다음을 통해 공유

보고서 서버에서 Windows 인증 구성

기본적으로 Reporting Services는 협상 또는 NTLM 인증을 지정하는 요청을 수락합니다. 배포에 이러한 보안 공급자를 사용하는 클라이언트 애플리케이션 및 브라우저가 포함된 경우 추가 구성 없이 기본값을 사용할 수 있습니다. Windows 통합 보안에 다른 보안 공급자를 사용하려는 경우(예: Kerberos를 직접 사용하려는 경우) 기본값을 수정하고 원래 설정을 복원하려는 경우 이 항목의 정보를 사용하여 보고서 서버에서 인증 설정을 지정할 수 있습니다.

Windows 통합 보안을 사용하려면 보고서 서버에 액세스해야 하는 각 사용자에게 유효한 Windows 로컬 또는 도메인 사용자 계정이 있거나 Windows 로컬 또는 도메인 그룹 계정의 구성원이어야 합니다. 해당 도메인을 신뢰할 수 있는 한 다른 도메인의 계정을 포함할 수 있습니다. 특정 보고서 서버 작업에 액세스하려면 계정에 보고서 서버 컴퓨터에 대한 액세스 권한이 있어야 하며, 이후에 역할에 할당되어야 합니다.

다음 추가 요구 사항도 충족해야 합니다.

  • RSeportServer.config 파일은 AuthenticationType, RSWindowsNegotiate, RSWindowsKerberos 또는 RSWindowsNTLM로 설정해야 합니다. 기본적으로 RSReportServer.config 파일에는 보고서 서버 서비스 계정이 NetworkService 또는 LocalSystem인 경우 설정이 포함 RSWindowsNegotiate 됩니다. 그렇지 않으면 RSWindowsNTLM 설정이 사용됩니다. Kerberos 인증만 사용하는 애플리케이션이 있는 경우 추가할 RSWindowsKerberos 수 있습니다.

    중요합니다

    도메인 RSWindowsNegotiate 사용자 계정에서 실행되도록 보고서 서버 서비스를 구성하고 계정에 대한 SPN(서비스 사용자 이름)을 등록하지 않은 경우 Kerberos 인증 오류가 발생합니다. 자세한 내용은 이 항목의 보고서 서버에 연결할 때 Kerberos 인증 오류 해결 을 참조하세요.

  • ASP.NET Windows 인증에 대해 구성해야 합니다. 기본적으로 보고서 서버 웹 서비스 및 보고서 관리자의 Web.config 파일에는 인증 모드="Windows"> 설정이 포함됩니다<. 인증 모드="Forms">로 변경<하면 Reporting Services에 대한 Windows 인증이 실패합니다.

  • 보고서 서버 웹 서비스 및 보고서 관리자에 대한 Web.config 파일에는 <identity impersonate="true"/>가 있어야 합니다.

  • 클라이언트 애플리케이션 또는 브라우저는 Windows 통합 보안을 지원해야 합니다.

보고서 서버 인증 설정을 변경하려면 RSReportServer.config 파일에서 XML 요소 및 값을 편집합니다. 이 항목의 예제를 복사하여 붙여넣어 특정 조합을 구현할 수 있습니다.

모든 클라이언트 및 서버 컴퓨터가 동일한 도메인 또는 신뢰할 수 있는 도메인에 있고 보고서 서버가 회사 방화벽 뒤에 인트라넷 액세스를 위해 배포되는 경우 기본 설정이 가장 적합합니다. 신뢰할 수 있는 도메인과 단일 도메인은 Windows 자격 증명을 전달하기 위한 요구 사항입니다. 서버에 Kerberos 버전 5 프로토콜을 사용하도록 설정하는 경우 자격 증명을 두 번 이상 전달할 수 있습니다. 그렇지 않으면 자격 증명이 만료되기 전에 한 번만 전달할 수 있습니다. 여러 컴퓨터 연결에 대한 자격 증명을 구성하는 방법에 대한 자세한 내용은 보고서 데이터 원본에 대한 자격 증명 및 연결 정보 지정을 참조하세요.

다음 지침은 기본 모드 보고서 서버를 위한 것입니다. 보고서 서버가 SharePoint 통합 모드로 배포된 경우 Windows 통합 보안을 지정하는 기본 인증 설정을 사용해야 합니다. 보고서 서버는 기본 Windows 인증 확장의 내부 기능을 사용하여 SharePoint 통합 모드에서 보고서 서버를 지원합니다.

인증에 대한 확장된 보호

SQL Server 2008 R2부터 인증에 대한 확장된 보호를 지원할 수 있습니다. SQL Server 기능은 채널 바인딩 및 서비스 바인딩을 사용하여 인증 보호를 강화할 수 있도록 지원합니다. Reporting Services 기능은 확장된 보호를 지원하는 운영 체제와 함께 사용해야 합니다. 확장된 보호를 위한 Reporting Services 구성은 RSReportServer.config 파일의 설정에 따라 결정됩니다. 파일을 편집하거나 WMI API를 사용하여 파일을 업데이트할 수 있습니다. 자세한 내용은 Reporting Services를 사용한 인증에 대한 확장된 보호를 참조하세요.

Windows 통합 보안을 사용하도록 보고서 서버를 구성하려면

  1. 텍스트 편집기에서 RSReportServer.config 엽니다.

  2. < Authentication >를 찾습니다.

  3. 요구 사항에 가장 적합한 다음 XML 구조 중 하나를 복사합니다. 어떤 순서로든 지정할 RSWindowsNegotiateRSWindowsNTLMRSWindowsKerberos 수 있습니다. 각 개별 요청이 아닌 연결을 인증하려는 경우 인증 지속성을 사용하도록 설정해야 합니다. 인증 지속성에서 인증이 필요한 모든 요청은 연결 기간 동안 허용됩니다.

    보고서 서버 서비스 계정이 NetworkService 또는 LocalSystem인 경우 첫 번째 XML 구조는 기본 구성입니다.

    <Authentication>  
      <AuthenticationTypes>  
             <RSWindowsNegotiate />  
      </AuthenticationTypes>  
      <EnableAuthPersistence>true</EnableAuthPersistence>  
</Authentication>

    두 번째 XML 구조는 보고서 서버 서비스 계정이 NetworkService 또는 LocalSystem이 아닌 경우 기본 구성입니다.

    <Authentication>  
      <AuthenticationTypes>  
             <RSWindowsNTLM />  
      </AuthenticationTypes>  
      <EnableAuthPersistence>true</EnableAuthPersistence>

    </인증>

    세 번째 XML 구조는 Windows 통합 보안에 사용되는 모든 보안 패키지를 지정합니다.

          <AuthenticationTypes>  
             <RSWindowsNegotiate />  
             <RSWindowsKerberos />  
             <RSWindowsNTLM />  
      </AuthenticationTypes>

    네 번째 XML 구조는 Kerberos를 지원하지 않거나 Kerberos 인증 오류를 해결하는 배포에 대해서만 NTLM을 지정합니다.

          <AuthenticationTypes>  
             <RSWindowsNTLM />  
      </AuthenticationTypes>

  4. 에 대한 기존 항목 위에 붙여넣습니다 <Authentication>.

    CustomRSWindows 형식과 함께 사용할 수 없습니다.

  5. 확장된 보호를 위한 설정을 적절하게 수정합니다. 확장된 보호는 기본적으로 사용하지 않도록 설정됩니다. 이러한 항목이 없는 경우 현재 컴퓨터에서 확장된 보호를 지원하는 Reporting Services 버전을 실행하지 않을 수 있습니다. 자세한 내용은 Extended Protection for Authentication with Reporting Services를 참조하세요.

          <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
      <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>

  6. 파일을 저장합니다.

  7. 스케일 아웃 배포를 구성한 경우 배포의 다른 보고서 서버에 대해 이러한 단계를 반복합니다.

  8. 보고서 서버를 다시 시작하여 현재 열려 있는 세션을 지웁니다.

보고서 서버에 연결할 때 Kerberos 인증 오류 해결

협상 또는 Kerberos 인증을 위해 구성된 보고서 서버에서 Kerberos 인증 오류가 있는 경우 보고서 서버에 대한 클라이언트 연결이 실패합니다. Kerberos 인증 오류는 다음과 같은 경우에 발생하는 것으로 알려져 있습니다.

  • 보고서 서버 서비스는 Windows 도메인 사용자 계정으로 실행되며 계정에 대한 SPN(서비스 사용자 이름)을 등록하지 않았습니다.

  • 보고서 서버는 RSWindowsNegotiate 설정으로 구성되어 있습니다.

  • 브라우저는 보고서 서버에 보내는 요청의 인증 헤더에서 NTLM을 통해 Kerberos를 선택합니다.

Kerberos 로깅을 사용하도록 설정한 경우 오류를 감지할 수 있습니다. 오류의 또 다른 증상은 자격 증명을 여러 번 묻는 메시지가 표시되고 빈 브라우저 창이 표시된다는 것입니다.

구성 파일에서 />를 제거하고 <RSWindowsNegotiate 연결을 다시 시도하여 Kerberos 인증 오류가 발생하는지 확인할 수 있습니다.

문제를 확인한 후 다음과 같은 방법으로 해결할 수 있습니다.

  • 도메인 사용자 계정으로 보고서 서버 서비스에 대한 SPN을 등록합니다. 자세한 내용은 보고서 서버의 SPN(서비스 사용자 이름) 등록을 참조하세요.

  • 네트워크 서비스와 같은 기본 제공 계정으로 실행되도록 서비스 계정을 변경합니다. 기본 제공 계정은 컴퓨터를 네트워크에 조인할 때 정의된 호스트 SPN에 HTTP SPN을 매핑합니다. 자세한 내용은 서비스 계정 구성(SSRS 구성 관리자)을 참조하세요.

  • NTLM을 사용합니다. NTLM은 일반적으로 Kerberos 인증이 실패하는 경우에 작동합니다. NTLM을 사용하려면 RSReportServer.config 파일에서 RSWindowsNegotiate를 제거하고, RSWindowsNTLM만 지정되었는지 확인하세요. 이 방법을 선택하는 경우 SPN을 정의하지 않더라도 보고서 서버 서비스에 대한 도메인 사용자 계정을 계속 사용할 수 있습니다.

로깅 정보

Kerberos 관련 문제를 해결하는 데 도움이 되는 로깅 정보의 몇 가지 원본이 있습니다.

User-Account-Control 특성

Reporting Services 서비스 계정에 Active Directory에 설정된 충분한 특성이 있는지 확인합니다. Reporting Services 서비스 추적 로그 파일을 검토하여 UserAccountControl 특성에 대해 기록된 값을 찾습니다. 기록된 값은 10진수 형식입니다. 10진수 값을 16진수 형식으로 변환한 다음 사용자Account-Control 특성을 설명하는 MSDN 항목에서 해당 값을 찾아야 합니다.

  • Reporting Services 서비스 추적 로그 항목은 다음과 유사합니다.

    appdomainmanager!DefaultDomain!8f8!01/14/2010-14:42:28:: i INFO: The UserAccountControl value for the service account is 590336

  • 10진수 값을 16진수 형식으로 변환하는 한 가지 옵션은 Microsoft Windows 계산기입니다. Windows 계산기는 'Dec' 옵션 및 '16진수' 옵션을 표시하는 여러 모드를 지원합니다. 'Dec' 옵션을 선택하고, 로그 파일에서 찾은 10진수 값을 붙여넣거나 입력한 다음, 'Hex' 옵션을 선택합니다.

  • 그런 다음 사용자Account-Control 특성 항목을 참조하여 서비스 계정에 대한 특성을 파생합니다.

Reporting Services 서비스 계정에 대해 Active Directory에 구성된 SPN입니다.

Reporting Services 서비스 추적 로그 파일에서 SPN을 기록하려면 Reporting Services 확장 보호 기능을 일시적으로 사용하도록 설정할 수 있습니다.

  • 다음을 설정하여 구성 파일을 rsreportserver.config 수정합니다.

    <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>   
<RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>

  • Reporting Services 서비스를 다시 시작합니다.

확장된 보호를 계속 사용하지 않으려면 구성 값을 다시 기본값으로 설정하고 Reporting Services 서비스 계정을 다시 시작합니다.

<RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>  
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>

자세한 내용은 Reporting Services를 사용한 인증에 대한 확장된 보호를 참조하세요.

브라우저에서 협상된 Kerberos 또는 협상된 NTLM을 선택하는 방법

Internet Explorer를 사용하여 보고서 서버에 연결하는 경우 인증 헤더에 협상된 Kerberos 또는 NTLM을 지정합니다. NTLM은 다음과 같은 경우 Kerberos 대신 사용됩니다.

  • 요청이 로컬 보고서 서버로 전송됩니다.

  • 요청은 호스트 헤더 또는 서버 이름이 아닌 보고서 서버 컴퓨터의 IP 주소로 전송됩니다.

  • 방화벽 소프트웨어는 Kerberos 인증에 사용되는 포트를 차단합니다.

  • 특정 서버의 운영 체제에 Kerberos가 사용되지 않습니다.

  • 도메인에는 최신 버전의 운영 체제에 기본 제공되는 Kerberos 인증 기능을 지원하지 않는 이전 버전의 Windows 클라이언트 및 서버 운영 체제가 포함됩니다.

또한 Internet Explorer는 URL, LAN 및 프록시 설정을 구성하는 방법에 따라 협상된 Kerberos 또는 NTLM을 선택할 수 있습니다.

보고서 서버 URL

URL에 정규화된 도메인 이름이 포함된 경우 Internet Explorer는 NTLM을 선택합니다. URL이 localhost를 지정하는 경우 Internet Explorer는 NTLM을 선택합니다. URL이 컴퓨터의 네트워크 이름을 지정하는 경우 Internet Explorer는 협상(Report Server 서비스 계정에 대한 SPN이 있는지 여부에 따라 성공 또는 실패)을 선택합니다.

클라이언트의 LAN 및 프록시 설정

Internet Explorer에서 설정한 LAN 및 프록시 설정은 Kerberos를 통해 NTLM을 선택했는지 여부를 결정할 수 있습니다. 그러나 LAN 및 프록시 설정은 조직에 따라 다르므로 Kerberos 인증 오류에 영향을 주는 정확한 설정을 정확하게 확인할 수 없습니다. 예를 들어 조직에서는 URL을 인트라넷 URL에서 인터넷 연결을 통해 확인되는 정규화된 도메인 이름 URL로 변환하는 프록시 설정을 적용할 수 있습니다. 다른 유형의 URL에 다른 인증 공급자를 사용하는 경우 실패할 것으로 예상했을 때 일부 연결이 성공하는 것을 확인할 수 있습니다.

인증 실패로 인해 발생하는 연결 오류가 발생하는 경우 LAN 및 프록시 설정의 다양한 조합을 시도하여 문제를 격리할 수 있습니다. Internet Explorer에서 LAN 및 프록시 설정은 인터넷 옵션의 연결 탭에서 LAN 설정을 클릭하여 여는 LAN(Local Area Network) 설정 대화 상자에 있습니다.

외부 리소스

또한 참조하십시오

보고서 서버를 사용한 인증
기본 모드 보고서 서버에 대한 사용 권한 부여
RSReportServer 구성 파일
보고서 서버에서 기본 인증 구성
보고서 서버에서 사용자 지정 또는 폼 인증 구성
Reporting Services 인증에 대한 확장된 보호

  • Last updated on