Konfigurieren der Standardauthentifizierung auf dem Berichtsserver

Standardmäßig akzeptiert SQL Server Reporting Services (SSRS) Anforderungen, die die Authentifizierung von Negotiate und New Technology LAN Manager (NTLM) angeben. Wenn Ihre Bereitstellung Client-Anwendungen oder Browser umfasst, die die Standardauthentifizierung verwenden, müssen Sie die Standardauthentifizierung in die Liste der unterstützten Typen aufnehmen. Auch müssen Sie den anonymen Zugriff auf die Dateien des Berichts-Generators aktivieren, wenn Sie mit dem Berichts-Generator arbeiten möchten.

Um die Standardauthentifizierung auf dem SSRS-Berichtsserver zu konfigurieren, bearbeiten Sie die XML-Elemente und -werte in der Datei RSReportServer.config. Sie können die Beispiele in diesem Artikel kopieren und einfügen, um die Standardwerte zu ersetzen. Nach einer Aktivierung der Standardauthentifizierung können Benutzer die Option Integrierte Sicherheit von Windows nicht auswählen, wenn Sie die Verbindungseigenschaften auf eine externe Datenquelle einstellen, die Daten an einen Bericht übergibt. Die Option ist auf den Seiten zu den Datenquelleneigenschaften nicht verfügbar.

Voraussetzungen

  • Im nativen Modus konfigurierter Berichtsserver.
  • Schreibberechtigungen für die Datei „RSReportServer.config“.

Sicherheitsüberlegungen für die Standardauthentifizierung

Bevor Sie die Standardauthentifizierung aktivieren, stellen Sie sicher, dass sie von der Sicherheitsinfrastruktur unterstützt wird. Unter der Standardauthentifizierung übergibt der Berichtsserver-Webdienst Anmeldedaten an die lokale Sicherheitsinstanz. Wenn die Anmeldedaten auf ein lokales Benutzerkonto verweisen, authentifiziert die lokale Sicherheitsautorität auf dem Berichtsserver den Benutzer. Anschließend erhält der Benutzer ein Sicherheitstoken, das für lokale Ressourcen gültig ist. Anmeldeinformationen für Domänenbenutzerkonten werden an einen Domänencontroller weitergeleitet und von diesem authentifiziert. Das resultierende Ticket gilt für Netzwerkressourcen.

Wenn Sie das Risiko einschränken möchten, dass Anmeldeinformationen während der Übertragung auf einen Domänencontroller in Ihrem Netzwerk abgefangen werden, benötigen Sie eine Verschlüsselung auf Kanalebene wie Transport Layer Security (TLS), früher als Secure Sockets Layer (SSL) bezeichnet. Die Standardauthentifizierung selbst überträgt den Benutzernamen in Klartext und das Kennwort in base64-Codierung. Die zusätzliche Verschlüsselung auf Kanalebene macht das Paket unlesbar. Weitere Informationen finden Sie unter Konfigurieren von TLS-Verbindungen auf einem Berichtsserver im nativen Modus.

Hinweis

Die folgenden Anweisungen beziehen sich auf Berichtsserver, die im einheitlichen Modus ausgeführt werden. Wenn der Berichtserver im integrierten SharePoint-Modus bereitgestellt wird, müssen die Standardauthentifizierungseinstellungen verwendet werden, welche die integrierte Sicherheit von Windows angeben. Der Berichtsserver verwendet interne Erweiterungsfunktionen für die Standard-Windows-Authentifizierung, um Berichtsserver zu unterstützen, die im integrierten SharePoint-Modus ausgeführt werden.

Konfigurieren eines Berichtsservers für die Verwendung der Standardauthentifizierung

  1. Öffnen Sie die Konfigurationsdatei RSReportServer.config in einem Text-Editor. Informationen zum Standort der Konfigurationsdatei finden Sie unter RsReportServer.config-Konfigurationsdatei.

  2. Wechseln Sie in der Datei zur <Authentication> Zeile.

  3. Sehen Sie sich die folgenden XML-Strukturen an und kopieren Sie diejenige, die Ihren Anforderungen am besten entspricht. Die erste XML-Struktur stellt Platzhalter Realm und DefaultDomain bereit, über die Sie alle im nächsten Abschnitt beschriebenen Elemente angegeben können:

    Gilt für: SQL Server Reporting Services (2016)

    <Authentication>
          <AuthenticationTypes>
                <RSWindowsBasic>
                      <LogonMethod>3</LogonMethod>
                      <Realm></Realm>
                      <DefaultDomain></DefaultDomain>
                </RSWindowsBasic>
          </AuthenticationTypes>
          <EnableAuthPersistence>true</EnableAuthPersistence>
    </Authentication>
    

    Wenn Sie Standardwerte verwenden, können Sie die folgende Struktur verwenden, wodurch die Anzahl der Elemente minimiert wird:

    <AuthenticationTypes>
          <RSWindowsBasic/>
    </AuthenticationTypes>
    

    Gilt für: SQL Server Reporting Services (2017 und höher) Power BI-Berichtsserver

    <Authentication>
          <AuthenticationTypes>
                <RSWindowsBasic/>
          </AuthenticationTypes>
          <EnableAuthPersistence>true</EnableAuthPersistence>
          <RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>
          <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>
    </Authentication>
    
  4. Ersetzen Sie in der Konfigurationsdatei den vorhandenen <Authentication> Abschnitt durch die Struktur, die Sie kopiert haben.

    Wenn Sie mehrere Authentifizierungstypen verwenden, fügen Sie das RSWindowsBasic-Element ein, löschen Sie jedoch die Einträge für RSWindowsNegotiate, RSWindowsNTLM oder RSWindowsKerberos nicht.

    Beachten Sie, dass Sie Custom-Authentifizierungstyp nicht mit anderen Authentifizierungstypen verwenden können.

  5. Ersetzen Sie leere Werte für <Realm> oder <DefaultDomain> durch Werte, die für Ihre Umgebung gültig sind. Entsprechende Werte finden Sie im nächsten Abschnitt.

  6. Speichern Sie die Datei .

  7. Wenn Sie eine horizontal skalierte Bereitstellung verwendet haben, wiederholen Sie diese Schritte für andere in der Bereitstellung vorhandene Berichtsserver.

  8. Starten Sie alle Berichtsserver neu, die Sie für die Standardauthentifizierung konfiguriert haben. In diesem Schritt werden alle derzeit geöffneten Sitzungen gelöscht.

Werte für Standardauthentifizierungs-Elemente

Sie können die folgenden Elemente angeben, wenn Sie einen RSWindowsBasic Abschnitt zum Konfigurieren der Standardauthentifizierung verwenden.

Element Erforderlich Gültige Werte
LogonMethod Ja

Wenn Sie keinen Wert angeben, wird 3 verwendet.
Verwenden Sie den Wert 2 für eine Netzwerkanmeldung. Verwenden Sie diesen Wert für Hochleistungsserver zur Authentifizierung von Klartext-Kennwörtern vorgesehen.

Verwenden Sie den Wert 3 für eine Klartextanmeldung. Wenn Sie diesen Wert verwenden, bei dem es sich um den Standardwert handelt, bleiben Anmeldeinformationen im Authentifizierungspaket erhalten, das mit jeder HTTP-Anforderung gesendet wird. Der Server imitiert dann den Benutzer, wenn er eine Verbindung mit anderen Servern im Netzwerk herstellt.

Hinweis: Die Werte 0 (für die interaktive Anmeldung) und 1 (für die Batchanmeldung) werden in SQL Server 2016 (13.x) Reporting Services oder höher (SSRS) nicht unterstützt.
Realm Optional Dieses Element gibt eine Ressourcenpartition mit Autorisierungs- und Authentifizierungsfunktionen an, mit der der Zugriff auf geschützte Ressourcen in Ihrem Unternehmen gesteuert wird.
DefaultDomain Optional Dieses Element gibt die Domäne an, die der Server zum Authentifizieren von Benutzern verwendet. Dieser Wert ist optional. Wenn Sie ihn weglassen, verwendet der Berichtsserver den Computernamen als Domäne. Wenn der Computer zu einer Domäne gehört, ist diese Domäne die Standarddomäne. Wenn Sie den Berichtsserver auf einem Domänencontroller installiert haben, ist die verwendete Domäne die vom Computer gesteuerte.