Share via

Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma

  • Makale

Genişletilmiş koruma geliştirmeleri için son sürümleri kümesidir Microsoftpencere eşiği iş sistem. Genişletilmiş koruma, kimlik ve kimlik doğrulama uygulamaları tarafından nasıl korunabilir geliştirir. Özelliğin kendisi doğrudan kimlik bilgisi iletimi gibi belirli saldırılara karşı koruma sağlamaz, ancak gibi uygulamalar için bir altyapı sağlar Reporting Serviceskimlik doğrulaması için genişletilmiş koruma uygulamak için.

Genişletilmiş koruma parçası olan ana kimlik doğrulama hizmet bağlama ve Kanal bağlama geliştirmelerdir. Kanal bağlama bir kanal bağlama belirteci (cbt), iki uç nokta arasında kurulan Kanal değil tatlıya doğrulamak için kullanır. Hizmet bağlama hizmet asıl adları (spn) amaçlanan hedef kimlik doğrulama belirteçlerini doğrulamak için kullanır. Genişletilmiş koruma hakkında daha fazla arka plan bilgileri için bkz: Tümleşik Windows kimlik doğrulaması genişletilmiş koruma ile birlikte.

SQL Server 2012 Reporting Servicesdestekler ve işletim sisteminde etkinleştirilmiş ve yapılandırılmış genişletilmiş koruma zorlayan Reporting Services. Varsayılan olarak, Reporting ServicesAnlaş veya ntlm kimlik doğrulaması belirtin ve bu nedenle işletim sistemindeki genişletilmiş koruma desteğinden faydalı olacağını isteklerini kabul eder ve Reporting ServicesGenişletilmiş koruma özellikleri.

Önemli notÖnemli

Varsayılan olarak, Windows, genişletilmiş koruma etkinleştirmez. Genişletilmiş koruma Windows etkinleştirme hakkında daha fazla bilgi için bkz: Kimlik doğrulaması için genişletilmiş koruma. Bu kimlik doğrulama başarılı şekilde hem işletim sistemi hem de istemci kimlik doğrulaması yığını genişletilmiş koruma desteklemesi gerekir. Eski işletim sistemleri için yükleme daha fazla tek bir güncelleştirme için tam, genişletilmiş koruma hazır bilgisayar gerekebilir. Genişletilmiş koruma ile son gelişmeler hakkında daha fazla bilgi için bkz: güncelleştirilmiş bilgileri genişletilmiş koruma ile.

Raporlama Hizmetleri, genişletilmiş koruma genel bakış

SQL Server 2012 Reporting Servicesdestekler ve etkin işletim sistemi genişletilmiş koruma zorlar. İşletim sistemi genişletilmiş koruma desteklemiyor ya da işletim sistemi özelliği etkin değilse, Reporting ServicesGenişletilmiş koruma özelliğini kimlik doğrulaması başarısız olur. Reporting ServicesGenişletilmiş koruma da bir ssl sertifikası gerektirir. Daha fazla bilgi için bkz.Rapor sunucusunda ssl bağlantılarını yapılandırma

Önemli notÖnemli

Varsayılan olarak, Reporting ServicesGenişletilmiş koruma etkinleştirmez. Değiştirerek özelliğinin etkinleştirilebilmesi için rsreportserver.configyapılandırma dosyası ya da yapılandırma dosyasını güncelleştirmek için WMI API'leri kullanarak. SQL Server 2012 Reporting Serviceskoruma ayarlarını değiştirmek veya görüntülemek için bir kullanıcı arabirimi genişletilmiş sağlamaz. Daha fazla bilgi için bkz: yapılandırma ayarlarını bu konu bölümünde.

Koruma ayarları değişiklikleri nedeniyle oluşan ortak sorunları genişletilmiş veya hatalı yapılandırılmış ayarları are değil be maruz bariz hata iletileri ile veya windows iletişim. Genişletilmiş koruma yapılandırma ve uyumluluk sonucu kimlik doğrulama başarısızlıkları ve hatalar ile ilgili sorunlar Reporting Servicesizleme günlüklerini. Sorun giderme ve genişletilmiş koruma ile doğrulama hakkında bilgi için Reporting ServicesbakınTroubleshooting Extended Protection (Reporting Services)

Önemli notÖnemli

Bazı veri erişim teknolojileri, genişletilmiş koruma desteklemeyebilir. SQL Server veri kaynakları ve e bağlanmak için bir veri erişim teknolojisi kullanılan Reporting ServicesKatalog veritabanı. Hata veri erişim teknolojisini genişletilmiş koruma etkileri desteklemek için Reporting Servicesşu şekilde:

  • Çalışan SQL Server Reporting ServicesKatalog veritabanı olamaz genişletilmiş koruması etkin veya rapor sunucusu başarıyla Katalog veritabanına bağlanmak ve dönüş kimlik doğrulama hataları.

  • sql sunucuları olarak kullanılan Reporting Servicesrapor veri kaynakları, genişletilmiş koruma etkin olamaz ya da çalışır rapor veri kaynağına bağlanmak için rapor sunucusu tarafından başarısız ve dönüş kimlik doğrulama hataları.

Bir veri erişim teknolojisini belgelerine, genişletilmiş koruma için destek hakkında bilgi olmalıdır.

Yükseltme

  • Yükseltme bir Reporting Servicesserver SQL Server 2012yapılandırma ayarları için varsayılan değerlerle ekler rsreportserver.configdosyası. Eğer ayarlar zaten mevcut, SQL Server 2012yükleme-korumak tanesi rsreportserver.configdosyası.

  • Ne zaman yapılandırma ayarları eklenir rsreportserver.configyapılandırma dosyası, varsayılan davranış olduğu için Reporting ServicesGenişletilmiş koruma özelliğini kapalı ve bu konuda ileride açıklandığı özelliğini etkinleştirmeniz gerekir. Daha fazla bilgi için bkz: yapılandırma ayarlarını bu konu bölümünde.

  • Ayar için varsayılan değer RSWindowsExtendedProtectionLevelolan Off.

  • Ayar için varsayılan değer RSWindowsExtendedProtectionScenarioolan Proxy.

  • SQL Server 2012Yükseltme Danışmanı, doğrulamak değil işletim sistemi veya geçerli yüklemesinin Reporting Servicesolan genişletilmiş koruma desteği etkin.

Ne genişletilmiş Raporlama Servisleri koruma kapsamaz

Aşağıdaki özellik alanları ve senaryolar tarafından desteklenmeyen Reporting ServicesGenişletilmiş koruma özelliğini:

  • Yazarları Reporting Servicesözel güvenlik uzantıları için kendi özel güvenlik uzantısı için genişletilmiş koruma desteği eklemeniz gerekir.

  • Üçüncü parti bileşenler eklenebilir veya tarafından kullanılan bir Reporting ServicesYükleme genişletilmiş koruma desteklemek için üçüncü taraf satıcı tarafından updated. Daha fazla bilgi için üçüncü taraf satıcınıza başvurun.

Dağıtım senaryoları ve öneriler

Aşağıdaki senaryolar farklı dağıtımları ve topoloji ve onları korumak için önerilen yapılandırma göstermek Reporting ServicesGenişletilmiş koruma.

Doğrudan

Bu senaryoda, doğrudan bağlanmak için rapor sunucusu, örneğin, bir intranet ortamı açıklanmaktadır.

Senaryo

Senaryosu diyagramı

Nasıl güvenli

Doğrudan ssl iletişim.

Rapor sunucusu raporu sunucu Kanal bağlama için istemci zorunlu kılar.

 RS_ExtendedProtection_DirectSSL

1) İstemci uygulaması

2) Rapor sunucusu

  • SERVICE bağlama, ssl kanalı kanal bağlama için kullanılacağından gerekli değildir.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Direct.

Doğrudan ssl iletişim. Rapor sunucusu rapor sunucusu hizmet bağlama istemci zorunlu kılar.

 RS_ExtendedProtection_Direct

1) İstemci uygulaması

2) Rapor sunucusu

  • Orada'hayır ssl kanalı Kanal bağlamasının hiçbir zorlama nedenle mümkündür.

  • Hizmet bağlama doğrulanabilir, ancak Kanal bağlama olmadan tam bir savunma değil ve kendi hizmet bağlama yalnızca temel tehditlere karşı korur.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

Proxy ve Ağ Yükü Dengeleme

İstemci uygulamaları, bir aygıt veya yazılım ssl gerçekleştirir ve kimlik bilgileri ile kimlik doğrulaması, sunucu, extranet, Internet ya da Intranet güvenli geçirir bağlayın. İstemci bir Proxy sunucuya bağlanır veya tüm istemcilerin proxy kullanın.

Bir Ağ Yükü Dengeleme (nlb) aygıtı kullanırken durum aynıdır.

Senaryo

Senaryosu diyagramı

Nasıl güvenli

http iletişim. Rapor sunucusu raporu sunucu hizmeti bağlama istemciye zorunlu kılar.

 RS_ExtendedProtection_Indirect

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

  • Orada'hayır ssl kanalı Kanal bağlamasının hiçbir zorlama nedenle mümkündür.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

  • Rapor sunucusu hizmet bağlama doğru uygulandığından emin olmak için proxy sunucusunun adını bilmesi yapılandırılmalıdır.

http iletişim.

Rapor sunucusu, Proxy Kanal bağlama için istemci ve istemci için rapor sunucusu hizmet bağlama zorunlu kılar.

 RS_ExtendedProtection_Indirect_SSL

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

  • ssl kanalı proxy bu nedenle Kanal bağlama proxy zorlanabilir mevcuttur.

  • SERVICE bağlama da yaptırılabilir.

  • Proxy adı rapor sunucusu bilinmelidir ve rapor sunucusu yöneticisi Windows kayıt defteri girdisinde Proxy adı yapılandırmak ya url ayırma oluşturmak için ana bilgisayar üstbilgisi ile BackConnectionHostNames.

RSWindowsExtendedProtectionLevelto Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Güvenli proxy ile dolaylı https iletişim. Rapor sunucusu, istemci proxy Kanal bağlama ve rapor sunucusu hizmet bağlama istemciye zorunlu kılar.

 RS_ExtendedProtection_IndirectSSLandHTTPS

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

  • ssl kanalı proxy bu nedenle Kanal bağlama proxy zorlanabilir mevcuttur.

  • SERVICE bağlama da yaptırılabilir.

  • Proxy adı rapor sunucusu bilinmelidir ve rapor sunucusu yöneticisi Windows kayıt defteri girdisinde Proxy adı yapılandırmak ya url ayırma oluşturmak için ana bilgisayar üstbilgisi ile BackConnectionHostNames.

RSWindowsExtendedProtectionLevelto Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Ağ Geçidi

Bu senaryoda, istemci uygulamaları bir aygıt veya kullanıcının kimliğini doğrular ve ssl gerçekleştiren bir yazılım bağlanma anlatılmaktadır. Bu rapor sunucusunda istekte önce aygıt veya yazılım kullanıcı bağlamı veya farklı bir kullanıcı bağlamında kullanır.

Senaryo

Senaryosu diyagramı

Nasıl güvenli

Dolaylı http iletişim.

Ağ Geçidi istemci ağ geçidi Kanal bağlama zorunlu kılar. Rapor sunucusu hizmet bağlama Geçidi yoktur.

 RS_ExtendedProtection_Indirect_SSL

1) İstemci uygulaması

2) Rapor sunucusu

3) Ağ geçidi aygıtı

  • Rapor sunucuya istemciden bağlama Kanal mümkün değildir, bu ağ geçidi bir içeriği temsil eder ve bu nedenle yeni bir ntlm belirteci oluşturur.

  • Orada'hayır ssl kanal bağlama bu nedenle rapor sunucusu geçidinden zorlanamaz.

  • SERVICE bağlama yaptırılabilir.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

  • Ağ geçidi aygıtı, Kanal bağlama zorlamak için yöneticiniz tarafından yapılandırılmalıdır.

Güvenli bir ağ geçidi ile dolaylı https iletişim. Ağ Geçidi istemci ağ geçidi Kanal bağlama için zorlar ve rapor sunucusu rapor sunucusu Kanal bağlama geçidine zorunlu kılar.

 RS_ExtendedProtection_IndirectSSLandHTTPS

1) İstemci uygulaması

2) Rapor sunucusu

3) Ağ geçidi aygıtı

  • Rapor sunucuya istemciden bağlama Kanal mümkün değildir, bu ağ geçidi bir içeriği temsil eder ve bu nedenle yeni bir ntlm belirteci oluşturur.

  • ssl rapor geçidinden sever Kanal bağlama zorlanabilir anlamına gelir.

  • SERVICE bağlama gerekli değildir.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Direct.

  • Ağ geçidi aygıtı, Kanal bağlama zorlamak için yöneticiniz tarafından yapılandırılmalıdır.

Kombinasyon

Bu senaryoda, istemci bir Proxy nereye bağlanır Extranet veya Internet ortamları anlatılmaktadır. Nerede bir müşteri rapor sunucuya bağlanan bir intranet ortamı ile birlikte olmasıdır.

Senaryo

Senaryosu diyagramı

Nasıl güvenli

Rapor sunucusu hizmeti olmadan ssl proxy istemci ya da raporu için istemci istemci dolaylı ve doğrudan erişim bağlantıları sever.

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

4) İstemci uygulaması

  • Hizmet bağlama istemcisi için rapor sunucusu yaptırılabilir.

  • Proxy adı rapor sunucusu bilinmelidir ve rapor sunucusu yöneticisi Windows kayıt defteri girdisinde Proxy adı yapılandırmak ya url ayırma oluşturmak için ana bilgisayar üstbilgisi ile BackConnectionHostNames.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Any.

İstemci dolaylı ve doğrudan erişim için rapor sunucusu nerede istemci proxy veya rapor sunucusu için bir ssl bağlantısı kurar.

 RS_ExtendedProtection_CombinationSSL

1) İstemci uygulaması

2) Rapor sunucusu

3) Proxy

4) İstemci uygulaması

  • Kanal bağlama kullanılabilir

  • Proxy adı rapor sunucusu bilinmelidir ve rapor sunucusu yöneticisi url ayırma ile bir ana bilgisayar üstbilgisi proxy oluşturabilir veya Proxy adı Windows kayıt defteri girdisini yapılandırmak BackConnectionHostNames.

Set RSWindowsExtendedProtectionLevel to Allow or Require.

Set RSWindowsExtendedProtectionScenario to Proxy.

Genişletilmiş Rervices raporlama korumasını yapılandırma

rsreportserver.configDosyası bu davranışını denetlemek yapılandırma değerleri içeren Reporting ServicesGenişletilmiş koruma.

Düzenleme ve kullanma hakkında daha fazla bilgi için rsreportserver.configdosyası, bakın RSReportServer Yapılandırma dosyası. Genişletilmiş koruma ayarları da değiştirilebilir ve WMI API'leri kullanılarak denetlenir. Daha fazla bilgi için, bkz. SetExtendedProtectionSettings yöntemi (WMI MSReportServer_ConfigurationSetting).

Ne zaman tüm yapılandırma ayarlarını doğrulama başarısız, kimlik doğrulama türleri RSWindowsNTLM, RSWindowsKerberosve RSWindowsNegotiateraporu sunucuda devre dışı bırakıldı.

Raporlama Hizmetleri genişletilmiş koruma için yapılandırma ayarları

Aşağıdaki tabloda görünen yapılandırma ayarları hakkında bilgi sağlayan rsreportserver.configiçin genişletilmiş koruma.

Ayarı

Açıklama

RSWindowsExtendedProtectionLevel

Zorlama genişletilmiş koruma derecesini belirtir. Geçerli değerler Off, Allow, ve Require.

Varsayılan değer Off.

Değeri Offhiçbir kanal bağlama ya da hizmet bağlama doğrulaması belirler.

Değeri AllowGenişletilmiş koruma destekler, ancak bunu gerektirmez Değer ver belirtir.

  • Genişletilmiş koruma için genişletilmiş koruma destekleyen işletim sistemleri üzerinde çalışan istemci uygulamaları yürürlüğe girecektir. Koruma nasıl zorlanır ayarı belirlenen RsWindowsExtendedProtectionScenario.

  • Kimlik doğrulaması için genişletilmiş koruma desteklemeyen işletim sistemleri üzerinde çalışan uygulamalara izin verilir.

Değeri Requirebelirtir:

  • Genişletilmiş koruma için genişletilmiş koruma destekleyen işletim sistemleri üzerinde çalışan istemci uygulamaları yürürlüğe girecektir.

  • Kimlik doğrulama olacak değil genişletilmiş koruma desteklemeyen işletim sistemleri üzerinde çalışan uygulamalar için izin.

RsWindowsExtendedProtectionScenario

Genişletilmiş koruma ne türlü doğrulandığı belirtir: Kanal bağlama, hizmet bağlama ya da her ikisi. Geçerli değerler Any, Proxy, ve Direct.

Varsayılan değer Proxy.

Değeri Anybelirtir:

  • Windows ntlm, Kerberos ve anlaşma kimlik doğrulaması ve Kanal bağlama gerekli değildir.

  • Hizmet bağlama zorlanır.

Değeri Proxybelirtir:

  • Kanal bağlama belirteci varken Windows ntlm, Kerberos ve anlaşma kimlik doğrulaması.

  • SERVICE bağlama zorlanır.

Değeri Directbelirtir:

  • Bir Merkez Bankası'nın mevcut olduğunda Windows ntlm, Kerberos ve anlaşma kimlik doğrulaması, geçerli hizmetin ssl bağlantısı var ve Merkez Bankası'nın ssl bağlantısı için ntlm Kerberos TCMB eşleşiyor veya belirteç anlaşması.

  • SERVICE bağlama zorlanmaz.

NotNot
Bu ayar gözardı edilir RsWindowsExtendedProtectionLevelayarı OFF.

Örnek girişleri rsreportserver.configyapılandırma dosyası:

<Authentication>
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>

<Authentication>
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>

SERVICE bağlama ve içerdiği SPN

Hizmet bağlama hizmet asıl adları veya spn amaçlanan hedef kimlik doğrulama belirteçlerini doğrulamak için kullanır. Reporting Servicesgeçerli olarak kabul edilen SPN'ler listesini oluşturmak için varolan url ayırma bilgileri kullanır. spn ve url rezervasyonları doğrulamak için url ayırma bilgileri kullanarak, sistem yöneticilerinin her ikisi de tek bir konumdan yönetmek sağlar.

Geçerli SPN'ler listesini rapor sunucu başlatılır, genişletilmiş koruma için yapılandırma ayarları değiştiğinde ya da uygulama etki alanına geri dönüşümlü güncelleştirilir.

SPN'ler geçerli listesini, her uygulama için özeldir. Örneğin, rapor Yöneticisi ve rapor sunucusu farklı bir liste geçerli SPN'ler hesaplanan her var olacaktır.

Bir uygulama için hesaplanan geçerli SPN'ler listesini aşağıdaki faktörler dikkate alınarak belirlenir:

  • Her url ayırma.

  • Her bir spn, Raporlama Hizmetleri hizmet hesabı için etki alanı denetleyicisinden alınan.

  • url ayırma joker karakterler içeriyorsa ('* ' veya '+'), o zaman rapor sunucusu ana koleksiyon her giriş ekleyecektir.

Toplama kaynakları barındırır.

Aşağıdaki tabloda, ana koleksiyonu için potansiyel kaynakları listeler.

Kaynak türü

Açıklama

ComputerNameDnsDomain

Yerel bilgisayara atanan dns etki alanı adı. Yerel bilgisayar bir kümedeki bir düğüm, küme sanal sunucusunun dns etki alanı adı kullanılır.

ComputerNameDnsFullyQualified

Yerel bilgisayarı tanıtan, tam dns adı. Bu ad dns ana bilgisayar adı ve form kullanarak dns etki alanı adı bir kombinasyonudur HostName.DomainName. Yerel bilgisayar bir kümedeki bir düğüm, küme sanal sunucusunun tam dns adı kullanılır.

ComputerNameDnsHostname

Yerel bilgisayarın dns ana bilgisayar adı. Yerel bilgisayar bir kümedeki bir düğüm, küme sanal sunucusunun dns ana bilgisayar adı kullanılır.

ComputerNameNetBIOS

Yerel bilgisayarın NetBIOS adı. Yerel bilgisayar bir kümedeki bir düğüm, küme sanal sunucusunun NetBIOS adı kullanılır.

ComputerNamePhysicalDnsDomain

Yerel bilgisayara atanan dns etki alanı adı. Yerel bilgisayar bir kümeye düğüm ise, yerel bilgisayarın dns etki alanı adı kullanılır, küme sanal sunucusunun adı değil.

ComputerNamePhysicalDnsFullyQualified

Bilgisayarı tanıtan, tam dns adı. Yerel bilgisayar bir kümedeki bir düğümde yerel bilgisayarın tam dns adı ise, kullanılan küme sanal sunucusu adı değil.

dns ana bilgisayar adı ve form kullanarak dns etki alanı adı tam dns adıdır HostName.DomainName.

ComputerNamePhysicalDnsHostname

Yerel bilgisayarın dns ana bilgisayar adı. Yerel bilgisayar bir kümeye düğüm ise, yerel bilgisayarın dns ana bilgisayar adı kullanılır, küme sanal sunucusunun adı değil.

ComputerNamePhysicalNetBIOS

Yerel bilgisayarın NetBIOS adı. Yerel bilgisayar bir düğüm bir küme, yerel bilgisayarın NetBIOS adını, küme sanal sunucusunun adını değil ise.

SPN'ler eklendikçe izleme günlüğüne aşağıdakine benzer bir girdi eklenir:

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

Daha fazla bilgi için Rapor sunucusu hizmet asıl adı (spn) kayıtve url ayırmaları ve Tescili hakkında.

Ayrıca bkz.

Başvuru

SetExtendedProtectionSettings yöntemi (WMI MSReportServer_ConfigurationSetting)

Kavramlar

Genişletilmiş koruma kullanarak veritabanı altyapısı bağlanma

Raporu sunucu hizmeti izleme günlüğü

RSReportServer Yapılandırma dosyası

Diğer Kaynaklar

Özet kimlik doğrulaması için genişletilmiş koruma

Genişletilmiş koruma ile birlikte tümleşik Windows kimlik doğrulaması

Microsoft Güvenlik Danışma belgesi: Kimlik doğrulaması için genişletilmiş koruma