Kerberos pour la Business Intelligence

Kerberos pour la Business Intelligence

Jean-Pierre Riehl Membre du Board http://blog.djeepy1.net @djeepy1 MVPSQL Server MCSA: SQL Server 2012 MCITP: Business Intelligence Developer 2008 MCITP: Database Administrator 2008 MCPD : Enterprise Application Microsoft Certified Trainer Pure-Player Microsoft • Practice Collaboration • Practice Data & Business Intelligence • Practice Infrastructure • Practice Développement

La mission : «Je dois réaliser un rapport avec SSRS qui donne les ventes de l’utilisateur en cours» • Le problème : • Login failed for user • NT AUTHORITY\ANONYMOUS LOGON

Problème du « Double Hop » Délégation Hop #1 Hop #2 NTLM

La solution ? Mettre en place Kerberos

Le protocole Kerberos • Protocole d’authentification • KDC : Key Distribution Center • Architecture d’échange de Tickets • permet la délégation d’identité

Kerberos dans SharePoint Ferme SharePoint Windows Auth. Windows Auth. CLAIMS APP WFE

Kerberos dans SharePoint Passer de Claims à Kerberos Ferme SharePoint S4U Logon C2WTS SAML Kerb AD SSRS SAML Kerb CLAIMS Kerberos APP WFE

Pré-requis • Authentification Kerberos sur la ferme SharePoint • Compte de service pour C2WTS • +autorisations • SPN • Délégation

SPN : Service Principal Name • Chaine de caractères représentant le « service » pour Kerberos • <service>/<host>:[<port>] • Associé à un compte AD • Se crée avec la commande SetSPN

SPN HTTP • setspn-s HTTP/ksp AZEOLAB\spservices • setspn -s HTTP/ksp.azeolab.local AZEOLAB\spservices SQL Server • setspn -s MSSQLSvc/kSQL AZEOLAB\sqlserver • setspn-s MSSQLSvc/kSQL.azeolab.local AZEOLAB\sqlserver Browser • setspn-s MSOLAPDisco.3/kSQL AZEOLAB\sqlbrowser • setspn -s MSOLAPDisco.3/kSQL.azeolab.local AZEOLAB\sqlbrowser Analysis Services • setspn -s MSOLAPSvc.3/kSQL AZEOLAB\sqlssas • setspn -s MSOLAPSvc.3/kSQL.azeolab.local AZEOLAB\sqlssas

Délégations • Se définit dans l’AD • On ne peut déléguer que si un SPN est posé sur le compte • SP/C2WTS • SP/SSRS • Délégation contrainte

Kerberos dans SharePoint Ferme SharePoint Windows Auth. Windows Auth. Kerb CLAIMS APP WFE C2WTS Chemins de délégation Service App

On récapitule • Authentification Kerberossur les WebAppSharePoint • Configuration C2WTS • Compte de service, permissions • Création des SPN • Web App, C2WTS, SSRS, SQL, SSAS, Browser • Création des délégations contraintes • Service Application • C2WTS • Serveur • On peut ajouter Excel Services, PerformancePoint, BCS

Pour aller plus loin… • Utilisation de Virtual Service Account • Utilisation de DNS • Topologie Cross-Domain • EffectiveUserName • Quelques outils • Klist • Event Viewer • NetMon • SQL Profiler

Announcement NEW Microsoft® Kerberos Configuration Manager for SQL Server® Téléchargement : http://www.microsoft.com/en-us/download/details.aspx?id=39046

Kerberos pour la Business Intelligence

Kerberos pour la Business Intelligence

Presentation Transcript

Kerberos

Business Intelligence

Kerberos

BUSINESS INTELLIGENCE

Business Intelligence

Business Intelligence

Kerberos

Business Intelligence

Business Intelligence

Kerberos

Kerberos

Kerberos

Business Intelligence

Business Intelligence