Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma
Genişletilmiş koruma geliştirmeleri için son sürümleri kümesidir Microsoftpencere eşiği iş sistem. Genişletilmiş koruma, kimlik ve kimlik doğrulama uygulamaları tarafından nasıl korunabilir geliştirir. Özelliğin kendisi doğrudan kimlik bilgisi iletimi gibi belirli saldırılara karşı koruma sağlamaz, ancak gibi uygulamalar için bir altyapı sağlar Reporting Serviceskimlik doğrulaması için genişletilmiş koruma uygulamak için.
Genişletilmiş koruma parçası olan ana kimlik doğrulama hizmet bağlama ve Kanal bağlama geliştirmelerdir. Kanal bağlama bir kanal bağlama belirteci (cbt), iki uç nokta arasında kurulan Kanal değil tatlıya doğrulamak için kullanır. Hizmet bağlama hizmet asıl adları (spn) amaçlanan hedef kimlik doğrulama belirteçlerini doğrulamak için kullanır. Genişletilmiş koruma hakkında daha fazla arka plan bilgileri için bkz: Tümleşik Windows kimlik doğrulaması genişletilmiş koruma ile birlikte.
SQL Server 2012 Reporting Servicesdestekler ve işletim sisteminde etkinleştirilmiş ve yapılandırılmış genişletilmiş koruma zorlayan Reporting Services. Varsayılan olarak, Reporting ServicesAnlaş veya ntlm kimlik doğrulaması belirtin ve bu nedenle işletim sistemindeki genişletilmiş koruma desteğinden faydalı olacağını isteklerini kabul eder ve Reporting ServicesGenişletilmiş koruma özellikleri.
Önemli |
---|
Varsayılan olarak, Windows, genişletilmiş koruma etkinleştirmez. Genişletilmiş koruma Windows etkinleştirme hakkında daha fazla bilgi için bkz: Kimlik doğrulaması için genişletilmiş koruma. Bu kimlik doğrulama başarılı şekilde hem işletim sistemi hem de istemci kimlik doğrulaması yığını genişletilmiş koruma desteklemesi gerekir. Eski işletim sistemleri için yükleme daha fazla tek bir güncelleştirme için tam, genişletilmiş koruma hazır bilgisayar gerekebilir. Genişletilmiş koruma ile son gelişmeler hakkında daha fazla bilgi için bkz: güncelleştirilmiş bilgileri genişletilmiş koruma ile. |
Raporlama Hizmetleri, genişletilmiş koruma genel bakış
SQL Server 2012 Reporting Servicesdestekler ve etkin işletim sistemi genişletilmiş koruma zorlar. İşletim sistemi genişletilmiş koruma desteklemiyor ya da işletim sistemi özelliği etkin değilse, Reporting ServicesGenişletilmiş koruma özelliğini kimlik doğrulaması başarısız olur. Reporting ServicesGenişletilmiş koruma da bir ssl sertifikası gerektirir. Daha fazla bilgi için bkz.Rapor sunucusunda ssl bağlantılarını yapılandırma
Önemli |
---|
Varsayılan olarak, Reporting ServicesGenişletilmiş koruma etkinleştirmez. Değiştirerek özelliğinin etkinleştirilebilmesi için rsreportserver.configyapılandırma dosyası ya da yapılandırma dosyasını güncelleştirmek için WMI API'leri kullanarak. SQL Server 2012 Reporting Serviceskoruma ayarlarını değiştirmek veya görüntülemek için bir kullanıcı arabirimi genişletilmiş sağlamaz. Daha fazla bilgi için bkz: yapılandırma ayarlarını bu konu bölümünde. |
Koruma ayarları değişiklikleri nedeniyle oluşan ortak sorunları genişletilmiş veya hatalı yapılandırılmış ayarları are değil be maruz bariz hata iletileri ile veya windows iletişim. Genişletilmiş koruma yapılandırma ve uyumluluk sonucu kimlik doğrulama başarısızlıkları ve hatalar ile ilgili sorunlar Reporting Servicesizleme günlüklerini. Sorun giderme ve genişletilmiş koruma ile doğrulama hakkında bilgi için Reporting ServicesbakınTroubleshooting Extended Protection (Reporting Services)
Önemli |
---|
Bazı veri erişim teknolojileri, genişletilmiş koruma desteklemeyebilir. SQL Server veri kaynakları ve e bağlanmak için bir veri erişim teknolojisi kullanılan Reporting ServicesKatalog veritabanı. Hata veri erişim teknolojisini genişletilmiş koruma etkileri desteklemek için Reporting Servicesşu şekilde:
Bir veri erişim teknolojisini belgelerine, genişletilmiş koruma için destek hakkında bilgi olmalıdır. |
Yükseltme
Yükseltme bir Reporting Servicesserver SQL Server 2012yapılandırma ayarları için varsayılan değerlerle ekler rsreportserver.configdosyası. Eğer ayarlar zaten mevcut, SQL Server 2012yükleme-korumak tanesi rsreportserver.configdosyası.
Ne zaman yapılandırma ayarları eklenir rsreportserver.configyapılandırma dosyası, varsayılan davranış olduğu için Reporting ServicesGenişletilmiş koruma özelliğini kapalı ve bu konuda ileride açıklandığı özelliğini etkinleştirmeniz gerekir. Daha fazla bilgi için bkz: yapılandırma ayarlarını bu konu bölümünde.
Ayar için varsayılan değer RSWindowsExtendedProtectionLevelolan Off.
Ayar için varsayılan değer RSWindowsExtendedProtectionScenarioolan Proxy.
SQL Server 2012Yükseltme Danışmanı, doğrulamak değil işletim sistemi veya geçerli yüklemesinin Reporting Servicesolan genişletilmiş koruma desteği etkin.
Ne genişletilmiş Raporlama Servisleri koruma kapsamaz
Aşağıdaki özellik alanları ve senaryolar tarafından desteklenmeyen Reporting ServicesGenişletilmiş koruma özelliğini:
Yazarları Reporting Servicesözel güvenlik uzantıları için kendi özel güvenlik uzantısı için genişletilmiş koruma desteği eklemeniz gerekir.
Üçüncü parti bileşenler eklenebilir veya tarafından kullanılan bir Reporting ServicesYükleme genişletilmiş koruma desteklemek için üçüncü taraf satıcı tarafından updated. Daha fazla bilgi için üçüncü taraf satıcınıza başvurun.
Dağıtım senaryoları ve öneriler
Aşağıdaki senaryolar farklı dağıtımları ve topoloji ve onları korumak için önerilen yapılandırma göstermek Reporting ServicesGenişletilmiş koruma.
Doğrudan
Bu senaryoda, doğrudan bağlanmak için rapor sunucusu, örneğin, bir intranet ortamı açıklanmaktadır.
Senaryo |
Senaryosu diyagramı |
Nasıl güvenli |
---|---|---|
Doğrudan ssl iletişim. Rapor sunucusu raporu sunucu Kanal bağlama için istemci zorunlu kılar. |
1) İstemci uygulaması 2) Rapor sunucusu |
Set RSWindowsExtendedProtectionLevel to Allow or Require. Set RSWindowsExtendedProtectionScenario to Direct. |
Doğrudan ssl iletişim. Rapor sunucusu rapor sunucusu hizmet bağlama istemci zorunlu kılar. |
1) İstemci uygulaması 2) Rapor sunucusu |
Set RSWindowsExtendedProtectionLevel to Allow or Require. Set RSWindowsExtendedProtectionScenario to Any. |
Proxy ve Ağ Yükü Dengeleme
İstemci uygulamaları, bir aygıt veya yazılım ssl gerçekleştirir ve kimlik bilgileri ile kimlik doğrulaması, sunucu, extranet, Internet ya da Intranet güvenli geçirir bağlayın. İstemci bir Proxy sunucuya bağlanır veya tüm istemcilerin proxy kullanın.
Bir Ağ Yükü Dengeleme (nlb) aygıtı kullanırken durum aynıdır.
Senaryo |
Senaryosu diyagramı |
Nasıl güvenli |
---|---|---|
http iletişim. Rapor sunucusu raporu sunucu hizmeti bağlama istemciye zorunlu kılar. |
1) İstemci uygulaması 2) Rapor sunucusu 3) Proxy |
Set RSWindowsExtendedProtectionLevel to Allow or Require. Set RSWindowsExtendedProtectionScenario to Any.
|
http iletişim. Rapor sunucusu, Proxy Kanal bağlama için istemci ve istemci için rapor sunucusu hizmet bağlama zorunlu kılar. |
1) İstemci uygulaması 2) Rapor sunucusu 3) Proxy |
RSWindowsExtendedProtectionLevelto Allow or Require. Set RSWindowsExtendedProtectionScenario to Proxy. |
Güvenli proxy ile dolaylı https iletişim. Rapor sunucusu, istemci proxy Kanal bağlama ve rapor sunucusu hizmet bağlama istemciye zorunlu kılar. |
1) İstemci uygulaması 2) Rapor sunucusu 3) Proxy |
RSWindowsExtendedProtectionLevelto Allow or Require. Set RSWindowsExtendedProtectionScenario to Proxy. |
Ağ Geçidi
Bu senaryoda, istemci uygulamaları bir aygıt veya kullanıcının kimliğini doğrular ve ssl gerçekleştiren bir yazılım bağlanma anlatılmaktadır. Bu rapor sunucusunda istekte önce aygıt veya yazılım kullanıcı bağlamı veya farklı bir kullanıcı bağlamında kullanır.
Senaryo |
Senaryosu diyagramı |
Nasıl güvenli |
---|---|---|
Dolaylı http iletişim. Ağ Geçidi istemci ağ geçidi Kanal bağlama zorunlu kılar. Rapor sunucusu hizmet bağlama Geçidi yoktur. |
1) İstemci uygulaması 2) Rapor sunucusu 3) Ağ geçidi aygıtı |
Set RSWindowsExtendedProtectionLevel to Allow or Require. Set RSWindowsExtendedProtectionScenario to Any.
|
Güvenli bir ağ geçidi ile dolaylı https iletişim. Ağ Geçidi istemci ağ geçidi Kanal bağlama için zorlar ve rapor sunucusu rapor sunucusu Kanal bağlama geçidine zorunlu kılar. |
1) İstemci uygulaması 2) Rapor sunucusu 3) Ağ geçidi aygıtı |
Set RSWindowsExtendedProtectionLevel to Allow or Require. Set RSWindowsExtendedProtectionScenario to Direct.
|
Kombinasyon
Bu senaryoda, istemci bir Proxy nereye bağlanır Extranet veya Internet ortamları anlatılmaktadır. Nerede bir müşteri rapor sunucuya bağlanan bir intranet ortamı ile birlikte olmasıdır.
Senaryo |
Senaryosu diyagramı |
Nasıl güvenli |
---|---|---|
Rapor sunucusu hizmeti olmadan ssl proxy istemci ya da raporu için istemci istemci dolaylı ve doğrudan erişim bağlantıları sever. |
1) İstemci uygulaması 2) Rapor sunucusu 3) Proxy 4) İstemci uygulaması |
Set RSWindowsExtendedProtectionLevel to Allow or Require. Set RSWindowsExtendedProtectionScenario to Any. |
İstemci dolaylı ve doğrudan erişim için rapor sunucusu nerede istemci proxy veya rapor sunucusu için bir ssl bağlantısı kurar. |
1) İstemci uygulaması 2) Rapor sunucusu 3) Proxy 4) İstemci uygulaması |
Set RSWindowsExtendedProtectionLevel to Allow or Require. Set RSWindowsExtendedProtectionScenario to Proxy. |
Genişletilmiş Rervices raporlama korumasını yapılandırma
rsreportserver.configDosyası bu davranışını denetlemek yapılandırma değerleri içeren Reporting ServicesGenişletilmiş koruma.
Düzenleme ve kullanma hakkında daha fazla bilgi için rsreportserver.configdosyası, bakın RSReportServer Yapılandırma dosyası. Genişletilmiş koruma ayarları da değiştirilebilir ve WMI API'leri kullanılarak denetlenir. Daha fazla bilgi için, bkz. SetExtendedProtectionSettings yöntemi (WMI MSReportServer_ConfigurationSetting).
Ne zaman tüm yapılandırma ayarlarını doğrulama başarısız, kimlik doğrulama türleri RSWindowsNTLM, RSWindowsKerberosve RSWindowsNegotiateraporu sunucuda devre dışı bırakıldı.
Raporlama Hizmetleri genişletilmiş koruma için yapılandırma ayarları
Aşağıdaki tabloda görünen yapılandırma ayarları hakkında bilgi sağlayan rsreportserver.configiçin genişletilmiş koruma.
Ayarı |
Açıklama |
---|---|
RSWindowsExtendedProtectionLevel |
Zorlama genişletilmiş koruma derecesini belirtir. Geçerli değerler Off, Allow, ve Require. Varsayılan değer Off. Değeri Offhiçbir kanal bağlama ya da hizmet bağlama doğrulaması belirler. Değeri AllowGenişletilmiş koruma destekler, ancak bunu gerektirmez Değer ver belirtir.
Değeri Requirebelirtir:
|
RsWindowsExtendedProtectionScenario |
Genişletilmiş koruma ne türlü doğrulandığı belirtir: Kanal bağlama, hizmet bağlama ya da her ikisi. Geçerli değerler Any, Proxy, ve Direct. Varsayılan değer Proxy. Değeri Anybelirtir:
Değeri Proxybelirtir:
Değeri Directbelirtir:
Not
Bu ayar gözardı edilir RsWindowsExtendedProtectionLevelayarı OFF.
|
Örnek girişleri rsreportserver.configyapılandırma dosyası:
<Authentication>
<RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>
<Authentication>
<RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>
SERVICE bağlama ve içerdiği SPN
Hizmet bağlama hizmet asıl adları veya spn amaçlanan hedef kimlik doğrulama belirteçlerini doğrulamak için kullanır. Reporting Servicesgeçerli olarak kabul edilen SPN'ler listesini oluşturmak için varolan url ayırma bilgileri kullanır. spn ve url rezervasyonları doğrulamak için url ayırma bilgileri kullanarak, sistem yöneticilerinin her ikisi de tek bir konumdan yönetmek sağlar.
Geçerli SPN'ler listesini rapor sunucu başlatılır, genişletilmiş koruma için yapılandırma ayarları değiştiğinde ya da uygulama etki alanına geri dönüşümlü güncelleştirilir.
SPN'ler geçerli listesini, her uygulama için özeldir. Örneğin, rapor Yöneticisi ve rapor sunucusu farklı bir liste geçerli SPN'ler hesaplanan her var olacaktır.
Bir uygulama için hesaplanan geçerli SPN'ler listesini aşağıdaki faktörler dikkate alınarak belirlenir:
Her url ayırma.
Her bir spn, Raporlama Hizmetleri hizmet hesabı için etki alanı denetleyicisinden alınan.
url ayırma joker karakterler içeriyorsa ('* ' veya '+'), o zaman rapor sunucusu ana koleksiyon her giriş ekleyecektir.
Toplama kaynakları barındırır.
Aşağıdaki tabloda, ana koleksiyonu için potansiyel kaynakları listeler.
Kaynak türü |
Açıklama |
---|---|
ComputerNameDnsDomain |
Yerel bilgisayara atanan dns etki alanı adı. Yerel bilgisayar bir kümedeki bir düğüm, küme sanal sunucusunun dns etki alanı adı kullanılır. |
ComputerNameDnsFullyQualified |
Yerel bilgisayarı tanıtan, tam dns adı. Bu ad dns ana bilgisayar adı ve form kullanarak dns etki alanı adı bir kombinasyonudur HostName.DomainName. Yerel bilgisayar bir kümedeki bir düğüm, küme sanal sunucusunun tam dns adı kullanılır. |
ComputerNameDnsHostname |
Yerel bilgisayarın dns ana bilgisayar adı. Yerel bilgisayar bir kümedeki bir düğüm, küme sanal sunucusunun dns ana bilgisayar adı kullanılır. |
ComputerNameNetBIOS |
Yerel bilgisayarın NetBIOS adı. Yerel bilgisayar bir kümedeki bir düğüm, küme sanal sunucusunun NetBIOS adı kullanılır. |
ComputerNamePhysicalDnsDomain |
Yerel bilgisayara atanan dns etki alanı adı. Yerel bilgisayar bir kümeye düğüm ise, yerel bilgisayarın dns etki alanı adı kullanılır, küme sanal sunucusunun adı değil. |
ComputerNamePhysicalDnsFullyQualified |
Bilgisayarı tanıtan, tam dns adı. Yerel bilgisayar bir kümedeki bir düğümde yerel bilgisayarın tam dns adı ise, kullanılan küme sanal sunucusu adı değil. dns ana bilgisayar adı ve form kullanarak dns etki alanı adı tam dns adıdır HostName.DomainName. |
ComputerNamePhysicalDnsHostname |
Yerel bilgisayarın dns ana bilgisayar adı. Yerel bilgisayar bir kümeye düğüm ise, yerel bilgisayarın dns ana bilgisayar adı kullanılır, küme sanal sunucusunun adı değil. |
ComputerNamePhysicalNetBIOS |
Yerel bilgisayarın NetBIOS adı. Yerel bilgisayar bir düğüm bir küme, yerel bilgisayarın NetBIOS adını, küme sanal sunucusunun adını değil ise. |
SPN'ler eklendikçe izleme günlüğüne aşağıdakine benzer bir girdi eklenir:
rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.
rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.
Daha fazla bilgi için Rapor sunucusu hizmet asıl adı (spn) kayıtve url ayırmaları ve Tescili hakkında.
Ayrıca bkz.
Başvuru
SetExtendedProtectionSettings yöntemi (WMI MSReportServer_ConfigurationSetting)
Kavramlar
Genişletilmiş koruma kullanarak veritabanı altyapısı bağlanma
Raporu sunucu hizmeti izleme günlüğü
RSReportServer Yapılandırma dosyası
Diğer Kaynaklar
Özet kimlik doğrulaması için genişletilmiş koruma
Genişletilmiş koruma ile birlikte tümleşik Windows kimlik doğrulaması
Microsoft Güvenlik Danışma belgesi: Kimlik doğrulaması için genişletilmiş koruma