集成身份验证是采用Windows身份认证,也就是使用操作系统登录的域账户进行认证的认证方式。
使用集成身份验证前需先引用spnego-9.0.jar 文件,然后配置永洪bi入域。
您可以通过以下两种方式配置spnego-9.0.jar 文件
方式一(推荐):
下载spnego-9.0.jar 文件后存放于产品安装目录“......\vividime Z-Suite\vividime\lib”即可。
方式二:
1)下载spnego-9.0.jar 文件存放于到任意目录。
2)添加spnego-9.0.jar文件到CLASSPATH,不同的操作系统所使用的文件不同。
•Windows:请将spnego-9.0.jar 文件所在路径添加到产品 “..\tomcat\bin \setclasspath.bat”的CLASSPATH中。
•Linux/MacOS:请将spnego-9.0.jar 文件所在路径添加到产品 “..\tomcat\bin \setclasspath.sh”的CLASSPATH中。
2. 增加配置文件
下文中的加粗内容需要用户替换为自己的内容。
1)增加文件名:spnego.properties 位置:安装目录/vividime/
spnego.preauth.password=Yong123hong #YonghongBI加入域环境的密码(启动后会加密)
spnego.login.server.module=server
spnego.login.client.module=client
spnego.preauth.username=tomcat01 #YonghongBI加入域环境的用户名(启动后会加密)
spnego.login.conf=E\:/ssas/login.conf #请使用本地路径
spnego.krb5.conf=E\:/ssas/krb5.conf #请使用本地路径
2)增加文件名:krb5.conf 位置:自定义 (如上,示例路径E\:/ssas/)
[libdefaults]
default_realm = YONGHONGDC.COM
forwardable=true
renewable=true
[realms]
YONGHONGDC.COM = {
kdc = 192.168.1.212 #域服务器的IP
}
[domain_realm]
.yonghongdc.com = YONGHONGDC.COM
yonghongdc.com = YONGHONGDC.COM
➢注意:
YONGHONGDC.COM为用户自己的域服务器名称
3)文件名:login.conf 位置:自定义 (如上,示例路径E\:/ssas/)
client {
com.sun.security.auth.module.Krb5LoginModule required;
};
server {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
isInitiator=false;
};
3. 修改C:\Windows\System32\drivers\etc下的host文件
因为只能用域名访问,所以要在hosts里面配置服务器ip和域名的对应关系,添加以下内容:
192.168.1.158 SSAS-IIS #ssas服务器
192.168.20.194 tomcat01 #yonghong服务器的域名和IP映射
➢注意:
•如无法修改,可通过复制到外面路径来修改。
•添加的内容,需要手动输入。
4. 修改web.xml 路径
打开安装目录/tomcat/webapps/bi/WEB-INF/web.xml
复制下面的内容,放在第一个(所有的filter前面)
<filter>
<filter-name>SpnegoHttpFilter</filter-name>
<filter-class>g5.sv.spnego.SpnegoHttpFilter</filter-class>
<init-param>
<param-name>bi.home</param-name>
<param-value>E:\Resources\develop\vividime\bihome</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>SpnegoHttpFilter</filter-name>
<url-pattern>*</url-pattern>
</filter-mapping>
修改效果如下:
5. 在支持域的电脑上(windows非家庭版)入域
域名:yonghongdc.com (替换成用户自己的域名)
如下图所示,更改里面的域名:
6.域认证浏览器配置
6.1自动配置方式
•Chrome
1) 新建bat文件(加粗部分修改为自己的域名),内容如下:
rem chrome
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v AuthNegotiateDelegateAllowlist /d tomcat01 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v AuthServerAllowlist /d tomcat01 /f
2)以管理员身份运行.bat文件
•edge
1) 新建bat文件(加粗部分修改为自己的域名),内容如下:
rem edge
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /v AuthNegotiateDelegateAllowlist /d Tomcat01 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /v AuthServerAllowlist /d Tomcat01 /f
2)以管理员身份运行.bat文件
➢注意:
•bat文件一定要以管理员身份运行。
•修改后需要重启浏览器才能生效。
6.2手动配置方式
➢注意:下文中tomcat01修改为自己的域名
•Chrome配置
在注册表中配置,无须重启电脑
1)打开HKEY_LOCAL_MACHINE/SOFTWARE/Policies
2)新建项Google,打开Google
3)新建项Chrome,打开Chrome
4)新建字符串值AuthNegotiateDelegateAllowlist,修改数据为tomcat01。
5)新建字符串值AuthServerAllowlist,修改数据为tomcat01。
官网 https://cloud.google.com/docs/chrome-enterprise/policies/?policy=AuthNegotiateDelegateAllowlist
•Edge配置
在注册表中配置,无须重启电脑
1)打开HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft
2)新建项Edge,打开Edge
3)新建字符串值AuthNegotiateDelegateAllowlist,修改数据为tomcat01。 允许使用 KDC 政策委派凭据。
4)新建字符串值 AuthServerAllowlist,修改数据为tomcat01。 身份验证服务器许可名单。
官网 https://docs.microsoft.com/en-us/deployedge/microsoft-edge-policies#http-authentication
•Firefox配置
1)在浏览器地址栏输入 about:config,点击窗口的【接受风险并继续】
2)进入配置页面,在搜索栏中搜索network.negotiate-auth.*uris
3)逐个设置表格中的选项
设置项 |
值 |
|---|---|
network.negotiate-auth.delegation-uris |
tomcat01 |
network.negotiate-auth.trusted-uris |
tomcat01 |
官网 http://kb.mozillazine.org/About:config_entries#Network
•IE配置
域环境下无须配置。
如果url中的域名包含句点,IE会识别为Internet地址,I不会自动传递任何凭据。需要把地址配置到内网区域中(如下图),IE浏览器的默认设置是在内网区域自动登录。
官网 https://docs.microsoft.com/en-us/troubleshoot/browsers/prompt-for-username-and-password
7.在已入域的电脑上登录域用户
(账号:yhuser@YONGHONGDC.COM 密码:YONG@123hong)。 #使用用户入域的账号密码
8. 使用tomcat01 作为域名访问YonghongBI
使用登录电脑对应的YonghongBI中的用户登录。
9.创建或打开集成身份验证的ssas数据源,测试连接