Настройка базовой проверки подлинности на сервере отчетов

  • Статья

По умолчанию SQL Server Reporting Services (SSRS) принимает запросы, указывающие проверку подлинности "Согласование" и "Новая технология LAN Manager" (NTLM). Если конфигурация развертывания включает клиентские приложения или браузеры, использующие обычную проверку подлинности, то необходимо добавить обычную проверку подлинности в список поддерживаемых типов. Кроме того, если вы хотите использовать построитель отчетов, необходимо включить анонимный доступ к файлам построитель отчетов.

Чтобы настроить обычную проверку подлинности на сервере отчетов SSRS, измените XML-элементы и значения в файле RSReportServer.config. Вы можете скопировать и вставить примеры в этой статье, чтобы заменить значения по умолчанию. После включения базовой проверки подлинности пользователи не могут выбрать параметр встроенной безопасности Windows при установке свойств подключения для внешнего источника данных, предоставляющего данные отчету. Параметр недоступен на страницах свойств источника данных.

Необходимые компоненты

  • Настроенный сервер отчетов в собственном режиме.
  • Разрешения на запись для файла RSReportServer.config.

Рекомендации по безопасности для базовой проверки подлинности

Прежде чем включать обычную проверку подлинности, убедитесь, что инфраструктура безопасности ее поддерживает. В разделе "Обычная проверка подлинности" веб-служба сервера отчетов передает учетные данные локальному центру безопасности. Если учетные данные указывают учетную запись локального пользователя, локальный центр безопасности на сервере отчетов проходит проверку подлинности пользователя. Затем пользователь получает маркер безопасности, действительный для локальных ресурсов. Учетные данные для учетных записей домена пересылаются на контроллер домена, который выполняет проверку их подлинности. Полученный в результате проверки билет действует для доступа к сетевым ресурсам.

Шифрование канала (например, по протоколу TLS [ранее — SSL]) необходимо для тех случаев, когда надо снизить риск перехвата учетных данных во время пересылки по сети на контроллер домена. Сама процедура обычной проверки подлинности подразумевает передачу имени пользователя открытым текстом, а пароля — в кодировке Base 64. Шифрование канала позволяет сделать пакет нечитаемым. Дополнительные сведения см. в разделе "Настройка ПОДКЛЮЧЕНИй TLS" на сервере отчетов в собственном режиме.

Примечание.

Следующие параметры настраиваются для сервера отчетов, работающего в собственном режиме. Если развертывание сервера отчетов производилось в режиме интеграции с SharePoint, то необходимо пользоваться настройками проверки подлинности по умолчанию, в которых задана встроенная безопасность Windows. Сервер отчетов использует внутренние функции в расширении проверки подлинности Windows по умолчанию для поддержки сервера отчетов в интегрированном режиме SharePoint.

Настройка сервера отчетов для использования базовой проверки подлинности

  1. Откройте файл конфигурации RSReportServer.config в текстовом редакторе. Сведения о расположении файла конфигурации см . в файле конфигурации RsReportServer.config.

  2. В файле перейдите к строке <Authentication> .

  3. Просмотрите следующие XML-структуры и скопируйте тот, который лучше всего соответствует вашим потребностям. Первая структура XML предоставляет заполнители для Realm элементов и DefaultDomain элементов, описанных в следующем разделе.

    Область применения: SQL Server Reporting Services (2016)

    <Authentication>
      <AuthenticationTypes>
            <RSWindowsBasic>
                  <LogonMethod>3</LogonMethod>
                  <Realm></Realm>
                  <DefaultDomain></DefaultDomain>
            </RSWindowsBasic>
      </AuthenticationTypes>
      <EnableAuthPersistence>true</EnableAuthPersistence>
</Authentication>

    При использовании значений по умолчанию можно использовать следующую структуру, которая сводит к минимуму количество элементов:

    <AuthenticationTypes>
      <RSWindowsBasic/>
</AuthenticationTypes>

    Область применения: службы SQL Server Reporting Services (2017 и более поздние версии) Сервер отчетов Power BI 

    <Authentication>
      <AuthenticationTypes>
            <RSWindowsBasic/>
      </AuthenticationTypes>
      <EnableAuthPersistence>true</EnableAuthPersistence>
      <RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>
      <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>
</Authentication>

  4. В файле конфигурации замените существующий <Authentication> раздел скопированной структурой.

    Если вы используете несколько типов проверки подлинности, добавьте RSWindowsBasic элемент, но не удаляйте записи для RSWindowsNegotiate, RSWindowsNTLMили RSWindowsKerberos.

    Нельзя использовать Custom тип проверки подлинности с другими типами проверки подлинности.

  5. Замените пустые <Realm> и <DefaultDomain> значения значениями, допустимыми для вашей среды. Соответствующие значения см. в следующем разделе.

  6. Сохраните файл.

  7. При использовании горизонтального развертывания повторите эти действия для других серверов отчетов в развертывании.

  8. Перезапустите все серверы отчетов, настроенные для базовой проверки подлинности. Этот шаг очищает все открытые сеансы.

Значения элементов базовой проверки подлинности

При использовании раздела для настройки базовой RSWindowsBasic проверки подлинности можно указать следующие элементы.

Элемент Обязательное поле Допустимые значения
LogonMethod Да

Если значение не указано, используется 3.		 Используйте значение 2 для входа в сеть. Используйте это значение для серверов высокой производительности для проверки подлинности паролей с открытым текстом.

Используйте значение 3 для входа с четким текстом. При использовании этого значения, являющегося значением по умолчанию, учетные данные входа сохраняются в пакете проверки подлинности, который отправляется с каждым HTTP-запросом. Затем сервер олицетворяет пользователя при подключении к другим серверам в сети.

Примечание. Значения 0 (для интерактивного входа) и 1 (для пакетного входа) не поддерживаются в SQL Server 2016 (13.x) Reporting Services или более поздней версии (SSRS).
Область Необязательно Этот элемент указывает секцию ресурсов, включающую функции авторизации и проверки подлинности, используемые для управления доступом к защищенным ресурсам в организации.
DefaultDomain Необязательно Этот элемент указывает домен, используемый сервером для проверки подлинности пользователя. Это значение является необязательным, но если опустить его, сервер отчетов использует имя компьютера в качестве домена. Если компьютер является членом домена, этот домен является доменом по умолчанию. Если установить сервер отчетов на контроллере домена, используемый домен является тем, который управляется компьютером.

Связанный контент