletilmiş koruma için yapılandırma ayarları

Aşağıdaki tablo görünen yapılandırma ayarları hakkında bilgi sağlayan rsreportserver.config için genişletilmiş koruma.

Ayarı

Açıklama

RSWindowsExtendedProtectionLevel

Zorlama genişletilmiş koruma derecesini belirtir.Valid values are Off, Allow, and Require.

Varsayılan değer Off.

Değeri Off belirtir hiçbir kanal bağlama veya hizmet bağlama doğrulaması.

Değeri Allow genişletilmiş koruma destekler, ancak it. gerektirmezİzin ver değerini belirtir:

  • Genişletilmiş koruma destekleyen işletim sistemleri üzerinde çalışan istemci uygulamaları için genişletilmiş koruma uygulanır.Koruma nasıl zorlanır ayarı belirlenen RsWindowsExtendedProtectionScenario.

  • Kimlik doğrulaması için genişletilmiş koruma özelliğini desteklemeyen işletim sistemleri üzerinde çalışan uygulamalara verilir.

Değeri Require belirtir:

  • Genişletilmiş koruma destekleyen işletim sistemleri üzerinde çalışan istemci uygulamaları için genişletilmiş koruma uygulanır.

  • Kimlik doğrulama olur değil izin verilen, genişletilmiş koruma özelliğini desteklemeyen işletim sistemleri üzerinde çalışan uygulamalar için.

RsWindowsExtendedProtectionScenario

Genişletilmiş Koruma'nın hangi formları doğrulandığı belirtir: Kanal bağlama, hizmet bağlama veya her ikisi.Valid values are Any, Proxy, and Direct.

Varsayılan değer Proxy.

Değeri Any belirtir:

  • Anlaşma, Kerberos ve Windows ntlm kimlik doğrulaması ve kanal bağlama gerekli değildir.

  • Hizmet bağlama zorlanır.

Değeri Proxy belirtir:

  • Kanal bağlama belirteci varsa, Windows ntlm, Kerberos ve Anlaşma kimlik doğrulaması.

  • Hizmet bağlama zorlanır.

Değeri Direct belirtir:

  • Bir cbt olduğunda Windows ntlm, Kerberos ve Anlaşma kimlik doğrulaması, geçerli hizmet için bir ssl bağlantısı var, ve cbt ssl bağlantısı için ntlm Kerberos, cbt eşleşen veya belirteç anlaşma.

  • Hizmet bağlama zorlanmaz.

NotNot
Bu ayar gözardı edilir RsWindowsExtendedProtectionLevel olarak küme OFF.

Örnekte girişlerinin rsreportserver.config yapılandırma dosyası:

<Authentication>
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>

Hizmet bağlama ve içerdiği SPN'ler

Service binding uses Service Principal Names or SPN to validate the intended destination of authentication tokens.Reporting Services uses the existing URL reservation information to build a list of SPNs that are considered valid.spn hem de url rezervasyonları doğrulamak için url rezervasyon bilgileri kullanarak, her ikisi de tek bir konumdan yönetmek sistem yöneticileri sağlar.

Rapor sunucusu başlatılırsa, genişletilmiş koruma için yapılandırma ayarları değiştirildiğinde veya uygulama etki alanı geri dönüştürülmesi durumunda geçerli SPN'ler listesi güncelleştirilir.

SPN'ler geçerli listesini, her uygulama için özeldir.Örneğin, Rapor Yöneticisi ve rapor sunucusu her hesaplanan geçerli SPN'ler farklı bir listesi olacaktır.

Bir uygulama için hesaplanan geçerli SPN'ler listesi aşağıdaki etkenlere göre belirlenir:

  • Her url ayırma.

  • Her bir spn, Raporlama Hizmetleri hizmet hesabı için etki alanı denetleyicisinden alınan.

  • url ayırma joker karakterler içeriyorsa ('* ' ya da '+'), rapor sunucusu ana bilgisayarlardan her giriş ekleyecektir sonra koleksiyon.

Ana koleksiyon kaynakları.

Aşağıdaki tablo ana koleksiyonu için olası kaynaklarını listeler.

Kaynak türü

Açıklama

ComputerNameDnsDomain

Yerel bilgisayara atanmış dns etki alanı adı.Yerel bilgisayar bir küme düğümünde, küme sanal sunucusunun dns etki alanı adı kullanılır.

ComputerNameDnsFullyQualified

Yerel bilgisayarı benzersiz olarak tanımlayan tam dns adı.Bu ad dns ana bilgisayar adı ve form kullanarak dns etki alanı adı birleşimidir ana bilgisayar adı.EtkiAlanıAdı.Yerel bilgisayar bir küme düğümünde, küme sanal sunucusunun tam dns adı kullanılır.

ComputerNameDnsHostname

Yerel bilgisayarın dns ana bilgisayar adı.Yerel bilgisayar bir küme düğümünde, küme sanal sunucusunun dns ana bilgisayar adı kullanılır.

ComputerNameNetBIOS

Yerel bilgisayarın NetBIOS adı.Yerel bilgisayar bir küme düğümünde, küme sanal sunucusunun NetBIOS adı kullanılır.

ComputerNamePhysicalDnsDomain

Yerel bilgisayara atanmış dns etki alanı adı.Bir kümedeki bir düğümde yerel bilgisayardır, yerel bilgisayarın dns etki alanı adı kullanılır, küme sanal sunucusunun adı değil.

ComputerNamePhysicalDnsFullyQualified

Bilgisayarın benzersiz olarak tanımlayan tam dns adı.Yerel bilgisayar bir kümedeki bir düğümün, yerel bilgisayarın tam dns adı ise kullanılan değil küme sanal sunucusunun adı.

Tam dns adı dns ana bilgisayar adı ve form kullanarak dns etki alanı adı birleşimidir ana bilgisayar adı.EtkiAlanıAdı.

ComputerNamePhysicalDnsHostname

Yerel bilgisayarın dns ana bilgisayar adı.Bir kümedeki bir düğümde yerel bilgisayardır, yerel bilgisayarın dns ana bilgisayar adı kullanılır, küme sanal sunucusunun adı değil.

ComputerNamePhysicalNetBIOS

Yerel bilgisayarın NetBIOS adı.Yerel bilgisayar bir düğüm bir küme, yerel bilgisayarın NetBIOS adını, küme sanal sunucusunun adını değil ise.

SPN'ler eklendikçe, izleme günlüğüne aşağıdakine benzer bir girdi eklenir:

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

Daha fazla bilgi için bkz: Nasıl yapılır: Bir rapor sunucusu için bir hizmet asıl adı (spn) kaydettirin. ve url ayırma ve kayıt (Raporlama Hizmetleri) hakkında.