TechNet
Exporter (0) Imprimer
Développer tout

Protection étendue de l'authentification avec Reporting Services

 

S'applique à: SQL Server 2016

La protection étendue est un ensemble d'améliorations apportées aux dernières versions du système d'exploitation Microsoft Windows. La protection étendue améliore la manière dont les applications protègent les informations d'identification et l'authentification. La fonctionnalité ne fournit pas directement de protection contre des attaques spécifiques telles que le transfert d'informations d'identification, mais offre une infrastructure aux applications telles que Reporting Services afin d'appliquer la protection étendue de l'authentification.

La liaison de service et la liaison de canal figurent parmi les améliorations d'authentification les plus importantes de la protection étendue. La liaison de canal utilise un jeton de liaison de canal (FAO) afin de vérifier que le canal établi entre deux points d'arrêt n'a pas été compromis. La liaison de service utilise les noms de principaux du service (SPN) pour valider la destination prévue de jetons d'authentification. Pour plus d’informations sur la protection étendue, consultez l’authentification Windows intégrée avec Protection étendue.

SQL Server 2016 Reporting Servicesprend en charge et applique la protection étendue qui a été activée dans le système d’exploitation et configurée dans Reporting Services. Par défaut, Reporting Services accepte les demandes qui spécifient l'authentification Negotiate ou NTLM et peut donc tirer parti de la prise en charge de la protection étendue dans le système d'exploitation et des fonctionnalités de la protection étendue de Reporting Services .

System_CAPS_ICON_important.jpg Important


Par défaut, Windows n'active pas la protection étendue. Pour plus d'informations sur l'activation de la protection étendue dans Windows, consultez Protection étendue de l'authentification. Le système d'exploitation et la pile d'authentification du client doivent tous les deux prendre en charge la protection étendue pour que l'authentification aboutisse. Vous devrez peut-être installer plusieurs mises à jour sur les systèmes d'exploitation plus anciens pour bénéficier d'une protection étendue à jour et prête à l'emploi sur l'ordinateur. Pour plus d’informations sur les développements récents de protection étendue, consultez informations mises à jour avec la Protection étendue.

SQL Server 2016 Reporting Services prend en charge et applique la protection étendue qui a été activée dans le système d'exploitation. Si le système d'exploitation ne prend pas en charge la protection étendue ou si la fonctionnalité n'a pas été activée dans le système d'exploitation, la fonctionnalité de protection étendue de Reporting Services ne parviendra pas à effectuer l'authentification. Reporting Services requiert également un certificat SSL. Pour plus d’informations, consultez configurer des connexions SSL sur un serveur de rapports en Mode natif

System_CAPS_ICON_important.jpg Important


Reporting Services n'active pas la protection étendue par défaut. La fonctionnalité peut être activée en modifiant le fichier de configuration rsreportserver.config ou en utilisant les API WMI pour mettre le fichier de configuration à jour. SQL Server 2016Reporting Services ne propose pas d’interface utilisateur pour modifier ou visualiser les paramètres de protection étendus. Pour plus d'informations, consultez la section des paramètres de configuration dans cette rubrique.

Les problèmes courants qui se produisent à cause des modifications des paramètres de protection étendue ou de paramètres mal configurés ne décrivent pas les messages d'erreur ou les boîtes de dialogue habituelles. Les problèmes sur la configuration et la compatibilité de la protection étendue aboutissent à des échecs et des erreurs d'authentification dans les journaux de trace Reporting Services .

System_CAPS_ICON_important.jpg Important


Certaines technologies d'accès aux données peuvent ne pas prendre en charge la protection étendue. Une technologie d'accès aux données est utilisée pour se connecter aux sources de données SQL Server et à la base de données du catalogue Reporting Services . L'échec d'une technologie d'accès aux données dans la prise en charge de la protection étendue a les conséquences suivantes sur Reporting Services :

  • La protection étendue ne peut être activée sur le serveur SQL Server qui exécute la base de données du catalogue Reporting Services et le serveur de rapports ne parvient pas à se connecter à la base de données de catalogue et renvoie des erreurs d'authentification.
  • Les serveurs SQL Server utilisés comme sources de données de rapport Reporting Services ne peuvent bénéficier de la protection étendue ou essayant, par le biais du serveur de rapports, de se connecter à la source de données de rapport échouent et retournent des erreurs d'authentification.

La documentation pour une technologie d'accès aux données doit disposer d'informations sur la prise en charge de la protection étendue.

Mise à niveau

  • La mise à niveau un Reporting Services serveur SQL Server 2016 ajoute des paramètres de configuration avec les valeurs par défaut pour les rsreportserver.config fichier. Si les paramètres ont été déjà présents, le SQL Server 2016 installation les laisse dans le rsreportserver.config fichier.

  • Lorsque les paramètres de configuration sont ajoutés à la rsreportserver.config fichier de configuration, le comportement par défaut est le Reporting Services fonctionnalité de protection étendue est désactivé et vous devez activer la fonctionnalité comme décrit dans cette rubrique. Pour plus d'informations, consultez la section des paramètres de configuration dans cette rubrique.

  • La valeur par défaut du paramètre RSWindowsExtendedProtectionLevel est Off.

  • La valeur par défaut du paramètre RSWindowsExtendedProtectionScenario est Proxy.

  • SQL Server 2016 ne vérifie pas que la protection étendue est activée sur le système d'exploitation ou l'installation actuelle de Reporting Services .

Champs non couverts par la protection étendue de Reporting Services

Les fonctionnalités et scénarios suivants ne sont pas pris en charge par la fonctionnalité de protection étendue Reporting Services :

  • Les auteurs des extensions de sécurité personnalisées Reporting Services doivent insérer la prise en charge de la protection étendue à leur extension de sécurité personnalisée.

  • Les composants tiers ajoutés ou utilisés par une Reporting Services installation doit être mis à jour par le fournisseur tiers, pour prendre en charge la protection étendue. Pour plus d'informations, contactez le fournisseur tiers.

Les scénarios suivants illustrent plusieurs déploiements et topologies ainsi que la configuration recommandée afin de les sécuriser par la protection étendue Reporting Services .

Direct

Ce scénario décrit la connexion directe à un serveur de rapports, par exemple, un environnement d'intranet.

ScénarioSchéma du scénarioProcédure de sécurisation
Communication SSL directe.

Le serveur de rapports applique la liaison du canal entre le client et le serveur de rapports.
RS_ExtendedProtection_DirectSSL

1) Application cliente

2) Serveur de rapports
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Direct.

 

-La liaison de service n’est pas nécessaire, car le canal SSL est utilisé pour la liaison de canal.
Communication HTTP directe. Le serveur de rapports applique la liaison de service entre le client et le serveur de rapports.RS_ExtendedProtection_Direct

1) Application cliente

2) Serveur de rapports
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Any.

 

-Il n’existe aucun canal SSL et, par conséquent, toute application de la liaison de canal est impossible.

-La liaison de service peut être validée, mais ne constitue pas une ligne de défense parfaite sans la liaison de canal ; la liaison de service à elle seule se contente de bloquer les menaces de base.

Équilibrage de la charge réseau et proxy

Les applications clientes se connectent à un périphérique ou un logiciel qui effectue une connexion SSL et transmet les informations d'identification au serveur en vue de l'authentification, par exemple, Internet, un réseau extranet ou intranet sécurisé. Le client se connecte à un serveur proxy ou à tous les clients utilisant un proxy.

La situation est la même lorsque vous utilisez un périphérique d'équilibrage de la charge réseau.

ScénarioSchéma du scénarioProcédure de sécurisation
Communications HTTP. Le serveur de rapports applique la liaison de service entre le client et le serveur de rapports.RS_ExtendedProtection_Indirect

1) Application cliente

2) Serveur de rapports

3) Proxy
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Any.

 

-Il n’existe aucun canal SSL et, par conséquent, toute application de la liaison de canal est impossible.

-Le serveur de rapports doit être configuré de façon à identifier le serveur proxy pour s’assurer que la liaison de service est correctement appliquée.
Communications HTTP.

Le serveur de rapports applique la liaison de canal entre le client et le proxy et la liaison de service entre le client et le serveur de rapports.
RS_ExtendedProtection_Indirect_SSL

1) Application cliente

2) Serveur de rapports

3) Proxy
Définissez
                    RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Proxy.

 

-Le canal SSL vers le proxy est disponible ; par conséquent, la liaison de canal au proxy peut être appliquée.

-La liaison de service est également applicable.

-Le nom du Proxy doit être connu du serveur de rapports et l’administrateur de serveur de rapports doit créer une réservation d’URL, avec un en-tête d’hôte ou configurer le nom de Proxy dans l’entrée de Registre Windows BackConnectionHostNames.
Communications HTTPS indirectes avec un proxy sécurisé. Le serveur de rapports applique la liaison de canal entre le client et le proxy et la liaison de service entre le client et le serveur de rapports.RS_ExtendedProtection_IndirectSSLandHTTPS

1) Application cliente

2) Serveur de rapports

3) Proxy
Définissez
                    RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Proxy.

 

-Le canal SSL vers le proxy est disponible ; par conséquent, la liaison de canal au proxy peut être appliquée.

-La liaison de service est également applicable.

-Le nom du Proxy doit être connu du serveur de rapports et l’administrateur de serveur de rapports doit créer une réservation d’URL, avec un en-tête d’hôte ou configurer le nom de Proxy dans l’entrée de Registre Windows BackConnectionHostNames.

Passerelle

Ce scénario décrit des applications clientes qui se connectent à un dispositif ou à un logiciel qui effectue la connexion SSL et authentifie l'utilisateur. Le périphérique ou le logiciel emprunte l'identité du contexte de l'utilisateur ou d'un utilisateur différent avant que ce dernier n'émette une demande au serveur de rapports.

ScénarioSchéma du scénarioProcédure de sécurisation
Communications HTTP indirectes.

La passerelle applique la liaison de canal entre le client et la passerelle. Il existe une passerelle menant à la liaison de service du serveur de rapports.
RS_ExtendedProtection_Indirect_SSL

1) Application cliente

2) Serveur de rapports

3) Périphérique de passerelle
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Any.

 

-La liaison de canal entre le client et le serveur de rapports est impossible, car la passerelle emprunte l’identité d’un contexte, créant ainsi un autre jeton NTLM.

-Il n’existe aucune connexion SSL entre la passerelle et le serveur de rapports ; la liaison de canal ne peut donc pas être appliquée.

-La liaison de service est applicable.

-Le périphérique de passerelle doit être configuré par votre administrateur pour l’application de la liaison de canal.
Communications HTTPS indirectes avec une passerelle sécurisée. La passerelle applique la liaison de canal entre le client et la passerelle et le serveur de rapports applique la liaison de canal entre la passerelle et le serveur de rapports.RS_ExtendedProtection_IndirectSSLandHTTPS

1) Application cliente

2) Serveur de rapports

3) Périphérique de passerelle
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Direct.

 

-La liaison de canal entre le client et le serveur de rapports est impossible, car la passerelle emprunte l’identité d’un contexte, créant ainsi un autre jeton NTLM.

-La connexion SSL entre la passerelle et le serveur de rapports signifie qu’une liaison de canal est possible.

-La liaison de service n’est pas obligatoire.

-Le périphérique de passerelle doit être configuré par votre administrateur pour l’application de la liaison de canal.

Combinaison

Ce scénario décrit des environnements Internet ou Extranet dans lesquels le client se connecte à un proxy. Il fait intervenir un intranet dans lequel un client se connecte au serveur de rapports.

ScénarioSchéma du scénarioProcédure de sécurisation
Les accès indirects et directs du client au serveur de rapports fonctionnent sans SSL pour les connexions entre le client et le proxy ou le client et le serveur de rapports.1) Application cliente

2) Serveur de rapports

3) Proxy

4) Application cliente
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Any.

 

-La liaison de service entre le client et le serveur de rapports est applicable.

-Le nom du Proxy doit être connu du serveur de rapports et l’administrateur de serveur de rapports doit créer une réservation d’URL, avec un en-tête d’hôte ou configurer le nom de Proxy dans l’entrée de Registre Windows BackConnectionHostNames.
Accès indirects et directs du client au serveur de rapports sur lequel le client établit une connexion SSL vers le proxy ou le serveur de rapports.RS_ExtendedProtection_CombinationSSL

1) Application cliente

2) Serveur de rapports

3) Proxy

4) Application cliente
Définissez RSWindowsExtendedProtectionLevel sur Allow ou Require.

Définissez RSWindowsExtendedProtectionScenario sur Proxy.

 

-La liaison de canal peut être utilisée.

-Le nom du Proxy doit être connu du serveur de rapports et l’administrateur de serveur de rapports doit créer une réservation d’URL pour le serveur proxy, avec un en-tête d’hôte ou configurer le nom de Proxy dans l’entrée de Registre Windows BackConnectionHostNames.

Le rsreportserver.config fichier contient les valeurs de configuration qui contrôlent le comportement de Reporting Services protection étendue.

Pour plus d’informations sur l’utilisation et la modification de la rsreportserver.config consultez fichier de Configuration RsReportServer.config. Les paramètres de protection étendue peuvent également être modifiés et examinés à l'aide d'API WMI. Pour plus d’informations, consultez méthode SetExtendedProtectionSettings & #40 ; WMI MSReportServer_ConfigurationSetting & #41 ;.

Si la validation des paramètres de configuration échoue, les types d'authentification RSWindowsNTLM, RSWindowsKerberos et RSWindowsNegotiate sont désactivés sur le serveur de rapports.

Paramètres de configuration pour la protection étendue de Reporting Services

Le tableau suivant donne des informations sur les paramètres de configuration qui figurent dans le fichier rsreportserver.config de protection étendue.

ParamètreDescription
RSWindowsExtendedProtectionLevelIndique le niveau d'application de la protection étendue. Les valeurs valides sont :

 Off: valeur par défaut. Indique l’absence de vérification de la liaison de canal ou de service.

 Allow prend en charge la protection étendue, mais ne l’impose pas. Spécifie les points suivants :

-La protection étendue est appliquée aux applications clientes qui s’exécutent sur les systèmes d’exploitation prenant en charge la protection étendue. La manière dont la protection s’applique dépend du paramètre RsWindowsExtendedProtectionScenario.

-L’authentification est autorisée pour les applications fonctionnant sur des systèmes d’exploitation qui ne prennent pas en charge la protection étendue.

 Require spécifie les points suivants :

-La protection étendue est appliquée aux applications clientes qui s’exécutent sur les systèmes d’exploitation prenant en charge la protection étendue.

-L’authentification pas autorisée pour les applications qui s’exécutent sur des systèmes d’exploitation qui ne prennent pas en charge la protection étendue.
RsWindowsExtendedProtectionScenarioIndique les formes de protection étendue validées : liaison de canal, liaison de service ou les deux à la fois. Les valeurs valides sont :

 Proxy: valeur par défaut. Spécifie les points suivants :

-L’authentification Windows NTLM, Kerberos et Negotiate a lieu lorsqu’un jeton de liaison de canal est présent.

-La liaison de service est appliquée.

 Any spécifie les points suivants :

-L’authentification Windows NTLM, Kerberos et Negotiate, ainsi qu’une liaison de canal, ne sont pas obligatoires.

-La liaison de service est appliquée.

 Direct spécifie les points suivants :

-L’authentification Windows NTLM, Kerberos et Negotiate a lieu lorsqu’il existe un jeton de liaison de canal et une connexion SSL au service actuel, et lorsque le jeton de liaison de canal pour la connexion SSL correspond à celui du jeton NTLM, Kerberos ou Negotiate.

-La liaison de service n’est pas appliquée.

 

Remarque : le paramètre RsWindowsExtendedProtectionScenario est ignoré si RsWindowsExtendedProtectionLevel est défini sur OFF.

Exemples d'entrées dans le fichier de configuration rsreportserver.config :

<Authentication>  
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>  
</Authentication>  

La liaison de service utilise les noms principaux du service (SPN) pour valider la destination prévue des jetons d'authentification. Reporting Services utilise les informations de réservation d'URL existantes pour générer la liste des SPN considérés comme valides. L'utilisation des informations de réservation d'URL pour la validation des réservations SPN et URL permet aux administrateurs système de gérer les deux à la fois à partir d'un seul emplacement.

La liste des SPN valides est mise à jour au démarrage du serveur de rapports démarre, à la modification des paramètres de configuration de la protection étendue ou au recyclage du domaine d'application.

La liste valide des SPN est spécifique à chaque application. Par exemple, le Gestionnaire de rapports et le serveur de rapports auront chacun leur propre liste de SPN.

La liste de SPN valides générée pour une application est déterminée par les facteurs suivants :

  • Réservations d'URL.

  • Ensemble des SPN extraits du contrôleur de domaine pour le compte de service Reporting Services.

  • Si une réservation d'URL inclut des caractères génériques (« * » ou « + »), le serveur de rapports ajoutera chaque entrée de la collection d'hôtes.

Sources de collection d'hôtes.

Le tableau suivant répertorie les sources potentielles de la collection d'hôtes.

Type de la sourceDescription
ComputerNameDnsDomainNom du domaine DNS affecté à l'ordinateur local. Si l'ordinateur local est un nœud dans un cluster, le nom de domaine DNS du serveur virtuel de cluster est utilisé.
ComputerNameDnsFullyQualifiedNom DNS complet qui identifie de manière unique l'ordinateur local. Ce nom est une combinaison du nom d'hôte DNS et du nom de domaine DNS présentée sous la forme Nom d'hôte.Nom de domaine. Si l'ordinateur local est un nœud dans un cluster, le nom DNS complet du serveur virtuel de cluster est utilisé.
ComputerNameDnsHostnameNom d'hôte DNS de l'ordinateur local. Si l'ordinateur local est un nœud dans un cluster, le nom d'hôte DNS du serveur virtuel de cluster est utilisé.
ComputerNameNetBIOSNom NetBIOS de l'ordinateur local. Si l'ordinateur local est un nœud dans un cluster, le nom NetBIOS du serveur virtuel de cluster est utilisé.
ComputerNamePhysicalDnsDomainNom du domaine DNS affecté à l'ordinateur local. Si l'ordinateur local est un nœud dans un cluster, le nom de domaine DNS de l'ordinateur local est utilisé, mais pas le nom du serveur virtuel de cluster.
ComputerNamePhysicalDnsFullyQualifiedNom DNS complet qui identifie de manière unique l'ordinateur. Si l'ordinateur local est un nœud dans un cluster, le nom DNS complet de l'ordinateur local est utilisé, mais pas le nom du serveur virtuel de cluster.

Le nom DNS complet est une combinaison du nom d'hôte DNS et du nom de domaine DNS présentée sous la forme Nom d'hôte.Nom de domaine.
ComputerNamePhysicalDnsHostnameNom d'hôte DNS de l'ordinateur local. Si l'ordinateur local est un nœud dans un cluster, le nom d'hôte DNS de l'ordinateur local est utilisé, mais pas le nom du serveur virtuel de cluster.
ComputerNamePhysicalNetBIOSNom NetBIOS de l'ordinateur local. Si l'ordinateur local est un nœud dans un cluster, le nom NetBIOS de l'ordinateur local est utilisé, mais pas le nom du serveur virtuel de cluster.

Lorsque les SPN sont ajoutés, une entrée est ajoutée au journal de suivi semblable au suivant :

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

Pour plus d’informations, consultez Enregistrer un nom Principal de Service & #40 ; Nom principal de service & #41 ; pour un serveur de rapports et à propos des réservations d’URL et l’inscription & #40 ; SSRS Configuration Manager & #41 ;.

Se connecter au moteur de base de données à l'aide de la protection étendue
Extended Protection for Authentication Overview (en anglais)
Integrated Windows Authentication with Extended Protection (en anglais)
Microsoft Security Advisory: Extended protection for authentication (en anglais)
Report Server Service Trace Log
Fichier de configuration RSReportServer.config
Méthode SetExtendedProtectionSettings & #40 ; WMI MSReportServer_ConfigurationSetting & #41 ;

Ajouts de la communauté

AJOUTER
Afficher:
© 2016 Microsoft