集成身份验证

<< Click to Display Table of Contents >>

当前位置:  数据准备 > 数据源 > 多维数据源 

集成身份验证

复制链接

集成身份验证是采用Windows身份认证,也就是使用操作系统登录的域账户进行认证的认证方式。

使用集成身份验证前需先引用spnego-9.0.jar 文件,然后配置永洪bi入域。

1. 引用spnego-9.0.jar 文件

您可以通过以下两种方式配置spnego-9.0.jar 文件

方式一(推荐):

下载spnego-9.0.jar 文件后存放于产品安装目录“......\Yonghong Z-Suite\Yonghong\lib”即可。

方式二:

1)下载spnego-9.0.jar 文件存放于到任意目录。

2)添加spnego-9.0.jar文件到CLASSPATH,不同的操作系统所使用的文件不同。

Windows:请将spnego-9.0.jar 文件所在路径添加到产品 “..\tomcat\bin \setclasspath.bat”的CLASSPATH中。

Linux/MacOS:请将spnego-9.0.jar 文件所在路径添加到产品 “..\tomcat\bin \setclasspath.sh”的CLASSPATH中。

2. 增加配置文件

下文中的加粗内容需要用户替换为自己的内容。

1)增加文件名:spnego.properties   位置:安装目录/Yonghong/

spnego.preauth.password=Yong123hong  #YonghongBI加入域环境的密码(启动后会加密)

spnego.login.server.module=server

spnego.login.client.module=client

spnego.preauth.username=tomcat01 #YonghongBI加入域环境的用户名(启动后会加密)

spnego.login.conf=E\:/ssas/login.conf   #请使用本地路径

spnego.krb5.conf=E\:/ssas/krb5.conf   #请使用本地路径

2)增加文件名:krb5.conf   位置:自定义 (如上,示例路径E\:/ssas/)

[libdefaults]

 default_realm = YONGHONGDC.COM

 forwardable=true

 renewable=true

 

[realms]

  YONGHONGDC.COM = {

       kdc = 192.168.1.212   #域服务器的IP

   }

 

[domain_realm]

 .yonghongdc.com = YONGHONGDC.COM

 yonghongdc.com = YONGHONGDC.COM

注意:

YONGHONGDC.COM为用户自己的域服务器名称

3)文件名:login.conf   位置:自定义  (如上,示例路径E\:/ssas/)

client {

 com.sun.security.auth.module.Krb5LoginModule required;

};

 

server {

 com.sun.security.auth.module.Krb5LoginModule required

 storeKey=true

 isInitiator=false;

};

3. 修改C:\Windows\System32\drivers\etc下的host文件

因为只能用域名访问,所以要在hosts里面配置服务器ip和域名的对应关系,添加以下内容:

192.168.1.158  SSAS-IIS                      #ssas服务器

192.168.20.194  tomcat01                   #yonghong服务器的域名和IP映射    

注意:

如无法修改,可通过复制到外面路径来修改。

添加的内容,需要手动输入。

4. 修改web.xml  路径

打开安装目录/tomcat/webapps/bi/WEB-INF/web.xml

复制下面的内容,放在第一个(所有的filter前面)

<filter>

     <filter-name>SpnegoHttpFilter</filter-name>

     <filter-class>g5.sv.spnego.SpnegoHttpFilter</filter-class>

 

     <init-param>

        <param-name>bi.home</param-name>

        <param-value>E:\Resources\develop\Yonghong\bihome</param-value>

     </init-param>

  </filter>

 

  <filter-mapping>

     <filter-name>SpnegoHttpFilter</filter-name>

     <url-pattern>*</url-pattern>

  </filter-mapping>

修改效果如下:

clip0016

5. 在支持域的电脑上(windows非家庭版)入域

域名:yonghongdc.com (替换成用户自己的域名)

如下图所示,更改里面的域名:

clip0026

6.域认证浏览器配置

6.1自动配置方式

Chrome

1) 新建bat文件(加粗部分修改为自己的域名),内容如下:

rem chrome

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v AuthNegotiateDelegateAllowlist /d tomcat01 /f

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v AuthServerAllowlist /d tomcat01 /f

2)以管理员身份运行.bat文件

edge

1) 新建bat文件(加粗部分修改为自己的域名),内容如下:

rem edge

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /v AuthNegotiateDelegateAllowlist /d Tomcat01 /f

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /v AuthServerAllowlist /d Tomcat01 /f

2)以管理员身份运行.bat文件

注意:

bat文件一定要以管理员身份运行。

修改后需要重启浏览器才能生效。

6.2手动配置方式

注意:下文中tomcat01修改为自己的域名

Chrome配置

在注册表中配置,无须重启电脑

1)打开HKEY_LOCAL_MACHINE/SOFTWARE/Policies

2)新建项Google,打开Google

3)新建项Chrome,打开Chrome

4)新建字符串值AuthNegotiateDelegateAllowlist,修改数据为tomcat01

5)新建字符串值AuthServerAllowlist,修改数据为tomcat01

官网 https://cloud.google.com/docs/chrome-enterprise/policies/?policy=AuthNegotiateDelegateAllowlist

clip0027

Edge配置

在注册表中配置,无须重启电脑

1)打开HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft

2)新建项Edge,打开Edge

3)新建字符串值AuthNegotiateDelegateAllowlist,修改数据为tomcat01。 允许使用 KDC 政策委派凭据。

4)新建字符串值 AuthServerAllowlist,修改数据为tomcat01。 身份验证服务器许可名单。

官网 https://docs.microsoft.com/en-us/deployedge/microsoft-edge-policies#http-authentication

clip0038

Firefox配置

1)在浏览器地址栏输入 about:config,点击窗口的【接受风险并继续】

clip0035

2)进入配置页面,在搜索栏中搜索network.negotiate-auth.*uris

clip0034

3)逐个设置表格中的选项

设置项

network.negotiate-auth.delegation-uris

tomcat01

network.negotiate-auth.trusted-uris

tomcat01

官网 http://kb.mozillazine.org/About:config_entries#Network

IE配置

域环境下无须配置。

如果url中的域名包含句点,IE会识别为Internet地址,I不会自动传递任何凭据。需要把地址配置到内网区域中(如下图),IE浏览器的默认设置是在内网区域自动登录。

官网 https://docs.microsoft.com/en-us/troubleshoot/browsers/prompt-for-username-and-password

clip0036

7.在已入域的电脑上登录域用户

(账号:yhuser@YONGHONGDC.COM 密码:YONG@123hong)。  #使用用户入域的账号密码

8. 使用tomcat01 作为域名访问YonghongBI

使用登录电脑对应的YonghongBI中的用户登录。

clip0037

9.创建或打开集成身份验证的ssas数据源,测试连接