Главная > IT > SharePoint 2010 — Kerberos & SQL 2012 Reporting (Named Instance)

SharePoint 2010 — Kerberos & SQL 2012 Reporting (Named Instance)

Ершов Илья
Kerberos constraint delegation для SharePoint 2010 SP1 и SQL Server 2012 Reporting Services (Named Instance)
04 июля 2012

Есть следующая конфигурация:
1. SharePoint 2010 SP1 October 2011 CU с установленными SQL Server 2012 Reporting Services
2. SQL Server 2008 R2 c Named Instance на котором крутится база, из которой нам необходимо брать информацию для формирования отчетов. SQL 2012 настроен по статье http://blog.helloitsliam.com/Lists/Posts/Post.aspx?ID=66
3. Дополнительные параметры:
-домен: test.com
-имя экземпляра SQL: SP
-учетная запись для экземпляра: svcSQL

Задача: заставить это все работать с использованием Kerberos

Приступим
1. Создадим в Active Directory учетную запись для службы Claims to Windows Token Service (например, svcC2WTS) и наделим ее следующими правами на сервере SharePoint:
-Act as part of the operating system
-Impersonate a client after authentication
-Log on as a service
И дополнительно добавим в локальные админы
2. В центре адмнистрирования SharePoint необходимо зарегистрировать созданную учетную запись в качестве Managed Account и запустить службу Claims to Windows Token Service (/_admin/Server.aspx)
Также application pool, который используется для работы SQL 2012 Reporting Services Service Application, работал от зарегистрированного Managed account для C2WTS. Посмотреть и изменить эти параметры можно на странице Service Accounts (/_admin/FarmCredentialManagement.aspx)
3. Также, что потом не было проблем, изменим зависимости для службы Claims to Windows Token: sc config c2wts depend= CryptSvc
4. Перезапускаем SharePoint
5. На SQL сервере задаем статический порт для экземпляра SQL по статье Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager)
У меня, например, порт 1234
Почему так надо, подробно расписано тут
6. Регистрируем SPN:
-setspn -A MSSQLSvc/server_fqdn:SP test\svcSQL
-setspn -A MSSQLSvc/server_fqdn:1234 test\svcSQL

Подробнее о регистрации SPN для сиквела можно почитать тут
-setspn -A SP/SRSS test\svcC2WTS - это фэйковый SPN
7. В Active Directory Users and Computers настраиваем делегирование для учетной записи svcC2WTS.
На вкладке Delegation необходимо выбрать Use any authentication protocol и добавить только что зарегистрированные SPN для служб сиквела. Важно, чтобы обе записи были отражены на этой вкладке.
8. Создаем новый Data Source с указанием именованного экземпляра SQL. Для подключения используем windows authentication (integrated) or sharepoint user и радуемся успешному коннекту

Реклама
  1. Комментариев нет.
  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: