SSAS集成身份验证

<< Click to Display Table of Contents >>

当前位置:  添加数据源 

SSAS集成身份验证

Previous pageReturn to chapter overviewNext page

前提条件:

支持域环境的操作系统

V9.3及以上版本的Yonghong BI

操作步骤:

1.添加配置文件。

1)添加 spnego.properties 文件。

放置路径:产品安装目录/Yonghong/  

文件内容:

spnego.preauth.password=Yong123hong #YonghongBI加入域环境的密码(启动后会加密)

spnego.login.server.module=server

spnego.login.client.module=client

spnego.preauth.username=tomcat01   #YonghongBI加入域环境的用户名(启动后会加密)

spnego.login.conf=E\:/ssas/login.conf   #请使用本地路径

spnego.krb5.conf=E\:/ssas/krb5.conf   #请使用本地路径

 

 

说明:

蓝色部分为示例,您需要替换为实际的域账号、域账号密码、文件路径。

 

2)添加 krb5.conf 文件。

放置路径:用户自定义 (可参考如上:E\:/ssas/ krb5.conf)

文件内容:

[libdefaults]

   default_realm = YONGHONGDC.COM

 forwardable=true

 renewable=true

 

[realms]

  YONGHONGDC.COM = {

       kdc = 192.168.1.212 #域服务器的IP

   }

 

[domain_realm]

.yonghongdc.com = YONGHONGDC.COM

 yonghongdc.com = YONGHONGDC.COM

 

说明:

蓝色部分为示例,您需要替换为对应的域服务器名、域服务器IP。

 

3)添加 login.conf 文件

放置路径:用户自定义 (可参考如上:E\:/ssas/login.conf)

文件内容:

client {

 com.sun.security.auth.module.Krb5LoginModule required;

};

 

server {

 com.sun.security.auth.module.Krb5LoginModule required

 storeKey=true

 isInitiator=false;

};

 

2.修改host文件,配置服务器IP与域名的对应关系。

路径:C:\Windows\System32\drivers\etc

添加以下信息:

192.168.1.158 SSAS-IIS #SSAS服务器
192.168.20.194 tomcat01 #yonghong服务器的域名和IP映射

 

说明:

蓝色部分为示例,您需要替换为对应的IP地址。

 

3.修改web.xml  文件。

路径:/tomcat/webapps/bi/WEB-INF/web.xml

添加以下信息至第一个servlet后,所有的的filter前。

<filter>
<filter-name>SpnegoHttpFilter</filter-name>
<filter-class>g5.sv.spnego.SpnegoHttpFilter</filter-class>
 
<init-param>
<param-name>bi.home</param-name>
<param-value>E:\Resources\develop\Yonghong\bihome</param-value>
</init-param>

</filter>
 
<filter-mapping>
<filter-name>SpnegoHttpFilter</filter-name>

<url-pattern>*</url-pattern>

</filter-mapping>

 

说明:

蓝色部分为示例,您需要替换为对应的路径。

 

修改后的效果如下所示:

clip1609

 

4.在支持域的电脑上配置window入域。

 

说明:

家庭版的电脑不支持入域,您需要专业版的电脑进行配置。

 

1)点击桌面右下角网络图标,打开网络和共享中心。

 

clip1954

2)点击更改适配器设置后,右击本地连接 > 属性 ,选择Internet协议4。

clip1955

clip1956

 

3)配置首选DNS服务器IP,如192.168.1.212。

clip1957

 

说明:

首选DNS服务器IP需要根据您实际的域服务器配置。

 

4)进入计算机 > 属性 > 高级系统设置。

clip1958

5)在系统属性页面,点击计算机名 > 更改。

clip1967

6)在计算机名/域名页面,输入您要添加的域名。

示例:Yonghongdc.com。

clip1960

 

7) 点击确定,提示加入成功。

8)重启电脑,让配置生效。输入域账号、域账号密码。

 

5.浏览器配置。

自动配置

oChrome

1) 新建bat文件。

文件内容如下:

rem chrome

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v AuthNegotiateDelegateAllowlist /d tomcat01/f

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v AuthServerAllowlist /d tomcat01/f

2)以管理员身份运行.bat文件

oEdge

1)新建bat文件。

文件内容如下:

rem edge

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /v AuthNegotiateDelegateAllowlist /d  tomcat01/f

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /v AuthServerAllowlist /d tomcat01/f

2)以管理员身份运行.bat文件

 

说明:

1.bat文件需要管理员身份运行。

2.添加文件后需要重启浏览器配置才能生效。

3.蓝色部分为示例,您需要修改为实际的域名。

 

手动配置

oChrome配置

1)打开HKEY_LOCAL_MACHINE/SOFTWARE/Policies。

2)新建项Google。

3)在Google下新建项Chrome,打开Chrome。

4)在打开的Chrome页面新建字符串值AuthNegotiateDelegateAllowlist,修改数据为tomcat01,即允许使用 KDC 政策委派凭据。

5)在打开的Chrome页面新建字符串值AuthServerAllowlist,修改数据为tomcat01,即身份验证服务器许可名单。

clip1612

o Edge配置

1)打开HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft

2)新建项Edge,打开Edge。

3)在打开的Edge页面新建字符串值AuthNegotiateDelegateAllowlist,修改数据为tomcat01,即允许使用 KDC 政策委派凭据。

4)在打开的Edge页面新建字符串值 AuthServerAllowlist,修改数据为tomcat01,即身份验证服务器许可名单。

clip1613

o Firefox配置

1)在浏览器地址栏输入 about:config,点击窗口的“接受风险并继续”。

clip1614

2)进入配置页面,在搜索栏中输入“network.negotiate-auth.*uris”。

3)分别将network.negotiate-auth.delegation-uris、network.negotiate-auth.trusted-uris的值修改为tomcat01。

clip1615

 

 

oIE配置

域环境下无须配置。如果计算机名包含句点,IE识别为Internet地址,不会自动传递任何凭据。需要将地址配置到内网区域中。IE浏览器默认设置是在内网区域自动登录。

clip1952

 

6.至此Yonghong BI 入域配置全部完成。

验证SSAS集成身份

 

7. 在浏览器中输入域名访问产品。

示例:http://tomacat01:9300/bi/Viewer

 

8. 在登录页面输入用户名、密码登录。

 

后续操作:

以集成身份添加SSAS数据源。

 

clip1965