• Artykuł

Ochrona rozszerzona do uwierzytelniania przy użyciu usług raportowania

Rozszerzona ochrona jest zestaw rozszerzeń najnowsze wersje systemu operacyjnego Windows.Rozszerzona ochrona zwiększa, jak i poświadczenia uwierzytelnianie mogą być chronione przez aplikacje.Sama ta funkcja nie bezpośrednio zapewnia ochronę przed atakami szczególne, takie jak przekazywanie poświadczeń, ale zapewnia infrastrukturę dla aplikacji, takich jak Reporting Services do wymuszania ochrony rozszerzonej dla uwierzytelniania.

Ulepszenia głównego uwierzytelnianie, będące częścią ochrony rozszerzonej są powiązanie usługa i powiązanie kanału.powiązanie kanału używa tokenu wiązania kanału (CBT), aby zweryfikować, że kanał między dwoma punktami końcowymi nie został złamany.Powiązanie usługi używa głównej nazwy usługi (główna nazwa usługi) do sprawdzania poprawności zamierzone obiekt docelowy tokenów uwierzytelnianie.Więcej informacji tła o rozszerzonej ochrony, zobacz Zintegrowane uwierzytelnianie systemu Windows z ochrony rozszerzonej.

SQL Server 2008 R2 supports and enforces Extended Protection that has been enabled in the operating system and configured in Reporting Services.Domyślnie Reporting Services akceptuje żądania, które określają uwierzytelnianie negocjowane lub NTLM i dlatego może skorzystać z obsługi ochrona rozszerzona w systemie operacyjnym i Reporting Services funkcje ochrony rozszerzonej.

Ważna informacjaWażne:

Domyślnie system Windows nie powoduje włączenia ochrony rozszerzonej.Aby uzyskać informacje dotyczące włączania ochrony rozszerzonej w systemie Windows, zobacz Ochrony rozszerzonej uwierzytelniania.Stos uwierzytelnianie systemu operacyjnego i klient musi obsługiwać ochrony rozszerzonej, tak że uwierzytelnienie powiedzie się.Dla starszych systemów operacyjnych może być konieczne instalowanie więcej niż jedną aktualizację dla kompletny, gotowy komputera ochrony rozszerzonej.Aby uzyskać informacje o najnowszych osiągnięć z ochrony rozszerzonej, zobacz zaktualizowane informacje z ochrony rozszerzonej.

Omówienie ochrony rozszerzonej usług raportowania

SQL Server 2008 R2 Reporting Services supports and enforces extended protection that has been enabled in the operating system. If the operating system does not support extended protection or the feature in the operating system has not been enabled, the Reporting Services extended protection feature will fail authentication. Reporting Services Extended Protection also requires an SSL Certificate.Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera raportów dla połączenia (SSL) Secure Sockets Layer

Ważna informacjaWażne:

Domyślnie Reporting Services nie powoduje włączenia ochrony rozszerzonej.The feature can be enabled by modifying the rsreportserver.config configuration file or using WMI APIs to update the configuration file.SQL Server 2008 R2 does not provide a user interface to modify or view extended protection settings.Aby uzyskać więcej informacji, zobacz Ustawienia konfiguracja w tym temacie.

Typowe problemy spowodowane przez zmiany ustawienia ochrony rozszerzonej lub niepoprawnie skonfigurowane ustawienia nie są narażone oczywiste komunikaty lub okna dialogowego systemu windows.Problemy związane z ochrony rozszerzonej konfiguracja i zgodność wyników błędy uwierzytelnianie i błędów w Reporting Services Dzienniki śledzenia.Aby uzyskać informacje dotyczące rozwiązywania problemów i sprawdzania ochrony rozszerzonej z Reporting Services, zobacz Rozwiązywanie problemów z ochrony rozszerzonej (Reporting Services)

Ważna informacjaWażne:

MicrosoftKlient SQL nie został zaktualizowany do wspierania ochrony rozszerzonej na czas z SQL Server 2008 R2 wersji.Klient SQL jest używany do łączenia źródeł danych programu SQL Server i Reporting Services bazy danych katalogu.To ograniczenie wpływów SQL Client Reporting Services w następujący sposób:

SQL Server działającą Reporting Services Baza danych katalogu nie można rozszerzyć włączoną ochroną lub serwer raportów będzie nie pomyślnie połączyć się z bazą danych wykazu i zwracają błędy uwierzytelnianie.

Serwerów SQL są używane jako Reporting Services raportu źródło danych nie może być włączona ochrona rozszerzona lub próbuje przez serwer raportów połączyć raport źródło danych będą się niepowodzeniem i zwracają błędy uwierzytelnianie.Około pracy możliwa jest zmiana Reporting Services źródeł danych za pomocą macierzystego dostawcy, a nie SQL klienta.Na przykład skonfigurować źródła danych dla sterownika ODBC, a następnie SQL Native Client będą stosowane, który obsługuje ochrony rozszerzonej.

Uaktualnienia

  • Uaktualnianie Reporting Services serwera SQL Server 2008 R2 dodaje ustawienia konfiguracja z wartościami domyślnymi do rsreportserver.config pliku.Jeśli ustawienia były już obecne, SQL Server 2008 R2 instalacji zachowa je w rsreportserver.config pliku.

  • Gdy ustawienia konfiguracja są dodawane do rsreportserver.config plik konfiguracji jest domyślne zachowanie Reporting Services funkcji ochrony rozszerzonej off i opisane w tym temacie, należy włączyć funkcję. Aby uzyskać więcej informacji, zobacz Ustawienia konfiguracja w tym temacie.

  • Wartości domyślne ustawienia RSWindowsExtendedProtectionLevel jest Off.

  • Wartości domyślne ustawienia RSWindowsExtendedProtectionScenario jest Proxy.

  • SQL Server 2008 R2Doradca uaktualnienia nie sprawdzić, czy system operacyjny lub bieżącej instalacji Reporting Services została włączona obsługa ochrony rozszerzonej.

Jakie ochrony rozszerzonej Reporting Services nie obejmuje.

Następujące obszary funkcji i scenariusze nie są obsługiwane przez funkcji ochrony rozszerzonej:

  • Autorzy Reporting Services niestandardowy rozszerzenie zabezpieczeńs należy dodać obsługę rozszerzonych ochrony ich własne rozszerzenie zabezpieczeń.

  • Składniki firm dodane lub używanych przez instalacji muszą zostać zaktualizowane przez innego producenta, wspieranie ochrony rozszerzonej.Aby uzyskać więcej informacji skontaktuj się z dostawcą.

Scenariusze wdrażania i zalecenia

Poniższe scenariusze ilustrują różne wdrożeń i topologii i zalecana konfiguracja, aby zabezpieczyć je z Reporting Services ochrony rozszerzonej.

Bezpośrednie

W tym scenariuszu opisano Podłączanie bezpośrednio do serwer raportów, na przykład w środowisku intranetowym.

Scenariusz

Diagram scenariusz

Sposoby zabezpieczania

Bezpośredniej komunikacji SSL.

serwer raportów wymusi klient do serwer raportów powiązania kanału.

 Rozszerzona ochrona Bezpośredni dostęp za pomocą protokołu SSL

1) Aplikacja kliencka

2) Serwer raportowania

  • Powiązanie usługi nie jest konieczne, ponieważ kanał SSL będzie używana dla powiązania kanału.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Direct.

Bezpośrednia komunikacja HTTP.serwer raportów wymusi klienta do usługi wiązania serwer raportów.

 Rozszerzona ochrona i bezpośredni dostęp

1) Aplikacja kliencka

2) Serwer raportowania

  • Nie ma żadnego kanału SSL dlatego stosowania wiązania kanałów jest możliwe.

  • Powiązanie usługi mogą być sprawdzone, jednak nie jest kompletny obrony bez powiązania kanału i powiązanie usługi samodzielnie tylko będzie chronić przed zagrożeniami podstawowe.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

Serwer proxy i równoważenie obciążenia sieciowego

Aplikacje klienckie połączyć urządzenia lub oprogramowania, który wykonuje SSL i przechodzi przez poświadczenia do serwera uwierzytelnianie, na przykład, ekstranet, Internet lub Intranet bezpieczne.Klient łączy się z serwerem Proxy lub użyć wszystkich klientów serwera proxy.

Sytuacja jest taki sam, podczas korzystania z urządzenia równoważenia obciążenia sieciowego (NLB).

Scenariusz

Diagram scenariusz

Sposoby zabezpieczania

Komunikacja HTTP.serwer raportów wymusi klient do usługi wiązania serwer raportów.

 RS — Rozszerzona ochrona Bezpośredni dostęp

1) Aplikacja kliencka

2) Serwer raportowania

3) Serwer proxy

  • Nie ma żadnego kanału SSL dlatego stosowania wiązania kanałów jest możliwe.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

  • Znać nazwę serwera proxy, aby upewnić się, że powiązanie usługa jest poprawnie wymuszany musi być skonfigurowany serwer raportów.

Komunikacja HTTP.

serwer raportów wymusi i klient serwera Proxy kanału wiążące do powiązania usługi serwer raportów.

 RS — Rozszerzona ochrona Bezpośredni dostęp za pomocą protokołu SSL

1) Aplikacja kliencka

2) Serwer raportowania

3) Serwer proxy

  • Kanał SSL do serwera proxy jest dostępna w związku z tym można wymusić powiązanie kanału do serwera proxy.

  • Powiązanie usługi można również wymuszane.

  • Nazwa serwera Proxy musi być znane serwer raportów i administrator serwera raportów należy utworzyć rezerwację adresu URL, z nagłówka hosta lub skonfigurowana nazwa serwera Proxy we wpisie rejestru systemu Windows BackConnectionHostNames.

RSWindowsExtendedProtectionLevelto Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Pośrednie HTTPS komunikację z bezpiecznego serwera proxy.serwer raportów wymusi i klient do serwera proxy powiązania kanału do powiązania usługi serwer raportów.

 Rozszerzona ochrona Bezpośredni dostęp Protokół SSL i HTTPS

1) Aplikacja kliencka

2) Serwer raportowania

3) Serwer proxy

  • Kanał SSL do serwera proxy jest dostępna w związku z tym można wymusić powiązanie kanału do serwera proxy.

  • Powiązanie usługi można również wymuszane.

  • Nazwa serwera Proxy musi być znane serwer raportów i administrator serwera raportów należy utworzyć rezerwację adresu URL, z nagłówka hosta lub skonfigurowana nazwa serwera Proxy we wpisie rejestru systemu Windows BackConnectionHostNames.

RSWindowsExtendedProtectionLevelto Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Brama

W tym scenariuszu opisano aplikacjom klienckim nawiązywanie połączeń z urządzenia lub oprogramowania, który wykonuje SSL i uwierzytelnia użytkownika.Następnie urządzenie lub oprogramowanie personifikuje kontekst użytkownika lub kontekst innego użytkownika przed jego wysyła żądanie do serwer raportów.

Scenariusz

Diagram scenariusz

Sposoby zabezpieczania

Pośrednie komunikacji protokołu HTTP.

Brama wymusi klienta do bramy powiązanie kanału.Brak bramy do powiązania usługi serwer raportów.

 RS — Rozszerzona ochrona Bezpośredni dostęp za pomocą protokołu SSL

1) Aplikacja kliencka

2) Serwer raportowania

3) Urządzenie bramy

  • Kanał powiązanie z klient do serwer raportów jest niemożliwe, ponieważ bramy personifikuje kontekst i dlatego tworzy nowy token NTLM.

  • Nie ma żadnych SSL z bramy serwer raportów z tego powodu powiązanie kanału nie można wymusić.

  • Powiązanie usługi mogą być egzekwowane.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

  • Urządzenie bramy powinny być konfigurowane przez administratora, aby wymusić powiązanie kanału.

Pośrednie HTTPS komunikacji z bramą bezpieczna.Bramy wymusi powiązania kanału bramy klienta i serwer raportów wymusi bramy serwer raportów powiązania kanału.

 Rozszerzona ochrona Bezpośredni dostęp Protokół SSL i HTTPS

1) Aplikacja kliencka

2) Serwer raportowania

3) Urządzenie bramy

  • Kanał powiązanie z klient do serwer raportów jest niemożliwe, ponieważ bramy personifikuje kontekst i dlatego tworzy nowy token NTLM.

  • SSL z bramy do raportu sever środki odwoławcze powiązanie kanału.

  • Powiązanie usługi nie jest wymagane.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Direct.

  • Urządzenie bramy powinny być konfigurowane przez administratora, aby wymusić powiązanie kanału.

Kombinacja

W tym scenariuszu opisano środowiskach ekstranet lub Internet, gdy klient łączy się serwer Proxy.Jest to w połączeniu z środowisku intranetu, gdy klient łączy się z serwer raportów.

Scenariusz

Diagram scenariusz

Sposoby zabezpieczania

Pośredni i bezpośredni dostęp z klient do serwer raportów usługa bez połączeń serwera SSL na klient do serwera proxy lub klient do raportu.

 Środowisko mieszane rozszerzonej ochrony

1) Aplikacja kliencka

2) Serwer raportowania

3) Serwer proxy

4) Aplikacja kliencka

  • Usługa powiązanie z klient do serwer raportów mogą być egzekwowane.

  • Nazwa serwera Proxy musi być znane serwer raportów i administrator serwera raportów należy utworzyć rezerwację adresu URL, z nagłówka hosta lub skonfigurowana nazwa serwera Proxy we wpisie rejestru systemu Windows BackConnectionHostNames.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

Pośredni i bezpośredni dostęp z klienta do serwer raportów , gdzie klient nawiąże połączenie SSL do serwera proxy lub serwer raportów.

 Rozszerzona ochrona w połączeniu z protokołem SSL

1) Aplikacja kliencka

2) Serwer raportowania

3) Serwer proxy

4) Aplikacja kliencka

  • Powiązania kanału mogą być używane.

  • Nazwa serwera Proxy musi być znane serwer raportów i administrator serwera raportów należy utworzyć rezerwację adresu URL serwera proxy przy użyciu nagłówka hosta lub skonfigurowana nazwa serwera Proxy we wpisie rejestru systemu Windows BackConnectionHostNames.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Konfigurowanie ochrony przed Rervices raportowania rozszerzony

rsreportserver.config Plik zawiera konfiguracja wartości, które kontrolują zachowanie Reporting Services ochrony rozszerzonej.

Aby uzyskać więcej informacji o używaniu i edycji rsreportserver.config plików, zobacz Plik konfiguracyjny RSReportServer.Ustawienia ochrony rozszerzonej można także zmienić i sprawdzone za pomocą interfejsów API usługi WMI.Aby uzyskać więcej informacji, zobacz Metoda SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting).

Gdy niepowodzenie sprawdzania poprawności ustawień konfiguracja, typy uwierzytelnianie RSWindowsNTLM, RSWindowsKerberos i RSWindowsNegotiate są wyłączone serwer raportów.

Ustawienia konfiguracji dla rozszerzonej ochrony usług raportowania

Poniższa tabela zawiera informacje dotyczące ustawień konfiguracja, które pojawiają się w rsreportserver.config dla ochrony rozszerzonej.

Ustawienie

Opis

RSWindowsExtendedProtectionLevel

Określa stopień wymuszania ochrony rozszerzonej.Valid values are Off, Allow, and Require.

Wartością domyślną jest Off.

Wartość Off Określa nie powiązanie kanału lub weryfikacji powiązanie usługa.

Wartość Allow obsługuje ochrony rozszerzonej, ale nie wymaga goOkreśla wartość Zezwalaj:

  • Rozszerzona ochrona będą wymuszane dla klient aplikacji, które działają w systemach operacyjnych, które obsługują rozszerzone ochrony.Sposób ochrony jest wymuszane jest określana przez ustawienie RsWindowsExtendedProtectionScenario.

  • Uwierzytelnianie będą dozwolone dla aplikacji uruchomionych w systemach operacyjnych, które nie obsługują ochrony rozszerzonej.

Wartość Require określa:

  • Rozszerzona ochrona będą wymuszane dla klient aplikacji, które działają w systemach operacyjnych, które obsługują rozszerzone ochrony.

  • Uwierzytelnianie będzie nie dozwolone dla aplikacji uruchomionych w systemach operacyjnych, które nie obsługują ochrony rozszerzonej.

RsWindowsExtendedProtectionScenario

Określa, jakie formy ochrony rozszerzonej są zatwierdzane: Powiązania kanału, powiązanie usługi lub oba.Valid values are Any, Proxy, and Direct.

Wartością domyślną jest Proxy.

Wartość Any określa:

  • Uwierzytelnianie Windows NTLM, Kerberos i Negotiate i powiązanie kanału nie są wymagane.

  • Powiązanie usługi jest wymuszany.

Wartość Proxy określa:

  • Windows NTLM, Kerberos i negocjowanie uwierzytelniania kanału powiązanie token jest obecny.

  • Powiązanie usługi jest wymuszany.

Wartość Direct określa:

  • Uwierzytelnianie Windows NTLM, Kerberos i Negotiate występuje CBT połączenie SSL z bieżącą usługa jest obecny i CBT dla połączenia SSL odpowiada CBT NTLM, Kerberos lub negocjowania tokenu.

  • Powiązanie usługi nie są wymuszane.

UwagaUwaga:
To zestaw jest ignorowane, jeśli RsWindowsExtendedProtectionLevel jest ustawiona na OFF.

Przykładowe wpisy w rsreportserver.config plik konfiguracja:

<Authentication>
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>

Usługi wiążące i uwzględnione nazwy SPN

Service binding uses Service Principal Names or SPN to validate the intended destination of authentication tokens.Reporting Services uses the existing URL reservation information to build a list of SPNs that are considered valid.Korzystając z informacji rezerwacji adresu URL do sprawdzania poprawności nazwy główna nazwa usługi i URL zastrzeżenia umożliwia administratorom systemu zarządzanie zarówno z jednej lokalizacji.

Lista prawidłowe nazwy SPN jest aktualizowana po serwer raportów uruchamia ustawienia konfiguracja dla ochrony rozszerzonej zostały zmienione lub gdy domena aplikacji zostanie odtworzony.

Nieprawidłowa lista SPN jest specyficzne dla każdej aplikacji.Na przykład Menedżer raportów i Report Server każdy będzie miał inną listę prawidłowe nazwy SPN obliczane.

Lista prawidłowe nazwy SPN, obliczonej dla aplikacji jest określana przez następujące czynniki:

  • Poszczególne zastrzeżenia adresu URL.

  • Każdy główna nazwa usługi pobierane z kontrolera domena dla konta usługa usług raportowania.

  • Jeśli rezerwację adresu URL zawiera symbole wieloznaczne ("*" lub "+"), a następnie Report Server spowoduje dodanie każdego wpisu z kolekcja hostów.

Hosty kolekcja źródeł.

W poniższej tabela przedstawiono potencjalnych źródeł dla hostów kolekcja.

Typ źródło

Opis

ComputerNameDnsDomain

Nazwa domena DNS przypisany do komputera lokalnego.Jeśli komputer lokalny jest węzła w klastrze, jest używana nazwa domena DNS klastrowego serwera wirtualnego.

Danych ComputerNameDnsFullyQualified

W pełni kwalifikowana nazwa DNS, która jednoznacznie identyfikuje komputer lokalny.Ta nazwa jest kombinacją nazwy hosta DNS i nazwa domena DNS, przy użyciu formularza HostName.NazwaDomeny.Jeśli komputer lokalny jest węzła w klastrze, w pełni kwalifikowana nazwa DNS serwera wirtualnego w klastrze jest używany.

ComputerNameDnsHostname

Nazwa hosta DNS komputera lokalnego.Jeśli komputer lokalny jest węzła w klastrze, jest używana nazwa hosta DNS klastrowego serwera wirtualnego.

ComputerNameNetBIOS

Nazwa NetBIOS komputera lokalnego.Jeśli komputer lokalny jest węzła w klastrze, używana jest nazwa NetBIOS klastrowego serwera wirtualnego.

ComputerNamePhysicalDnsDomain

Nazwa domena DNS przypisany do komputera lokalnego.Jeśli komputer lokalny jest węzła w klastrze, jest używana nazwa domena DNS komputera lokalnego, nie nazwę klastra serwera wirtualnego.

ComputerNamePhysicalDnsFullyQualified

W pełni kwalifikowana nazwa DNS, która jednoznacznie identyfikuje komputer.Jeśli komputer lokalny jest węzła w klastrze, w pełni kwalifikowana nazwa DNS komputera lokalnego jest używane nie nazwę klastra serwera wirtualnego.

W pełni kwalifikowana nazwa DNS jest kombinacją nazwy hosta DNS i nazwa domena DNS, korzystając z formularza HostName.NazwaDomeny.

ComputerNamePhysicalDnsHostname

Nazwa hosta DNS komputera lokalnego.Jeśli komputer lokalny jest węzła w klastrze, jest używana nazwa hosta DNS komputera lokalnego, nie nazwę klastra serwera wirtualnego.

ComputerNamePhysicalNetBIOS

Nazwa NetBIOS komputera lokalnego.Jeśli komputer lokalny jest węzłem w klastrze, nazwa NetBIOS komputera lokalnego, a nie nazwa klastrowego serwera wirtualnego.

Jako nazwy SPN są dodawane, dodawany jest wpis w dzienniku śledzenia, podobny do następującego:

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

Aby uzyskać więcej informacji, zobacz Jak Zarejestruj głównej nazwy usługi (główna nazwa usługi) dla serwera raportowania i Informacje o rezerwacji adresu URL i rejestracji (usług Reporting Services).