Kerberos pour la Business Intelligence
Jean-Pierre RiehlMembre du Board http://blog.djeepy1.net@djeepy1
Pure-Player Microsoft• Practice Collaboration• Practice Data & Business Intelligence• Practice Infrastructure• Practice Développement
MVP SQL ServerMCSA : SQL Server 2012MCITP : Business Intelligence Developer 2008MCITP : Database Administrator 2008MCPD : Enterprise ApplicationMicrosoft Certified Trainer
La mission : « Je dois réaliser un rapport avec SSRS qui donne les ventes de l’utilisateur en cours »
Le problème : Login failed for userNT AUTHORITY\ANONYMOUS LOGON
Problème du « Double Hop »
Hop #1 Hop #2
Délégation
NTLM
La solution ?
Mettre en place Kerberos
Le protocole Kerberos
Protocole d’authentificationKDC : Key Distribution Center
Architecture d’échange de Tickets
permet la délégation d’identité
Ferme SharePoint
Kerberos dans SharePoint
CLAIMS
WFE APP
Windows Auth. Windows Auth.
Kerberos dans SharePointPasser de Claims à Kerberos
Ferme SharePoint
CLAIMS
WFE APP
Kerberos
SSRS
C2WTS
SAM
LSA
ML
KerbKerb
AD
S4U Logon
Pré-requisAuthentification Kerberos sur la ferme SharePointCompte de service pour C2WTS
+autorisationsSPNDélégation
SPN : Service Principal Name
Chaine de caractères représentant le « service » pour Kerberos
<service>/<host>:[<port>]
Associé à un compte ADSe crée avec la commande SetSPN
SPNHTTP
setspn -s HTTP/ksp AZEOLAB\spservicessetspn -s HTTP/ksp.azeolab.local AZEOLAB\spservices
SQL Serversetspn -s MSSQLSvc/kSQL AZEOLAB\sqlserversetspn -s MSSQLSvc/kSQL.azeolab.local AZEOLAB\sqlserver
Browsersetspn -s MSOLAPDisco.3/kSQL AZEOLAB\sqlbrowsersetspn -s MSOLAPDisco.3/kSQL.azeolab.local AZEOLAB\sqlbrowser
Analysis Servicessetspn -s MSOLAPSvc.3/kSQL AZEOLAB\sqlssassetspn -s MSOLAPSvc.3/kSQL.azeolab.local AZEOLAB\sqlssas
DélégationsSe définit dans l’ADOn ne peut déléguer que si un SPN est posé sur le compte
SP/C2WTSSP/SSRS
Délégation contrainte
Ferme SharePoint
Kerberos dans SharePoint
CLAIMS
WFE APP
Windows Auth.
Kerb
Windows Auth.
Service App
C2WTSChemins de délégation
On récapituleAuthentification Kerberos sur les WebApp SharePointConfiguration C2WTS
Compte de service, permissionsCréation des SPN
Web App, C2WTS, SSRS, SQL, SSAS, BrowserCréation des délégations contraintes
Service ApplicationC2WTSServeur
On peut ajouter Excel Services, PerformancePoint, BCS
Pour aller plus loin…Utilisation de Virtual Service AccountUtilisation de DNSTopologie Cross-Domain
EffectiveUserNameQuelques outils
KlistEvent Viewer NetMonSQL Profiler
Announcement
Microsoft® Kerberos Configuration Manager for SQL Server® Téléchargement :
http://www.microsoft.com/en-us/download/details.aspx?id=39046
NEW
Merci