<< Click to Display Table of Contents >> SSAS集成身份验证 |
前提条件:
•支持域环境的操作系统
•V9.3及以上版本的Yonghong BI
操作步骤:
1.添加配置文件。
1)添加 spnego.properties 文件。
放置路径:产品安装目录/Yonghong/
文件内容:
spnego.preauth.password=Yong123hong #YonghongBI加入域环境的密码(启动后会加密)
spnego.login.server.module=server
spnego.login.client.module=client
spnego.preauth.username=tomcat01 #YonghongBI加入域环境的用户名(启动后会加密)
spnego.login.conf=E\:/ssas/login.conf #请使用本地路径
spnego.krb5.conf=E\:/ssas/krb5.conf #请使用本地路径
➢说明:
蓝色部分为示例,您需要替换为实际的域账号、域账号密码、文件路径。
2)添加 krb5.conf 文件。
放置路径:用户自定义 (可参考如上:E\:/ssas/ krb5.conf)
文件内容:
[libdefaults]
default_realm = YONGHONGDC.COM
forwardable=true
renewable=true
[realms]
YONGHONGDC.COM = {
kdc = 192.168.1.212 #域服务器的IP
}
[domain_realm]
.yonghongdc.com = YONGHONGDC.COM
yonghongdc.com = YONGHONGDC.COM
➢说明:
蓝色部分为示例,您需要替换为对应的域服务器名、域服务器IP。
3)添加 login.conf 文件
放置路径:用户自定义 (可参考如上:E\:/ssas/login.conf)
文件内容:
client {
com.sun.security.auth.module.Krb5LoginModule required;
};
server {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
isInitiator=false;
};
2.修改host文件,配置服务器IP与域名的对应关系。
路径:C:\Windows\System32\drivers\etc
添加以下信息:
192.168.1.158 SSAS-IIS #SSAS服务器
192.168.20.194 tomcat01 #yonghong服务器的域名和IP映射
➢说明:
蓝色部分为示例,您需要替换为对应的IP地址。
3.修改web.xml 文件。
路径:/tomcat/webapps/bi/WEB-INF/web.xml
添加以下信息至第一个servlet后,所有的的filter前。
<filter>
<filter-name>SpnegoHttpFilter</filter-name>
<filter-class>g5.sv.spnego.SpnegoHttpFilter</filter-class>
<init-param>
<param-name>bi.home</param-name>
<param-value>E:\Resources\develop\Yonghong\bihome</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>SpnegoHttpFilter</filter-name>
<url-pattern>*</url-pattern>
</filter-mapping>
➢说明:
蓝色部分为示例,您需要替换为对应的路径。
修改后的效果如下所示:
4.在支持域的电脑上配置window入域。
➢说明:
家庭版的电脑不支持入域,您需要专业版的电脑进行配置。
1)点击桌面右下角网络图标,打开网络和共享中心。
2)点击更改适配器设置后,右击本地连接 > 属性 ,选择Internet协议4。
3)配置首选DNS服务器IP,如192.168.1.212。
➢说明:
首选DNS服务器IP需要根据您实际的域服务器配置。
4)进入计算机 > 属性 > 高级系统设置。
5)在系统属性页面,点击计算机名 > 更改。
6)在计算机名/域名页面,输入您要添加的域名。
示例:Yonghongdc.com。
7) 点击确定,提示加入成功。
8)重启电脑,让配置生效。输入域账号、域账号密码。
5.浏览器配置。
•自动配置
oChrome
1) 新建bat文件。
文件内容如下:
rem chrome
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v AuthNegotiateDelegateAllowlist /d tomcat01/f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v AuthServerAllowlist /d tomcat01/f
2)以管理员身份运行.bat文件
oEdge
1)新建bat文件。
文件内容如下:
rem edge
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /v AuthNegotiateDelegateAllowlist /d tomcat01/f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /v AuthServerAllowlist /d tomcat01/f
2)以管理员身份运行.bat文件
➢说明:
1.bat文件需要管理员身份运行。
2.添加文件后需要重启浏览器配置才能生效。
3.蓝色部分为示例,您需要修改为实际的域名。
•手动配置
oChrome配置
1)打开HKEY_LOCAL_MACHINE/SOFTWARE/Policies。
2)新建项Google。
3)在Google下新建项Chrome,打开Chrome。
4)在打开的Chrome页面新建字符串值AuthNegotiateDelegateAllowlist,修改数据为tomcat01,即允许使用 KDC 政策委派凭据。
5)在打开的Chrome页面新建字符串值AuthServerAllowlist,修改数据为tomcat01,即身份验证服务器许可名单。
o Edge配置
1)打开HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft
2)新建项Edge,打开Edge。
3)在打开的Edge页面新建字符串值AuthNegotiateDelegateAllowlist,修改数据为tomcat01,即允许使用 KDC 政策委派凭据。
4)在打开的Edge页面新建字符串值 AuthServerAllowlist,修改数据为tomcat01,即身份验证服务器许可名单。
o Firefox配置
1)在浏览器地址栏输入 about:config,点击窗口的“接受风险并继续”。
2)进入配置页面,在搜索栏中输入“network.negotiate-auth.*uris”。
3)分别将network.negotiate-auth.delegation-uris、network.negotiate-auth.trusted-uris的值修改为tomcat01。
oIE配置
域环境下无须配置。如果计算机名包含句点,IE识别为Internet地址,不会自动传递任何凭据。需要将地址配置到内网区域中。IE浏览器默认设置是在内网区域自动登录。
6.至此Yonghong BI 入域配置全部完成。
验证SSAS集成身份
7. 在浏览器中输入域名访问产品。
示例:http://tomacat01:9300/bi/Viewer
8. 在登录页面输入用户名、密码登录。
后续操作:
以集成身份添加SSAS数据源。