Upload
solidq
View
403
Download
0
Embed Size (px)
DESCRIPTION
Los usuarios tienen a su alcance diversas formas de obtener datos de los origénes. En escenarios en los que se conectan directamente se aplica la seguridad a nivel de dato, pero ¿que pasa cuando el escenario crece? Y si implementamos servicios SharePoint como capa de visualización de datos.... seguro que muchos se nos viene a la mente la palabra Kerberos. Durante esta sesión vamos a enfrentarnos al reto de configurarlo para realizar análisis en PerformancePoint services sin perder la seguridad sobre los datos
Citation preview
@atharky
Soluciones BI con delegación Kerberos
BI200004
Miguel Egea Mentor MVP SQL, MAP 2012
@megea
Victor M. Sánchez García BI Data Platform Architect
MAP 2012, MCITP en SQL 2008 BI
Conocer distintos escenarios de identificación sobre orígenes de datos en Soluciones de BI
Configuración de delegación con Kerberos para Analysis Services
Acceder a orígenes de datos desde servicios SharePoint 2010 con delegación de credenciales del usuario
Sí, es posible.
Objetivos
Escenarios de acceso a datos e identificación
Una píldora sobre autenticación en Windows
Configurando Análisis Services para permitir delegación
Configurando PerformancePoint Services para delegación
Monitorizando conexiones a orígenes de datos
Agenda
Escenarios de acceso a datos
Identificación
Soluciones BI con delegación Kerberos
Escenarios de acceso a datos
Aplicaciones cliente conectadas a orígenes de datos Excel
PowerPivot
Reporting modo nativo
Management Studio
Visio
Herramientas de terceros
Clientes utilizando servicios que acceden a orígenes de datos PerformancePoint Services
Excel Services
Visio Services
SQL Server PowerPivot para SharePoint 2010
SQL Server Reporting Services para SharePoint 2010
Escenarios de Accesos a datos Cliente <–> Servidor
SharePoint 2010
Analisis Services
Escenario 2 Usuarios conectándose a
un servidor con SharePoint utilizando un origen de datos en la misma máquina
Usuario Servidor 1
Analisis Services
Escenario 1 Usuarios con aplicaciones
cliente conectadas al origen de datos
Usuario Servidor 1
Escenarios de Accesos a datos Escenario multi-capa (multi-tier)
SharePoint 2010
Analysis Services
Escenario 3 SharePoint 2010 en server 1
Origen de datos en server 2
Usuario Servidor 1
(o Granja)
Servidor 2
Escenarios de Accesos a datos Identificación directa
Usuarios identificados Orígenes de datos
Escenarios 1 y 2…..
Escenarios de Accesos a datos Identificación con doble salto (double-hop)
Usuarios
identificados Orígenes de datos Servicios intermedios
PerformancePoint Services
PowerPivot
Excel Services
Escenario 3…..
Una píldora sobre autenticación en Windows
Soluciones BI con delegación Kerberos
Protocolos de autenticación
(Wndows Authentication)
NTLM
Ventajas
Ninguna
configuració
n adicional
Valida
utilizando
direcciones
IP
Desventajas
No soporta
doble salto
de
servidores
Incompatibl
e con
encriptación
AES o SHA-
256
Protocolo
propietario
Genera más
tráfico de
red
Vulnerable
Obsoleto
(legado de
Lan
Manager)
Kerberos
Ventajas
Soporta
algoritmos
de
encriptación
complejos
Permite
delegación
Protocolo
por defecto
desde
Windows
2000
Código
abierto
Disminuye
el tráfico de
Red
Soporta
autenticació
n mutua (Client/Server)
Desventajas
Requiere
configuració
n adicional
No soporta
direcciones
IP
Kerberos
¿Tiene usted su ticket?
Authentication Server (AS), que verifica la identidad y proporciona el ticket (TGT) correspondiente si efectivamente la autenticación tuvo éxito.
Ticket Granting Server (TGS), que emite el ticket cuando se realiza una petición de conexión.
Kerberos
¿Cómo funciona la delegación?
4. Petición y respuesta de
delgación Kerberos para el
Ticket para el Server 2
3. Conecta utilizando
credenciales de cliente al
server 1
5. Conecta al server 2
utilizando las
credenciales del cliente
que tiene el server 1
Kerberos
Services Principal Names
Service Principal Names (SPN)
Identifican los servicios
MSSQLSvc, MSOLAPSvc, MSOLAPDisco, HTTP
Los User Principal Names identifican los usuarios.
Para registrar un SPN la combinación de SPN y UPN debe ser única.
Setspn –S <SPN>/<ServerName> <UPN> || <hostname>
DEMO Doble salto con NTLM
Configurando Analysis Services para autenticación Kerberos
Soluciones BI con delegación Kerberos
Requisitos de configuración de Kerberos para Analysis Services
El servidor SSAS debe estar unido al dominio
SM-SPSQL2012.sqldemo.com
El servicio debe ejecutarse con una cuenta de dominio
sqldemo\sqlasservice
Establecer un puerto fijo y permitir la comunicación en el firewall (2383)
Registrar SPN para la cuenta del servicio
setspn –s MSOLAPSvc.3/<FQDN>:instance sqldemo\sqlasservice
En instancias con nombre el servicio SQL Browser debe configurarse
Ejecutar el servicio con una cuenta de dominio
Registrar los SPN para la cuenta de SQL Browser
setspn –s MSOLAPDisco.3/<FQDN>:instance sqldemo\sqlservice
DEMO Configurar Analysis Services para autenticación con Kerberos
Configurando PerformancePoint Services para delegación
Soluciones BI con delegación Kerberos
Seguridad en SharePoint 2010
Clients SharePoint Farm External System
Classic (Windows Auth)
Claims
Claims
Classic (Windows Auth)
Claims
Incoming
Authentication
Intra/Inter Farm
Authentication
Outgoing
Authentiction
Delegación con PerforformancePoint Services
Requisitos configuración
Active Directory
Crear cuentas necesarias
(SSAS, HTTP, PPS)
Registrar SPNs HTTP, SP
y MSOLAPSvc y
MSOLAPDisco
Autorizar delegación
entre máquinas
Autorizar delegación
entre cuentas
Administración
SharePoint 2010
Crear aplicación web con
autenticación negociada
Registrar cuentas
administrada por
SharePoint
Iniciar Claims to
Windows Token
Analysis Server
Iniciar servicio Analysis
Services con cuenta de
dominio
Delegación en PerformancePoint Services: Checklist
Tener instalado un SharePoint 2010
Configurar delegación para Analysis Services
Configurar delegación para la cuenta de SQL content dbs
Crear en el servidor DNS un Host(A) para la IP de la aplicación web
Crear una cuenta de dominio para el pool de la aplicación web (sqldemo\spsummit_webpool)
Crear una cuenta para el pool de PerformancePoint Services (sqldemo\spsummit_ppspool)
Registrar las cuentas anteriores para que sean administradas por SharePoint
Registrar el SPN HTTP en la cuenta del pool de la aplicación web con el Host (A) setspn –s HTTP/<hostname>:port sqldemo\spsummit_webpool setspn –s HTTP/<FQDN>:port sqldemo\spsummit_webpool
Cambiar la configuración de seguridad de IIS desde SharePoint para la aplicación web
Reiniciar IIS
Delegación en PerformancePoint Services: Checklist
Registrar un SPN ficticio para la cuenta del pool de PerformancePoint Services
setspn –s SP/<hostname>:port sqldemo\spsummit_ppspool
Asociar los SPN de la cuenta que ejecuta Analysis Services para delegación en la cuenta de PerformancePoint Services
Crear un nuevo servicio de aplicación PPS con la cuenta configurada
Asociar el nuevo proxy de PPS a la aplicación web
Purgar tickets!
DEMO Configurar PerformancePoint Services para utilizar delegación a través de Kerberos
SharePoint 2010 Kerberos Guide http://www.microsoft.com/en-us/download/details.aspx?id=23176
KB sobre instancias SQL y AS con nombre y kerberos
http://support.microsoft.com/kb/950599/
Kerberos Extensions
http://technet.microsoft.com/en-us/library/cc738207(v=ws.10)
Kerberos in SQL Server
http://support.microsoft.com/kb/319723
Klist.exe
http://www.microsoft.com/downloads/details.aspx?FamilyID=1581e6e7-7e64-4a2d-8aba-73e909d2a7dc&DisplayLang=en
KerbTray.exe
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&DisplayLang=en
Referencias
Referencias
Si quieres disfrutar de las mejores sesiones de
nuestros mentores de España y Latino América,
ésta es tu oportunidad.
http://summit.solidq.com/madrid/
Síguenos: