Freigeben über

Konfigurieren der Standardauthentifizierung auf dem Berichtsserver

Standardmäßig akzeptiert Reporting Services Anforderungen, die die Aushandlungs- und NTLM-Authentifizierung angeben. Wenn Ihre Bereitstellung Clientanwendungen oder Browser enthält, die die Standardauthentifizierung verwenden, müssen Sie der Liste der unterstützten Typen die Standardauthentifizierung hinzufügen. Wenn Sie den Berichts-Generator verwenden möchten, müssen Sie den anonymen Zugriff auf die Berichts-Generator-Dateien aktivieren.

Um die Standardauthentifizierung auf dem Berichtsserver zu konfigurieren, bearbeiten Sie XML-Elemente und -Werte in der RSReportServer.config Datei. Sie können die Beispiele in diesem Thema kopieren und einfügen, um die Standardwerte zu ersetzen.

Bevor Sie die Standardauthentifizierung aktivieren, stellen Sie sicher, dass Ihre Sicherheitsinfrastruktur sie unterstützt. Unter der Standardauthentifizierung übergibt der Report Server-Webdienst Anmeldeinformationen an die lokale Sicherheitsautorität. Wenn die Anmeldeinformationen ein lokales Benutzerkonto angeben, wird der Benutzer von der lokalen Sicherheitsautorität auf dem Berichtsservercomputer authentifiziert, und der Benutzer erhält ein Sicherheitstoken, das für lokale Ressourcen gültig ist. Anmeldeinformationen für Domänenbenutzerkonten werden an einen Domänencontroller weitergeleitet und dort authentifiziert. Das resultierende Ticket ist für Netzwerkressourcen gültig.

Kanalverschlüsselung, z. B. Secure Sockets Layer (SSL), ist erforderlich, wenn Sie das Risiko verringern möchten, dass Anmeldeinformationen während der Übertragung an einen Domänencontroller in Ihrem Netzwerk abgefangen werden. Standardmäßig überträgt die Basisauthentifizierung den Benutzernamen in Klartext und das Kennwort in Base-64-Codierung. Durch das Hinzufügen der Kanalverschlüsselung wird das Paket unlesbar. Weitere Informationen finden Sie unter Konfigurieren von SSL-Verbindungen auf einem Berichtsserver für den nativen Modus.

Beachten Sie nach dem Aktivieren der Standardauthentifizierung, dass Benutzer die integrierte Windows-Sicherheitsoption nicht auswählen können, wenn Verbindungseigenschaften auf eine externe Datenquelle festgelegt werden, die Daten für einen Bericht bereitstellt. Die Option wird in den Eigenschaftenseiten der Datenquelle ausgegraut.

Hinweis

Die folgenden Anweisungen sind für einen Berichtsserver für den nativen Modus vorgesehen. Wenn der Berichtsserver im integrierten SharePoint-Modus bereitgestellt wird, müssen Sie die Standardauthentifizierungseinstellungen verwenden, die die integrierte Windows-Sicherheit angeben. Der Berichtsserver verwendet interne Features in der Standardmäßigen Windows-Authentifizierungserweiterung, um den Berichtsserver im integrierten SharePoint-Modus zu unterstützen.

So konfigurieren Sie einen Berichtsserver für die Verwendung der Standardauthentifizierung

  1. Öffnen Sie RSReportServer.config in einem Text-Editor.

    Die Datei befindet sich unter <drive>:\Program Files\Microsoft SQL Server\MSRS12. MSSQLSERVER\Reporting Services\ReportServer.

  2. Finde <Authentication>.

  3. Kopieren Sie eine der folgenden XML-Strukturen, die ihren Anforderungen am besten entsprechen. Die erste XML-Struktur stellt Platzhalter für die Angabe aller Elemente bereit, die im nächsten Abschnitt beschrieben werden:

    <Authentication>  
      <AuthenticationTypes>  
             <RSWindowsBasic>  
                   <LogonMethod>3</LogonMethod>  
                   <Realm></Realm>  
                   <DefaultDomain></DefaultDomain>  
             </RSWindowsBasic>  
      </AuthenticationTypes>  
      <EnableAuthPersistence>true</EnableAuthPersistence>  
</Authentication>

    Wenn Sie Standardwerte verwenden, können Sie die Mindestelementstruktur kopieren:

          <AuthenticationTypes>  
             <RSWindowsBasic/>  
      </AuthenticationTypes>

  4. Fügen Sie es über die vorhandenen Einträge für <Authentication> ein.

    Wenn Sie mehrere Authentifizierungstypen verwenden, fügen Sie nur das RSWindowsBasic Element hinzu, löschen aber nicht die Einträge für RSWindowsNegotiate, oder RSWindowsNTLMRSWindowsKerberos.

    Um den Safari-Browser zu unterstützen, können Sie den Berichtsserver nicht so konfigurieren, dass mehrere Authentifizierungstypen verwendet werden. Sie müssen nur RSWindowsBasic angeben und die anderen Einträge löschen.

    Beachten Sie, dass Sie mit anderen Authentifizierungstypen nicht verwenden Custom können.

  5. Ersetzen Sie leere Werte für <Realm> oder <DefaultDomain> durch Werte, die für Ihre Umgebung gültig sind.

  6. Speichern Sie die Datei.

  7. Wenn Sie eine verteilte Bereitstellung konfiguriert haben, wiederholen Sie diese Schritte für andere Report-Server in der Bereitstellung.

  8. Starten Sie den Berichtsserver neu, um alle momentan geöffneten Sitzungen zu beenden.

RSWindowsBasic-Referenz

Die folgenden Elemente können beim Konfigurieren der Standardauthentifizierung angegeben werden.

Element Erforderlich Gültige Werte
Anmeldemethode Ja

Wenn Sie keinen Wert angeben, wird 3 verwendet.		 2 = Netzwerkanmeldung, die für Hochleistungsserver zur Authentifizierung von Nur-Text-Kennwörtern vorgesehen ist.

3 = Cleartext-Anmeldung, wodurch Anmeldeinformationen im Authentifizierungspaket erhalten bleiben, das mit jeder HTTP-Anforderung gesendet wird, sodass der Server den Benutzer beim Herstellen einer Verbindung mit anderen Servern im Netzwerk imitieren kann. (Standard)

Hinweis: Werte 0 (für interaktive Anmeldung) und 1 (für die Batchanmeldung) werden in SQL Server 2014 Reporting Services (SSRS) nicht unterstützt.
Bereich Wahlfrei Gibt eine Ressourcenpartition an, die Autorisierungs- und Authentifizierungsfeatures enthält, die verwendet werden, um den Zugriff auf geschützte Ressourcen in Ihrer Organisation zu steuern.
DefaultDomain Wahlfrei Gibt die Domäne an, die vom Server zum Authentifizieren des Benutzers verwendet wird. Dieser Wert ist optional, aber wenn Sie ihn weglassen, verwendet der Berichtsserver den Computernamen als Domäne. Wenn der Computer Mitglied der Domäne ist, ist diese Domäne die Standarddomäne. Wenn Sie den Berichtsserver auf einem Domänencontroller installiert haben, ist die verwendete Domäne die vom Computer gesteuerte.

Aktivieren des anonymen Zugriffs auf Berichts-Generator-Anwendungsdateien

Der Berichts-Generator verwendet clickOnce-Technologie, um Anwendungsdateien auf dem Clientcomputer herunterzuladen und zu installieren. Wenn sie auf dem Clientcomputer gestartet wird, sendet das ClickOnce-Anwendungsstartprogramm eine Anforderung für zusätzliche Anwendungsdateien auf dem Berichtsservercomputer. Wenn der Berichtsserver für die Standardauthentifizierung konfiguriert ist, schlägt das ClickOnce-Anwendungsstartprogramm die Authentifizierungsprüfung fehl, da die Standardauthentifizierung nicht unterstützt wird.

Um dieses Problem zu umgehen, können Sie den anonymen Zugriff auf die Berichts-Generator-Programmdateien konfigurieren. Auf diese Weise kann ClickOnce die Authentifizierungsprüfung beim Abrufen seiner Dateien umgehen. Aktivieren Sie den anonymen Zugriff, indem Sie die folgenden Aktionen ausführen:

  • Stellen Sie sicher, dass der Berichtsserver für die Standardauthentifizierung konfiguriert ist.

  • Erstellen Sie unter ReportBuilder einen Bin-Ordner, und kopieren Sie vier Assemblys in den Ordner.

  • Fügen Sie das IsReportBuilderAnonymousAccessEnabled Element zum RSReportServer.config hinzu, und legen Sie es auf True. Nachdem Sie die Datei gespeichert haben, erstellt der Berichtsserver einen neuen Endpunkt im Berichts-Generator. Der Endpunkt wird intern für den Zugriff auf Programmdateien verwendet und verfügt nicht über eine programmgesteuerte Schnittstelle, die Sie im Code verwenden können. Durch die Verwendung eines separaten Endpunkts kann der Berichts-Generator in einer eigenen Anwendungsdomäne innerhalb der Prozessgrenze des Report Server-Diensts ausgeführt werden.

  • Optional können Sie ein Konto mit geringsten Berechtigungen angeben, um Anforderungen unter einem Sicherheitskontext zu verarbeiten, der sich von dem Berichtsserver unterscheidet. Dieses Konto wird zum anonymen Konto für den Zugriff auf Berichts-Generator-Dateien auf einem Berichtsserver. Das Konto legt die Identität des Threads im ASP.NET Arbeitsprozess fest. Anforderungen, die in diesem Thread ausgeführt werden, werden ohne Authentifizierungsprüfung an den Berichtsserver übergeben. Dieses Konto entspricht dem IUSR_<machine-Konto> in Internet Information Services (IIS), das den Sicherheitskontext für ASP.NET-Arbeitsprozesse festlegt, wenn anonymer Zugriff und Identitätswechsel aktiviert sind. Um das Konto anzugeben, fügen Sie es zu einer Berichts-Generator-Web.config Datei hinzu.

Der Berichtsserver muss für die Standardauthentifizierung konfiguriert werden, wenn Sie den anonymen Zugriff auf die Berichts-Generator-Programmdateien aktivieren möchten. Wenn der Berichtsserver nicht für die Standardauthentifizierung konfiguriert ist, wird beim Versuch, anonymen Zugriff zu aktivieren, eine Fehlermeldung angezeigt.

Weitere Informationen zu Authentifizierungsproblemen und Berichts-Generator finden Sie unter Konfigurieren des Berichts-Generator-Zugriffs.

So konfigurieren Sie den Berichts-Generator-Zugriff auf einem Berichtsserver, der für die Standardauthentifizierung konfiguriert ist

  1. Überprüfen Sie, ob der Berichtsserver für die Standardauthentifizierung konfiguriert ist, indem Sie die Authentifizierungseinstellungen in der datei RSReportServer.config überprüfen.

  2. Erstellen Sie einen BIN-Ordner unter dem Ordner "ReportBuilder". Dieser Ordner befindet sich standardmäßig unter \Programme\Microsoft SQL Server\MSRS12. MSSQLSERVER\Reporting Services\ReportServer\ReportBuilder.

  3. Kopieren Sie die folgenden Assemblys aus dem Ordner "ReportServer\Bin" in den Ordner "ReportBuilder\BIN":

    Microsoft.ReportingServices.Diagnostics.dll

    Microsoft.ReportingServices.Interfaces.dll

    ReportingServicesAppDomainManager.dll

    RSHttpRuntime.dll

  4. Erstellen Sie optional eine Web.config Datei zum Verarbeiten von Berichts-Generator-Anforderungen unter einem anonymen Konto:

    <?xml version="1.0" encoding="utf-8" ?>  
<configuration>  
<system.web>  
<authentication mode="Windows" />    
<identity impersonate="true " userName="username" password="password"/>  
</system.web>  
</configuration>

    Der Authentifizierungsmodus muss auf Windows gesetzt werden, wenn Sie eine Web.config-Datei einschließen.

    Identity impersonate kann True oder False sein.

    • Legen Sie sie fest, False wenn ASP.NET das Sicherheitstoken nicht lesen soll. Die Anforderung wird im Sicherheitskontext des Berichtsserverdiensts ausgeführt.

    • Legen Sie diesen Wert fest True , wenn ASP.NET das Sicherheitstoken aus der Hostebene lesen soll. Wenn Sie es auf True festlegen, müssen Sie auch userName und password angeben, um ein anonymes Konto zu erstellen. Die von Ihnen angegebenen Anmeldeinformationen bestimmen den Sicherheitskontext, unter dem die Anforderung ausgestellt wird.

  5. Speichern Sie die Web.config Datei im Ordner "ReportBuilder\bin".

  6. Öffnen Sie die RSReportServer.config-Datei im Abschnitt "Dienste" und fügen Sie unter IsReportManagerEnabled die folgende Einstellung hinzu:

    <IsReportBuilderAnonymousAccessEnabled>True</IsReportBuilderAnonymousAccessEnabled>

  7. Speichern Sie RSReportServer.config, und schließen Sie die Datei.

  8. Starten Sie den Berichtsserver neu.

Siehe auch

Anwendungsdomänen für Berichtsserveranwendungen
Berichterstellungsdienste Sicherheit und Schutz

  • Last updated on