Configurar a Autenticação do Windows no Servidor de Relatório

Por padrão, o Reporting Services aceita solicitações que especificam a autenticação Negotiate ou NTLM. Se sua implantação incluir aplicativos cliente e navegadores que usam esses provedores de segurança, você poderá usar os valores padrão sem configuração adicional. Se você quiser usar um provedor de segurança diferente para segurança integrada do Windows (por exemplo, se quiser usar Kerberos diretamente) ou se modificar os valores padrão e quiser restaurar as configurações originais, poderá usar as informações neste tópico para especificar as configurações de autenticação no servidor de relatório.

Para usar a segurança integrada do Windows, cada usuário que requer acesso a um servidor de relatório deve ter uma conta de usuário local ou de domínio válida do Windows ou ser membro de uma conta de grupo de domínio ou local do Windows. Você pode incluir contas de outros domínios, desde que esses domínios sejam confiáveis. As contas devem ter acesso ao computador do servidor de relatório e devem ser posteriormente atribuídas a funções para obter acesso a operações específicas do servidor de relatório.

Os seguintes requisitos adicionais também devem ser atendidos:

• Os arquivos RSeportServer.config devem ter AuthenticationType definido como RSWindowsNegotiate, RSWindowsKerberosou RSWindowsNTLM. Por padrão, o arquivo RSReportServer.config inclui a configuração RSWindowsNegotiate se a conta de serviço do Servidor de Relatório for NetworkService ou LocalSystem; caso contrário, a configuração RSWindowsNTLM será usada. Você pode adicionar RSWindowsKerberos se tiver aplicativos que usam apenas a autenticação Kerberos.

  Importante

  O uso RSWindowsNegotiate resultará em um erro de autenticação Kerberos se você configurou o serviço servidor de relatório para ser executado em uma conta de usuário de domínio e não registrou um SPN (Nome da Entidade de Serviço) para a conta. Para obter mais informações, consulte Resolving Kerberos Authentication Errors When Connecting to a report server neste tópico.

• ASP.NET deve ser configurado para a Autenticação do Windows. Por padrão, os arquivos Web.config para o serviço Web do Servidor de Relatórios e o Gerenciador de Relatórios incluem a configuração <modo de autenticação="Windows">. Se você alterá-lo para <modo de autenticação "Forms">, a Autenticação do Windows para os Serviços de Relatório falhará.

• Os arquivos Web.config para o serviço Web do Servidor de Relatórios e o Gerenciador de Relatórios devem ter <imitação de identidade="true" />.

• O aplicativo cliente ou navegador deve dar suporte à segurança integrada do Windows.

Para alterar as configurações de autenticação do servidor de relatório, edite os elementos XML e os valores no arquivo RSReportServer.config. Você pode copiar e colar os exemplos neste tópico para implementar combinações específicas.

As configurações padrão funcionam melhor se todos os computadores cliente e servidor estiverem no mesmo domínio ou em um domínio confiável e o servidor de relatório for implantado para acesso à intranet por trás de um firewall corporativo. Domínios confiáveis e individuais são um requisito para passar credenciais do Windows. As credenciais poderão ser passadas mais de uma vez se você habilitar o protocolo Kerberos versão 5 para seus servidores. Caso contrário, as credenciais poderão ser passadas apenas uma vez antes de expirarem. Para obter mais informações sobre como configurar credenciais para várias conexões de computador, consulte Especificar informações de credencial e conexão para fontes de dados de relatório.

As instruções a seguir são destinadas a um servidor de relatório de modo nativo. Se o servidor de relatório for implantado no modo integrado do SharePoint, você deverá usar as configurações de autenticação padrão que especificam a segurança integrada do Windows. O servidor de relatório usa recursos internos na extensão de Autenticação do Windows padrão para dar suporte a servidores de relatório no modo integrado do SharePoint.

Proteção Estendida para Autenticação

A partir do SQL Server 2008 R2, o suporte para Proteção Estendida para Autenticação está disponível. O recurso do SQL Server oferece suporte ao uso de associação de canal e associação de serviço para aprimorar a proteção da autenticação. Os recursos do Reporting Services precisam ser usados com um sistema operacional que dê suporte à Proteção Estendida. A configuração do Reporting Services para proteção estendida é determinada por configurações no arquivo RSReportServer.config. O arquivo pode ser atualizado editando o arquivo ou usando APIs WMI. Para obter mais informações, consulte Proteção Estendida para Autenticação com o Reporting Services.

Para configurar um servidor de relatório para usar a segurança integrada do Windows

1. Abra RSReportServer.config em um editor de texto.

2. Localizar <Authentication>.

3. Copie uma das estruturas XML a seguir que melhor atenda às suas necessidades. Você pode especificar RSWindowsNegotiate, RSWindowsNTLMe RSWindowsKerberos em qualquer ordem. Você deve habilitar a persistência de autenticação se quiser autenticar a conexão em vez de cada solicitação individual. Sob persistência de autenticação, todas as solicitações que exigem autenticação serão permitidas durante a conexão.

   A primeira estrutura XML é a configuração padrão quando a conta de serviço servidor de relatório é NetworkService ou LocalSystem:

   <Authentication>  
         <AuthenticationTypes>  
                <RSWindowsNegotiate />  
         </AuthenticationTypes>  
         <EnableAuthPersistence>true</EnableAuthPersistence>  
   </Authentication>  
   

   A segunda estrutura XML é a configuração padrão quando a conta de serviço servidor de relatório não é NetworkService ou LocalSystem:

   <Authentication>  
         <AuthenticationTypes>  
                <RSWindowsNTLM />  
         </AuthenticationTypes>  
         <EnableAuthPersistence>true</EnableAuthPersistence>  
   

   </Autenticação>

   A terceira estrutura XML especifica todos os pacotes de segurança usados na segurança integrada do Windows:

         <AuthenticationTypes>  
                <RSWindowsNegotiate />  
                <RSWindowsKerberos />  
                <RSWindowsNTLM />  
         </AuthenticationTypes>  
   

   A quarta estrutura XML especifica NTLM somente para implantações que não dão suporte a Kerberos ou para contornar erros de autenticação Kerberos:

         <AuthenticationTypes>  
                <RSWindowsNTLM />  
         </AuthenticationTypes>  
   

4. Cole-o sobre as entradas existentes para <Authentication>.

   Observe que você não pode usar Custom com os RSWindows tipos.

5. Modifique conforme apropriado as configurações de proteção estendida. A proteção estendida está desabilitada por padrão. Se essas entradas não estiverem presentes, o computador atual poderá não estar executando uma versão do Reporting Services que dê suporte à proteção estendida. Para obter mais informações, consulte Extended Protection for Authentication with Reporting Services.

         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>  
   

6. Salve o arquivo.

7. Se você configurou uma implantação de expansão, repita essas etapas para outros servidores de relatório na implantação.

8. Reinicie o servidor de relatório para terminar as sessões que estão atualmente abertas.

Resolvendo erros de autenticação Kerberos ao se conectar a um servidor de relatório

Em um servidor de relatório configurado para autenticação Negotiate ou Kerberos, uma conexão de cliente com o servidor de relatório falhará se houver um erro de autenticação Kerberos. Os erros de autenticação Kerberos são conhecidos por ocorrerem quando:

• O serviço Servidor de Relatório é executado como uma conta de usuário de domínio do Windows e você não registrou um SPN (Nome da Entidade de Serviço) para a conta.

• O servidor de relatório é configurado com a RSWindowsNegotiate configuração.

• O navegador escolhe Kerberos em vez de NTLM no cabeçalho de autenticação na solicitação enviada ao servidor de relatório.

Você consegue detectar o erro se tiver habilitado o log Kerberos. Outro sintoma do erro é que você recebe uma solicitação de credenciais várias vezes e, em seguida, vê uma janela vazia do navegador.

Você pode confirmar que está encontrando um erro de autenticação Kerberos removendo <RSWindowsNegotiate /> do arquivo de configuração e tentando a conexão novamente.

Depois de confirmar o problema, você pode resolvê-lo das seguintes maneiras:

• Registre um SPN para o serviço do Servidor de Relatórios sob a conta de usuário do domínio. Para obter mais informações, consulte Registrar um SPN (Nome da Entidade de Serviço) para um Servidor de Relatório.

• Altere a conta de serviço para ser executada em uma conta integrada, como o Serviço de Rede. Contas integradas fazem a correspondência do SPN HTTP com o Host SPN, que é definido quando você ingressa um computador em sua rede. Para obter mais informações, consulte Configurar uma conta de serviço (SSRS Configuration Manager).

• Use NTLM. O NTLM geralmente funcionará quando a autenticação Kerberos falhar. Para usar o NTLM, remova RSWindowsNegotiate do arquivo RSReportServer.config e verifique se somente RSWindowsNTLM está especificado. Se você escolher essa abordagem, poderá continuar a usar uma conta de usuário de domínio para o serviço servidor de relatório, mesmo que não defina um SPN para ele.

Informações de registro

Há várias fontes de informações de log que podem ajudar a resolver problemas relacionados ao Kerberos.

Atributo do usuário-Account-Control

Determine se a conta de serviço do Reporting Services tem o atributo suficiente definido no Active Directory. Examine o arquivo de log de rastreamento do serviço reporting services para localizar o valor registrado no atributo UserAccountControl. O valor registrado está em forma decimal. Você precisa converter o valor decimal em um formulário hexadecimal e, em seguida, encontrar esse valor no tópico MSDN que descreve o atributo User-Account-Control.

• A entrada de log de rastreamento do serviço reporting services será semelhante à seguinte:

  appdomainmanager!DefaultDomain!8f8!01/14/2010-14:42:28:: i INFO: The UserAccountControl value for the service account is 590336  
  

• Uma opção para converter o valor decimal em forma hexadecimal é usar a Calculadora do Microsoft Windows. A Calculadora do Windows oferece suporte a vários modos que incluem as opções 'Dec' e 'Hex'. Selecione a opção 'Dez', cole ou digite o valor decimal encontrado no arquivo de log e selecione a opção 'Hex'.

• Em seguida, consulte o tópico User-Account-Control Attribute para derivar o atributo da conta de serviço.

SPNs configurados no Active Directory para a conta de serviço do Reporting Services.

Para registrar os SPNs no arquivo de log de rastreamento do serviço Reporting Services, você pode ativar temporariamente o recurso Proteção Estendida do Reporting Services.

• Modifique o arquivo rsreportserver.config de configuração definindo o seguinte:

  <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>   
  <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>  
  

• Reinicie o serviço Reporting Services .

Se você não quiser continuar usando a Proteção Estendida, defina os valores de configuração de volta como padrões e reinicie a conta do Reporting Services Service.

<RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>  
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>  

Para obter mais informações, consulte Proteção Estendida para Autenticação com o Reporting Services

Como o navegador escolhe Kerberos negociado ou NTLM negociado

Quando você usa o Internet Explorer para se conectar ao servidor de relatório, ele especifica Kerberos negociado ou NTLM no cabeçalho de autenticação. O NTLM é usado em vez de Kerberos quando:

• A solicitação é enviada a um servidor de relatório local.

• A solicitação é enviada para um endereço IP do computador do servidor de relatório em vez de um cabeçalho de host ou nome do servidor.

• O software de firewall bloqueia portas usadas para autenticação Kerberos.

• O sistema operacional de um servidor específico não tem Kerberos habilitado.

• O domínio inclui versões mais antigas de sistemas operacionais cliente e servidor windows que não dão suporte ao recurso de autenticação Kerberos integrado a versões mais recentes do sistema operacional.

Além disso, o Internet Explorer pode escolher Kerberos negociados ou NTLM dependendo de como você configurou as configurações de URL, LAN e proxy.

URL do Servidor de Relatório

Se a URL incluir um nome de domínio totalmente qualificado, o Internet Explorer selecionará NTLM. Se a URL indicar localhost, o Internet Explorer escolherá NTLM. Se a URL especificar o nome de rede do computador, o Internet Explorer selecionará Negociar, que terá êxito ou falhará, dependendo de existir um SPN para a conta de serviço do Servidor de Relatório.

Configurações de LAN e Proxy no cliente

As configurações de LAN e proxy definidas no Internet Explorer podem determinar se o NTLM é escolhido em vez de Kerberos. No entanto, como as configurações de LAN e proxy variam entre as organizações, não é possível determinar com precisão as configurações exatas que contribuem para erros de autenticação Kerberos. Por exemplo, sua organização pode impor configurações de proxy que convertem URLs de intranet em URLs com nomes de domínio completos que podem ser resolvidos por conexões de Internet. Se diferentes provedores de autenticação forem usados para diferentes tipos de URLs, você poderá descobrir que algumas conexões são bem-sucedidas quando você esperava que elas falhassem.

Se você encontrar erros de conexão que você acha que são devido a falhas de autenticação, você pode tentar diferentes combinações de configurações de LAN e proxy para isolar o problema. No Internet Explorer, as configurações de LAN e proxy estão na caixa de diálogo Configurações de LAN (Rede de Área Local), que você abre clicando nas configurações de LAN na guia Conexão das Opções da Internet.

Recursos externos

• Para obter informações adicionais sobre Kerberos e servidores de relatório, consulte Implantando uma solução de Business Intelligence usando o SharePoint, o Reporting Services e o Servidor de Monitoramento do PerformancePoint com Kerberos.

Consulte Também

Autenticação com o Servidor de Relatório
Conceder permissões em um servidor de relatório no Modo Nativo
Arquivo de configuração RSReportServer
Configurar a Autenticação Básica no Servidor de Relatório
Configurar autenticação personalizada ou de formulários no servidor de relatório
Proteção estendida para autenticação com o Reporting Services