Protezione estesa per l'autenticazione con Reporting Services
La protezione estesa consiste in un set di miglioramenti apportati alle versioni recenti del sistema operativo MicrosoftWindows. La protezione estesa migliora la protezione di credenziali e autenticazione da parte delle applicazioni. La caratteristica non fornisce direttamente la protezione contro attacchi specifici quale l'inoltro delle credenziali, ma rende disponibile un'infrastruttura per le applicazioni, ad esempio Reporting Services, per l'imposizione della protezione estesa per l'autenticazione.
I principali miglioramenti introdotti riguardanti l'autenticazione che fanno parte della protezione estesa sono il binding di canale e l'associazione al servizio. Il binding di canale utilizza un token CBT (Channel Binding Token) per verificare che il canale stabilito tra due endpoint non sia compromesso. L'associazione al servizio utilizza nomi SPN (Service Principal Name) per convalidare la destinazione desiderata dei token di autenticazione. Per informazioni complementari sulla protezione estesa, vedere la pagina relativa all'autenticazione integrata di Windows con protezione estesa.
SQL Server 2008 R2 Reporting Servicessupporta e impone la protezione estesa abilitata nel sistema operativo e configurata in Reporting Services. Per impostazione predefinita, Reporting Services accetta le richieste che specificano l'autenticazione Negotiate o NTLM ed è pertanto in grado di usufruire del supporto della protezione estesa offerto dal sistema operativo e dalle caratteristiche di protezione estesa di Reporting Services.
Importante |
---|
Per impostazione predefinita, Windows non abilita la protezione estesa. Per informazioni sull'abilitazione della protezione estesa in Windows, vedere Maggiore protezione per l'autenticazione. Per garantire che l'autenticazione abbia esito positivo, è necessario che il sistema operativo e lo stack di autenticazione del client supportino entrambi la protezione estesa. Per i sistemi operativi meno recenti potrebbe essere necessario installare più aggiornamenti per ottenere un computer in grado di utilizzare appieno la protezione estesa. Per informazioni sugli sviluppi recenti della protezione estesa, vedere la pagina relativa alle informazioni aggiornate sulla protezione estesa. |
Cenni preliminari sulla protezione estesa di Reporting Services
SQL Server 2008 R2 Reporting Services supporta e impone la protezione estesa abilitata nel sistema operativo. Se il sistema operativo non supporta la protezione estesa o la caratteristica del sistema operativo non è stata abilitata, l'autenticazione eseguita dalla caratteristica di protezione estesa di Reporting Services avrà esito negativo. La protezione estesa di Reporting Services richiede inoltre un certificato SSL. Per ulteriori informazioni, vedere Configurazione di un server di report per le connessioni SSL (Secure Sockets Layer)
Importante |
---|
Per impostazione predefinita, Reporting Services non abilita la protezione estesa. La caratteristica può essere abilitata modificando il file di configurazione rsreportserver.config o utilizzando le API di WMI che consentono di aggiornare il file di configurazione. SQL Server 2008 R2 Reporting Servicesnon fornisce un'interfaccia utente per la modifica o la visualizzazione delle impostazioni relative alla protezione estesa. Per ulteriori informazioni, vedere la sezione relativa alle impostazioni di configurazione in questo argomento. |
I problemi comuni che si verificano a causa della modifica delle impostazioni relative alla protezione estesa o alla configurazione non corretta delle impostazioni non vengono esposti con messaggi o finestre di dialogo di errore. I problemi correlati alla configurazione e alla compatibilità della protezione estesa causano problemi di autenticazione ed errori nei log di traccia di Reporting Services. Per informazioni sulla risoluzione dei problemi e sulla verifica della protezione estesa con Reporting Services, vedere Risoluzione dei problemi relativi alla protezione estesa (Reporting Services).
Importante |
---|
Microsoft SQL Client non è stato aggiornato per supportare la protezione estesa al momento del rilascio di SQL Server 2008 R2. SQL Client viene utilizzato per connettersi alle origini dati di SQL Server e al database del catalogo Reporting Services. Questa limitazione di SQL Client determina un impatto su Reporting Services nei modi seguenti: Per l'istanza di SQL Server che esegue il database del catalogo di Reporting Services non è possibile abilitare la protezione estesa. In caso contrario, il server di report non sarà in grado di connettersi al database del catalogo e restituirà errori di autenticazione. Per le istanze di Server SQL utilizzate come origini dati di report Reporting Services non è possibile abilitare la protezione estesa. In caso contrario, i tentativi di connessione effettuati dal server di report alle origini dati dei report avranno esito negativo e verranno restituiti errori di autenticazione. Per risolvere il problema è possibile modificare le origini dati Reporting Services in modo che utilizzino provider nativi anziché SQL Client. Configurare ad esempio le origini dati per il driver ODBC che comporta l'utilizzo di SQL Native Client dotato del supporto per la protezione estesa. |
Aggiornamento
L'aggiornamento di un server Reporting Services a SQL Server 2008 R2 determina l'aggiunta delle impostazioni di configurazione con i valori predefiniti al file rsreportserver.config. Se le impostazioni già sono presenti, queste verranno mantenute nel file rsreportserver.config durante l'installazione di SQL Server 2008 R2.
Quando le impostazioni di configurazione vengono aggiunte al file di configurazione rsreportserver.config, la caratteristica di protezione estesa di Reporting Services è disattivata per impostazione predefinita ed è necessario abilitarla come descritto in questo argomento. Per ulteriori informazioni, vedere la sezione relativa alle impostazioni di configurazione in questo argomento.
Il valore predefinito per l'impostazione RSWindowsExtendedProtectionLevel è Off.
Il valore predefinito per l'impostazione RSWindowsExtendedProtectionScenario è Proxy.
Preparazione aggiornamento a SQL Server 2008 R2 non verifica se il sistema operativo o l'installazione corrente di Reporting Services dispone del supporto della protezione estesa abilitato.
Elementi non coperti dalla protezione estesa di Reporting Services
Le aree e gli scenari funzionali seguenti non sono supportati dalla caratteristica di protezione estesa di Reporting Services:
Gli autori di estensioni di sicurezza personalizzate di Reporting Services devono aggiungere il supporto per la protezione estesa all'estensione di sicurezza personalizzata.
Per supportare la protezione estesa, i componenti di terze parti aggiunti o utilizzati da un'installazione di Reporting Servicesdevono essere aggiornati dal fornitore di terze parti. Per ulteriori informazioni, contattare il fornitore di terze parti.
Scenari di distribuzione e indicazioni
Negli scenari seguenti vengono illustrate distribuzioni e topologie diverse, nonché la configurazione consigliata per proteggerle con la protezione estesa di Reporting Services.
Connessione diretta
In questo scenario viene descritta la connessione diretta a un server di report, ad esempio un ambiente Intranet.
Scenario |
Diagramma dello scenario |
Modalità di protezione |
---|---|---|
Comunicazione SSL diretta. Il server di report imporrà il binding di canale dal client al server di report. |
1) Applicazione client 2) Server di report |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Direct. |
Comunicazione HTTP diretta. Il server di report imporrà l'associazione al servizio dal client al server di report. |
1) Applicazione client 2) Server di report |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Any. |
Proxy e bilanciamento del carico di rete
Le applicazioni client si connettono a un dispositivo o a un software che esegue SSL e passa le credenziali al server per l'autenticazione, ad esempio in un ambiente Extranet, Internet o in una rete Intranet sicura. Il client si connette a un proxy o a tutti i client che utilizzano un proxy.
La situazione è analoga quando si utilizza un dispositivo per il bilanciamento del carico di rete (NLB).
Scenario |
Diagramma dello scenario |
Modalità di protezione |
---|---|---|
Comunicazione HTTP. Il server di report imporrà l'associazione al servizio dal client al server di report. |
1) Applicazione client 2) Server di report 3) Proxy |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Any.
|
Comunicazione HTTP. Il server di report imporrà il binding di canale dal client al proxy e l'associazione al servizio dal client al server di report. |
1) Applicazione client 2) Server di report 3) Proxy |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Proxy. |
Comunicazione HTTPS indiretta con un proxy sicuro. Il server di report imporrà il binding di canale dal client al proxy e l'associazione al servizio dal client al server di report. |
1) Applicazione client 2) Server di report 3) Proxy |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Proxy. |
Gateway
In questo scenario vengono descritte applicazioni client che si connettono a un dispositivo o a un software che esegue SSL e autentica l'utente. Il dispositivo o il software rappresenta quindi il contesto utente o un contesto utente diverso prima di inviare una richiesta al server di report.
Scenario |
Diagramma dello scenario |
Modalità di protezione |
---|---|---|
Comunicazione HTTP indiretta. Il gateway imporrà il binding di canale dal client al gateway. È disponibile un'associazione al servizio dal gateway al server di report. |
1) Applicazione client 2) Server di report 3) Dispositivo del gateway |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Any.
|
Comunicazione HTTPS indiretta con un gateway sicuro. Il gateway imporrà il binding di canale dal client al gateway e il server di report imporrà il binding di canale dal gateway al server di report. |
1) Applicazione client 2) Server di report 3) Dispositivo del gateway |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Direct.
|
Combinazione
In questo scenario viene descritto un ambiente Extranet o Internet in cui il client si connette a un proxy. Questo in combinazione con un ambiente Intranet in cui un client si connette al server di report.
Scenario |
Diagramma dello scenario |
Modalità di protezione |
---|---|---|
Accesso indiretto e diretto da client a servizio del server di report senza SSL su una delle connessioni da client a proxy o da client a server di report. |
1) Applicazione client 2) Server di report 3) Proxy 4) Applicazione client |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Any. |
Accesso indiretto e diretto da client a server di report in cui il client stabilisce una connessione SSL al proxy o al server di report. |
1) Applicazione client 2) Server di report 3) Proxy 4) Applicazione client |
Impostare RSWindowsExtendedProtectionLevel su Allow o Require. Impostare RSWindowsExtendedProtectionScenario su Proxy. |
Configurazione della protezione estesa di Reporting Services
Il file rsreportserver.config contiene i valori di configurazione che controllano il comportamento della protezione estesa di Reporting Services.
Per ulteriori informazioni sull'utilizzo e la modifica del file rsreportserver.config, vedere File di configurazione RSReportServer. Le impostazioni relative alla protezione estesa possono inoltre essere modificate e controllate utilizzando le API di WMI. Per ulteriori informazioni, vedere Metodo SetExtendedProtectionSettings (MSReportServer_ConfigurationSetting WMI).
Quando la convalida delle impostazioni di configurazione ha esito negativo, i tipi di autenticazione RSWindowsNTLM, RSWindowsKerberos e RSWindowsNegotiate vengono disabilitati nel server di report.
Impostazioni di configurazione per la protezione estesa di Reporting Services
Nella tabella seguente vengono fornite le informazioni sulle impostazioni di configurazione incluse nel file rsreportserver.config per la protezione estesa.
Impostazione |
Descrizione |
---|---|
RSWindowsExtendedProtectionLevel |
Specifica il grado di imposizione della protezione estesa. I valori validi sono Off, Allow e Require. Il valore predefinito è Off. Il valore Off specifica che non viene eseguita alcuna verifica del binding di canale o dell'associazione al servizio. Il valore Allow indica il supporto della protezione estesa senza tuttavia richiederlo. Il valore Allow specifica quanto segue:
Il valore Require specifica quanto segue:
|
RsWindowsExtendedProtectionScenario |
Specifica le forme di protezione estesa da convalidare, ovvero binding di canale, associazione al servizio o entrambe. I valori validi sono Any, Proxy e Direct. Il valore predefinito è Proxy. Il valore Any specifica quanto segue:
Il valore Proxy specifica quanto segue:
Il valore Direct specifica quanto segue:
Nota
Questa impostazione viene ignorata se RsWindowsExtendedProtectionLevel è impostata su OFF.
|
Voci di esempio nel file di configurazione rsreportserver.config:
<Authentication>
<RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>
Associazione al servizio e nomi SPN inclusi
L'associazione al servizio utilizza nomi SPN (Service Principal Name) per convalidare la destinazione desiderata dei token di autenticazione. Reporting Services utilizza le informazioni sulla prenotazione di URL esistenti per compilare un elenco di nomi SPN considerato valido. L'utilizzo delle informazioni sulla prenotazione di URL per la convalida dei nomi SPN e delle prenotazioni di URL consente agli amministratori di sistema di gestire entrambi gli elementi da un'unica posizione.
L'elenco di nomi SPN validi viene aggiornato all'avvio del server di report, al momento della modifica delle impostazioni di configurazione per la protezione estesa o quando viene riciclato il dominio applicazione.
L'elenco di nomi SPN validi è specifico di ogni applicazione. Ad esempio, Gestione report e il server di report necessitano ognuno di un elenco diverso di nomi SPN validi elaborati.
L'elenco di nomi SPN validi elaborati per un'applicazione è determinato dai fattori seguenti:
Ogni prenotazione di URL.
Ogni nome SPN recuperato dal controller di dominio per l'account del servizio Reporting Services.
Se una prenotazione di URL include caratteri jolly ("*" o "+"), il server di report aggiungerà ogni voce dalla raccolta Host.
Origini della raccolta Host.
Nella tabella seguente vengono elencate le origini potenziali per la raccolta Host.
Tipo di origine |
Descrizione |
---|---|
ComputerNameDnsDomain |
Nome di dominio DNS assegnato al computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome di dominio DNS del server virtuale del cluster. |
ComputerNameDnsFullyQualified |
Nome DNS completo che identifica in modo univoco il computer locale. Questo nome è una combinazione del nome host DNS e del nome di dominio DNS nel formato NomeHost.NomeDominio. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome DNS completo del server virtuale del cluster. |
ComputerNameDnsHostname |
Nome host DNS del computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome host DNS del server virtuale del cluster. |
ComputerNameNetBIOS |
Nome del NetBIOS del computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome del NetBIOS del server virtuale del cluster. |
ComputerNamePhysicalDnsDomain |
Nome di dominio DNS assegnato al computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome di dominio DNS del computer locale, anziché il nome del server virtuale del cluster. |
ComputerNamePhysicalDnsFullyQualified |
Nome DNS completo che identifica in modo univoco il computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome DNS completo del computer locale, anziché il nome del server virtuale del cluster. Il nome DNS completo è una combinazione del nome host DNS e del nome di dominio DNS nel formato NomeHost.NomeDominio. |
ComputerNamePhysicalDnsHostname |
Nome host DNS del computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome host DNS del computer locale, anziché il nome del server virtuale del cluster. |
ComputerNamePhysicalNetBIOS |
Nome del NetBIOS del computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome del NetBIOS del computer locale, anziché il nome del server virtuale del cluster. |
L'aggiunta di nomi SPN determina l'aggiunta al log di traccia di una voce simile alle seguenti:
rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.
rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.
Per ulteriori informazioni, vedere Procedura: Registrazione di un nome dell'entità servizio (SPN) per un server di report e Informazioni su prenotazioni e registrazione URL (Reporting Services).
Vedere anche