Настройка служб SQL Server Reporting Services в SharePoint Server для проверки подлинности Kerberos

Исходный номер статьи базы знаний:   2723587

В этой статье описывается настройка служб SQL Server Reporting Services в Microsoft SharePoint Server для проверки подлинности Kerberos.

Создание учетной записи службы служб отчетов

Рекомендуется запускать службы отчетов с собственной учетной записью домена. Чтобы настроить приложение службы Reporting Services, необходимо создать учетную запись Active Directory и зарегистрировать ее в качестве управляемой учетной записи в SharePoint Server. В этом примере создается и регистрируется следующая учетная запись.

Имя Удостоверение
Служба SharePoint Server Удостоверение пула приложений IIS
Службы SQL Server Reporting Services vmlab\svcRS2012

Примечание

При необходимости можно повторно использовать одну учетную запись домена для нескольких служб. Эта конфигурация не рассматривается в следующих разделах.

Создание имени участника-службы для учетной записи службы, на которой запущена служба отчетов на сервере приложений

Для настройки делегирования Kerberos обычно используется оснастка консоли управления (MMC) "Пользователи и компьютеры Active Directory". Чтобы настроить параметры делегирования в оснастке, для настраиваемого объекта Active Directory необходимо применить имя участника службы. В противном случае вкладка делегирования для объекта не будет видна в диалоговом окне Свойства объекта. Несмотря на то, что для работы служб Reporting Services не требуется имя участника-службы, для этой цели мы настроим одну из них. Если к учетной записи службы уже применено имя участника-службы (в случае совместного использования учетных записей между службами), это действие не является обязательным.

Выполните следующую команду в командной строке:

SETSPN -S SP/PPS vmlab\svcRS2012

Примечание

Имя участника-службы не является допустимым именем участника-службы. Он применяется к указанной учетной записи службы для отображения параметров делегирования в надстройке "пользователи и компьютеры AD". Существуют и другие поддерживаемые способы указания параметров делегирования (в частности, msDS-AllowedToDelegateTo атрибута AD), но этот раздел не рассматривается в этом документе.

Настройка ограниченного делегирования Kerberos из учетной записи службы служб Reporting Services в службу SSAS и при необходимости для службы SQL Server

Чтобы разрешить службам отчетности делегировать удостоверение клиента, необходимо настроить ограниченное делегирование Kerberos. Также необходимо задать ограниченное делегирование с переносом протокола для преобразования маркеров утверждений в маркеры Windows с помощью службы WIF C2WTS.

Каждый сервер, на котором запущены службы отчетов, должен быть доверенным для делегирования учетных данных каждой внутренней службе, с которой выполняется проверка подлинности служб Reporting Services. Кроме того, учетная запись службы Reporting Services также должна быть настроена на разрешение делегирования для одних и тех же серверных служб. Кроме того, обратите внимание на то, что HTTP/портал и HTTP/Portal. vmlab. local настроены для делегирования, чтобы включить список SharePoint в качестве необязательного источника данных для отчетов службы отчетов.

В нашем примере определены следующие пути делегирования:

Тип участника Имя участника
Пользователь Vmlab\svcC2WTS
Пользователь vmlab\svcRS2012

Чтобы настроить ограниченное делегирование, выполните указанные ниже действия.

  1. Откройте свойства объекта Active Directory в меню "Пользователи и компьютеры Active Directory".

  2. Перейдите на вкладку Делегирование.

    Снимок экрана: вкладка "Делегирование"

  3. Выберите Этот компьютер доверенный для делегирования указанных служб.

  4. Выберите Использовать любой протокол проверки подлинности.

  5. Нажмите кнопку Добавить , чтобы выбрать участника службы.

  6. Выберите пользователи и компьютеры.

    Снимок экрана: страница "Выбор пользователей и компьютеров"

  7. Выберите учетную запись службы, которой нужно делегировать (SQL Server, службы аналитики SQL Server или и то, и другое).

    Примечание

    У выбранной учетной записи должно быть имя участника-службы. В нашем примере имя участника-службы для этой учетной записи было настроено в предыдущем сценарии.

  8. Нажмите кнопку ОК.

  9. Выберите имена участников-служб, для которых нужно выполнить делегирование, и нажмите кнопку OK.

    Снимок экрана: Выбор имен участников-служб

  10. Выбранные имена участников-служб должны отображаться в списке Службы, с которыми эта учетная запись может использовать делегированные учетные данные.

    Снимок экрана: выбранные имена участников-служб в службах

  11. Повторите эти действия для каждого пути делегирования, определенного в начале этого раздела.

Запуск экземпляра службы Reporting Services на сервере служб отчетов

Перед созданием приложения службы Reporting Services запустите службы Reporting Services на указанных серверах фермы. Чтобы узнать больше о настройке служб Reporting Services, ознакомьтесь со статьей Установка служб Reporting services 2016 в режиме SharePoint.

  1. Откройте центр администрирования.

  2. В разделе "Службы" выберите элемент Управление службами на сервере.

    Снимок экрана: выбор управления службами на сервере.

  3. В поле Выбор сервера в правом верхнем углу выберите сервер (серверы), на котором запущены службы отчетов.

  4. Запустите службу SQL Server Reporting Services .

Создание приложения-службы Reporting Services и прокси-сервера

Далее настройте новое приложение-службу служб Reporting Services и прокси приложения, чтобы разрешить веб-приложениям использовать службы отчетов:

  1. Откройте центр администрирования.

  2. Выберите элемент Управление приложениями-службами в разделе Управление приложениями.

    Снимок экрана: выбор управления службами на сервере.

  3. Выберите создать, а затем щелкните приложение службы SQL Server Reporting Services.

    Снимок экрана: Выбор приложения службы SQL Server Reporting Services

  4. Настройте новое приложение-службу. Убедитесь, что выбрана правильная учетная запись службы, или создайте новую управляемую учетную запись, если вы не выполнили этот шаг ранее.

    Снимок экрана: выбор управления службами на сервере.

Вы можете создать и зарегистрировать новую учетную запись службы для существующего пула приложений, выделенных для служб отчетов, перед этим шагом или при создании новой службы Reporting Services. Чтобы связать учетную запись службы с существующим пулом приложений, выделенным службам отчетов, или проверить существующую учетную запись, выполните указанные ниже действия.

  1. Откройте центр администрирования SharePoint. Найдите пункт Настройка управляемых учетных записей в разделе Безопасность.

  2. В раскрывающемся списке выберите пул приложений.

  3. Выберите учетную запись Active Directory.

    Снимок экрана: выбор управления службами на сервере.

Предоставление учетной записи служб отчетов разрешения для базы данных контента веб-приложения

Обязательный шаг в разделе Настройка SharePoint Server 2010, веб-приложения Office позволяет учетной записи службы веб-приложения получать доступ к базам данных контента для данного веб-приложения. В этом примере мы предоставляем учетной записи служб отчетов доступ к базе данных контента веб-приложения портала с помощью Windows PowerShell.

Выполните следующую команду в командной консоли SharePoint 2010:

$w = Get-SPWebApplication -Identity http://portal

$w.GrantAccessToProcessIdentity("vmlab\svcRS2012")