Kerberos - WordPress.com
Download
Report
Transcript Kerberos - WordPress.com
Kerberos pour la Business
Intelligence
Jean-Pierre Riehl
Membre du Board
http://blog.djeepy1.net
@djeepy1
MVP SQL Server
MCSA : SQL Server 2012
MCITP : Business Intelligence Developer 2008
MCITP : Database Administrator 2008
MCPD : Enterprise Application
Microsoft Certified Trainer
Pure-Player Microsoft
• Practice Collaboration
• Practice Data & Business Intelligence
• Practice Infrastructure
• Practice Développement
La mission :
« Je dois réaliser un rapport avec SSRS qui
donne les ventes de l’utilisateur en cours »
Le problème :
Login failed for user
NT AUTHORITY\ANONYMOUS LOGON
Problème du « Double Hop »
Délégation
Hop #1
Hop #2
NTLM
La solution ?
Mettre en place Kerberos
Le protocole Kerberos
Protocole d’authentification
KDC : Key Distribution Center
Architecture d’échange de Tickets
permet la délégation d’identité
Kerberos dans SharePoint
Ferme SharePoint
Windows Auth.
Windows Auth.
CLAIMS
WFE
APP
Kerberos dans SharePoint
Passer de Claims à Kerberos
C2WTS
S4U Logon
SAML
Kerb
AD
SSRS
SAML
Kerb
CLAIMS
WFE
Kerberos
APP
Ferme SharePoint
Pré-requis
Authentification Kerberos sur la
ferme SharePoint
Compte de service pour C2WTS
+autorisations
SPN
Délégation
SPN : Service Principal Name
Chaine de caractères représentant le
« service » pour Kerberos
<service>/<host>:[<port>]
Associé à un compte AD
Se crée avec la commande SetSPN
SPN
HTTP
setspn -s HTTP/ksp AZEOLAB\spservices
setspn -s HTTP/ksp.azeolab.local AZEOLAB\spservices
SQL Server
setspn -s MSSQLSvc/kSQL AZEOLAB\sqlserver
setspn -s MSSQLSvc/kSQL.azeolab.local AZEOLAB\sqlserver
Browser
setspn -s MSOLAPDisco.3/kSQL AZEOLAB\sqlbrowser
setspn -s MSOLAPDisco.3/kSQL.azeolab.local
AZEOLAB\sqlbrowser
Analysis Services
setspn -s MSOLAPSvc.3/kSQL AZEOLAB\sqlssas
setspn -s MSOLAPSvc.3/kSQL.azeolab.local AZEOLAB\sqlssas
Délégations
Se définit dans l’AD
On ne peut déléguer que si un SPN
est posé sur le compte
SP/C2WTS
SP/SSRS
Délégation contrainte
Kerberos dans SharePoint
Ferme SharePoint
Windows Auth.
Windows Auth.
Kerb
CLAIMS
WFE
APP
C2WTS
Service App
Chemins de
délégation
On récapitule
Authentification Kerberos sur les WebApp
SharePoint
Configuration C2WTS
Compte de service, permissions
Création des SPN
Web App, C2WTS, SSRS, SQL, SSAS, Browser
Création des délégations contraintes
Service Application
C2WTS
Serveur
On peut ajouter Excel Services,
PerformancePoint, BCS
Pour aller plus loin…
Utilisation de Virtual Service Account
Utilisation de DNS
Topologie Cross-Domain
EffectiveUserName
Quelques outils
Klist
Event Viewer
NetMon
SQL Profiler
Announcement
Microsoft® Kerberos Configuration
Manager for SQL Server®
Téléchargement :
http://www.microsoft.com/en-us/download/details.aspx?id=39046
Merci