A Kerberos használata egyszeri bejelentkezéshez az SAP HANA-hoz

  • Cikk

Fontos

Mivel az SAP már nem támogatja az OpenSSL-t, a Microsoft is megszüntette a támogatását. A meglévő kapcsolatok továbbra is működnek, de már nem hozhat létre új kapcsolatokat. Használja inkább az SAP titkosítási könyvtárat (CommonCryptoLib) vagy a sapcrypto-t.

Ez a cikk azt ismerteti, hogyan konfigurálhatja az SAP HANA-adatforrást az egyszeri bejelentkezés (SSO) engedélyezéséhez a Power BI szolgáltatás.

Feljegyzés

Mielőtt megkísérli frissíteni a Kerberos SSO-t használó SAP HANA-alapú jelentést, végezze el a jelen cikkben és a Kerberos SSO konfigurálásához szükséges lépéseket.

Egyszeri bejelentkezés engedélyezése az SAP HANA-hoz

Ha engedélyezni szeretné az egyszeri bejelentkezést az SAP HANA-hoz, hajtsa végre a következő lépéseket:

  1. Győződjön meg arról, hogy az SAP HANA-kiszolgáló a szükséges minimális verziót futtatja, amely az SAP HANA-kiszolgáló platformszintjétől függ:

  2. Az átjáró számítógépén telepítse a legújabb SAP HANA ODBC-illesztőprogramot. A minimális verzió a HANA ODBC 2.00.020.00-s verziója 2017 augusztusától.

  3. Győződjön meg arról, hogy az SAP HANA-kiszolgáló kerberos-alapú egyszeri bejelentkezéshez lett konfigurálva. Az SAP HANA egyszeri bejelentkezés Kerberos használatával történő beállításáról további információt az egyszeri bejelentkezés a Kerberos használatával című témakörben talál. Tekintse meg az oldal hivatkozásait is, különösen az SAP Megjegyzés 1837331 – HOWTO HANA DBSSO Kerberos/Active Directory.

Javasoljuk továbbá, hogy kövesse ezeket a további lépéseket, amelyek kisebb teljesítménynövekedést eredményezhetnek:

  1. Az átjáró telepítési könyvtárában keresse meg és nyissa meg ezt a konfigurációs fájlt: Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.

  2. Keresse meg a FullDomainResolutionEnabled tulajdonságot, és módosítsa az értékét a következőre True: .

    <setting name=" FullDomainResolutionEnabled " serializeAs="String">
      <value>True</value>
</setting>

  3. Power BI-jelentés futtatása.

Hibaelhárítás

Ez a szakasz útmutatást nyújt a Kerberos egyszeri bejelentkezéshez (SSO) az SAP HANA-hoz való használatával kapcsolatos hibaelhárításhoz a Power BI szolgáltatás. Ezekkel a hibaelhárítási lépésekkel öndiagnosztikát végezhet és kijavíthat számos, esetleg felmerülő problémát.

Az ebben a szakaszban ismertetett lépések végrehajtásához átjárónaplókat kell gyűjtenie.

TLS-/SSL-hiba (tanúsítvány)

Ennek a problémának több tünete is van.

  • Amikor új adatforrást próbál hozzáadni, az alábbihoz hasonló hibaüzenet jelenhet meg:

    Unable to connect: We encountered an error while trying to connect to.
Details: "We could not register this data source for any gateway
instances within this cluster.
Please find more details below about specific errors for each gateway instance."

  • Amikor megpróbál létrehozni vagy frissíteni egy jelentést, a következő hibaüzenet jelenhet meg:

    Screenshot of a 'Cannot load model' troubleshooting TLS/SSL error window.

  • A Mashup[date]*.log vizsgálatakor a következő hibaüzenet jelenik meg:

    A connection was successfully established with the server, 
but then an error occurred during the login process and 
the certificate chain was issued by an authority that is not trusted.

Resolution (Osztás)

A TLS-/SSL-hiba megoldásához lépjen az adatforrás-kapcsolatra, majd a Kiszolgálótanúsítvány érvényesítése szakaszban tiltsa le a beállítást, ahogyan az az alábbi képen látható:

Screenshot of resolving TLS/SSL error window by disabling the certificate.

Miután letiltotta ezt a beállítást, a hibaüzenet már nem jelenik meg.

Megszemélyesítés

A megszemélyesítési naplóbejegyzések a következőhöz hasonló bejegyzéseket tartalmaznak:

About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation).

A naplóbejegyzés fontos eleme a bejegyzés után ImpersonationLevel: megjelenő információk. A megszemélyesítés nem Impersonation megfelelő.

Resolution (Osztás)

A megfelelő beállításhoz ImpersonationLevel kövesse az átjáró szolgáltatásfiókjának helyi házirend-jogosultságok megadása az átjárón című témakör utasításait.

A konfigurációs fájl módosítása után indítsa újra az átjárószolgáltatást a módosítás érvénybe lépéséhez.

Ellenőrzés

Frissítse vagy hozza létre a jelentést, majd gyűjtse össze az átjárónaplókat. Nyissa meg a legutóbbi GatewayInfo fájlt, és ellenőrizze a következő sztringet: About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation). Győződjön meg arról, hogy a ImpersonationLevel beállítás visszatér Impersonation.

Meghatalmazás

A delegálási problémák általában általános hibákként jelennek meg a Power BI szolgáltatás. Annak érdekében, hogy a probléma ne delegálási probléma legyen, gyűjtse össze a Wireshark nyomkövetéseit, és használja a Kerberost szűrőként. A Wiresharkról és a Kerberos-hibákról további információt a Kerberos-hibák a hálózati rögzítésekben című témakörben talál.

Az alábbi tünetek és hibaelhárítási lépések segíthetnek néhány gyakori probléma megoldásában.

Egyszerű szolgáltatásnév-szolgáltatással kapcsolatos problémák

Ha a következő hibaüzenet jelenik meg: The import [table] matches no exports. Did you miss a module reference?: a Mashup[date]*.log vizsgálata során szolgáltatásnévvel (SPN) kapcsolatos problémákat tapasztal.

Ha a Wireshark-nyomkövetések használatával további vizsgálatot folytat, a hiba KRB4KDC_ERR_S_PRINCIPAL_UNKOWNmegjelenik, ami azt jelenti, hogy az egyszerű szolgáltatásnév nem található vagy nem létezik. Az alábbi képen egy példa látható:

Screenshot showing a service principal name error.

Resolution (Osztás)

Az egyszerű szolgáltatásnévvel kapcsolatos problémák, például a probléma megoldásához hozzá kell adnia egy egyszerű szolgáltatásnevet egy szolgáltatásfiókhoz. További információkért tekintse meg az SAP dokumentációját az SAP HANA-adatbázis-gazdagépekhez készült Kerberos konfigurálása című témakörben.

Emellett kövesse a következő szakaszban leírt megoldási utasításokat.

Nincsenek hitelesítő adatokkal kapcsolatos problémák

Előfordulhat, hogy a probléma nem egyértelmű tünetekkel jár. A Mashup[date]*.log vizsgálatakor a következő hibaüzenet jelenik meg:

29T20:21:34.6679184Z","Action":"RemoteDocumentEvaluator/RemoteEvaluation/HandleException","HostProcessId":"1396","identity":"DirectQueryPool","Exception":"Exception:\r\nExceptionType: Microsoft.Mashup.Engine1.Runtime.ValueException, Microsoft.MashupEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35\r\nMessage:

Ha tovább vizsgálja ugyanazt a fájlt, a következő (nem hasznos) hiba jelenik meg:

No credentials are available in the security package

A Wireshark nyomkövetéseinek rögzítése a következő hibát mutatja: KRB5KDC_ERR_BADOPTION.

Screenshot showing a 'No credentials error'.

Ezek a hibák általában azt jelentik, hogy az SPN hdb/hana2-s4-sso2.westus2.cloudapp.azure.com fájl megtalálható, de nem szerepel azon szolgáltatásokban, amelyekhez ez a fiók delegált hitelesítő adatokat jeleníthet meg az Átjáró szolgáltatásfiók Delegálás paneljén .

Resolution (Osztás)

A nem hitelesítő adatokkal kapcsolatos probléma megoldásához kövesse a Kerberos korlátozott delegálásának konfigurálásában leírt lépéseket. Ha megfelelően befejeződött, az átjárószolgáltatás-fiók delegálási lapja a HansaWorld Database (HDB) fájlt és a teljes tartománynevet (FQDN) tükrözi azon szolgáltatások listájában , amelyekhez ez a fiók delegált hitelesítő adatokat tud bemutatni.

Ellenőrzés

Az előző lépések végrehajtásával meg kell oldani a problémát. Ha továbbra is Kerberos-problémákat tapasztal, előfordulhat, hogy helytelen konfigurációja van a Power BI-átjáróban vagy magában a HANA-kiszolgálón.

Hitelesítő adatokkal kapcsolatos hibák

Ha hitelesítő adatokkal kapcsolatos hibákat tapasztal, a naplókban vagy nyomkövetésekben előforduló hibák olyan hibákat fednek fel, amelyek leírást vagy hasonló hibákat írnak le Credentials are invalid . Ezek a hibák eltérően jelenhetnek meg a kapcsolat adatforrás oldalán, például az SAP HANA-n. Az alábbi képen egy példahiba látható:

Screenshot showing an invalid credentials error.

1. tünet

A HANA-hitelesítési nyomkövetésekben az alábbi üzenethez hasonló bejegyzések jelenhetnek meg:

[Authentication|manager.cpp:166] Kerberos: Using Service Principal 
Name johnny@contoso.com@CONTOSO.COM with name type: GSS_KRB5_NT_PRINCIPAL_NAME 
[Authentication|methodgssinitiator.cpp:367] Got principal name: 
johnny@contoso.com@CONTOSO.COM

Resolution (Osztás)

Kövesse a Felhasználóleképezési konfigurációs paraméterek beállítása az átjárógépen című cikkben leírt utasításokat, még akkor is, ha már konfigurálta a Microsoft Entra Csatlakozás szolgáltatást.

Ellenőrzés

Az ellenőrzés befejezése után sikeresen betöltheti a jelentést a Power BI szolgáltatás.

2. tünet

A HANA-hitelesítési nyomkövetésekben az alábbi bejegyzéshez hasonló bejegyzések jelenhetnek meg:

Authentication ManagerAcceptor.cpp(00233) : Extending list of expected
external names by johnny@CONTOSO.COM (method: GSS) Authentication 
AuthenticationInfo.cpp(00168) : ENTER getAuthenticationInfo 
(externalName=johnny@CONTOSO.COM) Authentication AuthenticationInfo.cpp(00237) : 
Found no user with expected external name!

Resolution (Osztás)

Ellenőrizze a Kerberos külső azonosítóját a HANA-felhasználó alatt annak megállapításához, hogy az azonosítók megfelelőek-e.

Ellenőrzés

A probléma megoldása után jelentéseket hozhat létre vagy frissíthet a Power BI szolgáltatás.

Kapcsolódó tartalom

A helyszíni adatátjáróról és a DirectQueryről a következő forrásokban talál további információt: