随着互联网时代的高速发展,越来越多的企业提高了对数据安全的重视。
为了更好地保障产品安全,YonghongBI V9.3中新增SSAS数据源对集成Windows身份验证支持。
希望您了解:
集成Windows身份验证是一种安全的验证形式,在用户通过网络发送用户名和密码之前,先对用户名和密码进行哈希计算。当用户启用集成Windows身份验证时,通过浏览器与Web服务器进行密码交换来证明其知晓密码。
通过上文的简单介绍,大家是不是对集成Windows身份验证有一点点心动呢?那就跟着小编一起用起来吧,通过以下简单的几个步骤轻松完成集成Windows集成身份验证相关的配置吧!
前提条件:
1.你需要准备一台支持域环境的操作系统的PC;2.你需要下载并安装最新版本的V9.3Yonghong BI。
当您完成以上信息确认和产品安装后,我们才算是踏上了Windows集成身份验证之旅。
Windows集成身份验证的使用还需要你与小编一起完成以下相关信息的配置。
一、添加配置文件
1、添加spnego.properties 文件
路径:
产品安装目录/Yonghong/
文件内容:
spnego.preauth.password=Yong123hong#YonghongBI加入域环境的密码(启动后会加密)
spnego.login.server.module=server
spnego.login.client.module=client
spnego.preauth.username=tomcat01 #YonghongBI加入域环境的用户名(启动后会加密)
spnego.login.conf=E\:/ssas/login.conf #请使用本地路径
spnego.krb5.conf=E\:/ssas/krb5.conf #请使用本地路径
说明:
绿色部分为示例,您需要替换为实际的域账号、域账号密码、文件路径。
2、添加krb5.conf文件
路径:
用户自定义(可参考如上:E\:/ssas/krb5.conf)
文件内容:
[libdefaults]
default_realm= YONGHONGDC.COM
forwardable=true
renewable=true
[realms]
YONGHONGDC.COM= {
kdc=192.168.1.212#域服务器的IP
}
[domain_realm]
.yonghongdc.com= YONGHONGDC.COM
yonghongdc.com= YONGHONGDC.COM
说明:
绿色部分为示例,您需要替换为对应的域服务器名、域服务器IP。
3、添加 login.conf 文件
路径:
用户自定义(可参考如上:E\:/ssas/login.conf)
文件内容:
client{
com.sun.security.auth.module.Krb5LoginModulerequired;
};
server{
com.sun.security.auth.module.Krb5LoginModulerequired
storeKey=true
isInitiator=false;
};
二、修改host文件
配置服务器IP与域名的对应关系
路径:
C:\Windows\System32\drivers\etc
添加以下信息:
192.168.1.158 SSAS-IIS#SSAS服务器
192.168.20.194 tomcat01#yonghong服务器的域名和IP映射
说明:
绿色部分为示例,您需要替换为对应的IP地址。
三、修改web.xml文件
路径:
/tomcat/webapps/bi/WEB-INF/web.xml
添加以下信息至第一个servlet后,所有的filter前。
SpnegoHttpFilter
g5.sv.spnego.SpnegoHttpFilter
bi.home
E:\Resources\develop\Yonghong\bihome
SpnegoHttpFilter
*
说明:
绿色部分为示例,您需要替换为对应的路径。
修改后的效果如下所示:
四、在支持域的电脑上
配置Windows入域
说明:
家庭版的电脑不支持入域,您需要专业版的电脑进行配置。
1、点击桌面右下角网络图标,打开网络和共享中心。
2、点击更改适配器设置后,右击本地连接 > 属性 ,选择Internet协议4。
3、配置首选DNS服务器IP,如192.168.1.212。
说明:
首选DNS服务器IP需要根据您实际的域服务器配置。
4、进入计算机 > 属性 > 高级系统设置。
5、在系统属性页面,点击计算机名 > 更改。
6、在计算机名/域名页面,输入您要添加的域名。
示例:Yonghongdc.com。
7、点击确定,提示加入成功。
8、重启电脑,让配置生效。输入域账号、域账号密码。
五、浏览器配置
我们一共提供了2种方式配置浏览器,包括手动配置和自动配置,供您选择使用。为了节约您的宝贵时间,我们推荐您使用自动配置方式完成浏览器相关设置。
1、自动配置
Chrome
01、新建bat文件
文件内容如下:
remchrome
regadd HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /vAuthNegotiateDelegateAllowlist /d tomcat01/f
regadd HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /vAuthServerAllowlist /d tomcat01/f
02、以管理员身份运行.bat文件
edge
01、新建bat文件
文件内容如下:
remedge
regadd HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /vAuthNegotiateDelegateAllowlist /d tomcat01/f
regadd HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /vAuthServerAllowlist /d tomcat01/f
01、以管理员身份运行.bat文件
说明:
bat文件需要管理员身份运行。
添加文件后需要重启浏览器配置才能生效。
蓝色部分为示例,您需要修改为实际的域名。
2、手动配置
Chrome配置
打开
HKEY_LOCAL_MACHINE/SOFTWARE/Policies。
新建项Google。
在Google下新建项Chrome,打开Chrome。
在打开的Chrome页面新建字符串值
AuthNegotiateDelegateAllowlist,修改数据为tomcat01,即允许使用 KDC 政策委派凭据。
在打开的Chrome页面新建字符串值AuthServerAllowlist,修改数据为tomcat01,即身份验证服务器许可名单。
Edge配置
打开
HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft
新建项Edge,打开Edge。
在打开的Edge页面新建字符串值
AuthNegotiateDelegateAllowlist,修改数据为tomcat01,即允许使用 KDC 政策委派凭据。
在打开的Edge页面新建字符串值 AuthServerAllowlist,修改数据为tomcat01,即身份验证服务器许可名单。
Firefox配置
在浏览器地址栏输入 about:config,点击窗口的“接受风险并继续”。
进入配置页面,在搜索栏中输入“network.negotiate-auth.*uris”。
分别将:
network.negotiate-auth.delegation-uris
network.negotiate-auth.trusted-uris的值修改为tomcat01。
IE配置
域环境下无须配置。如果计算机名包含句点,IE识别为Internet地址,不会自动传递任何凭据。需要将地址配置到内网区域中。IE浏览器默认设置是在内网区域自动登录。
至此Yonghong BI 入域配置全部完成。
验证Yonghong BI入域配置
在浏览器中输入域名访问产品,登录页面输入用户名、密码登录
示例:
http://tomacat01:9300/bi/Viewer
在添加数据源页面,以Windows集成身份方式添加SSAS数据源。
通过小编“保姆式”教程讲解,希望大家可以清楚地使用最新YonghongBIV9.3产品提供的Windows集成身份验证方式添加SSAA数据源。
我们每个人的一小步,就是互联网数据安全的一大步,让我们一起更好地为产品数据安全保驾护航吧!
ymf
评论
查看更多