Cómo habilitar Kerberos/Delegación en Reporting Services con informes de SQL Server

MAQUINA CLIENTE:

 

1-Habiltar la opción “autenticación Windows Integrada” en Internet Explorer. Herramientas, Opciones de Internet Pestaña Avanazado. Hay que reiniciar la máquina para que tenga efecto.

2-Comprobar que la navegación a Reporting Services se realiza en la zona Intranet, si no es así, añadir la URL a los trusted sites en la Zona Intranet. (Kerberos no funciona en la zona Intranet).

 

 

SERVIDOR DE INFORMES:

 

1-Sitio IIS configurado para Kerberos

 

Reporting Services site debe estar configurado para soportar autenticación Kerberos. Para ello, verificar que la entrada NTAuthenticationProviders en la metabase de IIS tiene Negotiate,NTLM.

How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication http://support.microsoft.com/kb/215383

Los directories virtuales Report y ReportServer deben tener Seguridad Integrada en Propiedades, Seguridad de Directorio

 

2- Crear SPN para el servicio http de Reporting Services

 

How to use SPNs when you configure Web applications that are hosted on IIS 6.0 http://support.microsoft.com/kb/929650

 

Cómo obtener SetSPN

Para crear SPNs se puede utilizar la herramienta setspn (Para descargar  la utilidad SetSPN, visita la siguiente web site de Microsoft (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en)

 

Antes de ejecutar SETSPN, obtiene :

El DNS, FQDN, hostheader, puerto de  ReportServer.

Chequea la cuenta de la identidad del pool de aplicaciones de Report Server (esta cuenta es llamada <HTTP_Service_Account>). Si se utiliza una cuenta buitin (local sytem, network services..)  la cuenta de servicio será la cuenta de máquina machinename$

 

Ejecuta SETSPN

 

1-Lista los SPN registrados

 

Ejecuta SETSPN -L <HTTP_Service_Account> para listar los SPNs que está registrados para una cuenta:

setspn -L <HTTP_Service_Account>

 

2-Registra SPN:

 

Setspn –A HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username

Setspn –A HTTP/FQDN_OF_IIS_SERVER domain\username

Setspn –A HTTP/HOST_HEADER NETBIOS_NAME_OF_IIS_SERVER

 

3-Chequea los SPNs creados con SETSPN –L (paso 1)

 

3-Hacer que la cuenta sea trusted for delegation

 

Para hacer que la cuenta <HTTP_Service_Account>  sea trusted for delegation http://technet.microsoft.com/en-us/library/cc739474.aspx

 

En la consola de Directorio Activo

1.            Seleccionar Users and Computers.

2.            en el arbol que aparece, seleciona Users ( si HTTP_Service_Account es la cuenta de máquina, habrá que seleccionar Computers)

3.            En el panel de detalles, botón derecho sobre la cuenta de usuario que quieres que sea trusted for delegation, y pulsa Properties.

4.            En la Pestaña Delegation, selecciona el check box para que la cuenta sea trusted for delegation, pulsa OK.

 

 

SERVIDOR DE DATOS SQL SERVER

 

 

1-Comprobar que SQL Server permite TCPI/IP protocol

SQL Server solo utilize Kerberos si el cliente utilize el protocol TCP/IP para contectarse a SQL Server.

 

En SQL Server:

En Programs/Microsoft SQL Server  2005/ Configuration Tool /SQL Server 2005 Surface Area Configuration

Selecciona Surface Area Configuration for Services and Connections

Selecciona the instance->database engine->Remote Connections

Checka uno de estas dos opciones “Use TCP/IP only “ o “Using both TCPIP and name pipes”

 

2- Create an SPN for SQL Server

 

How to: Enable Kerberos Authentication on a SQL Server Failover Cluster http://msdn.microsoft.com/en-us/library/ms189585(sql.90).aspx

 

Cómo obtener SetSPN

Para crear SPNs se puede utilizar la herramienta setspn (Para descargar  la utilidad SetSPN, visita la siguiente web site de Microsoft (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en)

 

Antes de ejecutar SETSPN :

Haz un ping a la dirección virtual del cluster para obtener al dirección ip, y haz ping -a  para asegurar que el FQDN es correctamente retornado.

Chequea la cuenta con la que se ejecuta la instancia de SQL Server (esta cuenta será llamada <SQL_Service_Account>)

Anota el Puerto TCP/IP que la instancia de  SQL Server utiliza. Para determinar esta información, abre SQL Server Configuration Manager, selecciona la instancia de SQL Server y las propiedades para el protocolo TCP/IP.

 

Run SETSPN

 

Si estás usando SQL Server failover clustering, debes registrar un SPN sin Puerto y otro con Puerto.

 

Ejecuta SETSPN

 

1-Lista los SPN registrados

 

Ejecuta SETSPN -L <SQL_Service_Account> para listar los SPNs que está registrados para una cuenta:

setspn -L <SQL_Service_Account>

 

2-Registra SPN:

 

Ejecuta SETSPN para registrar el SPN sin el Puerto para la cuenta con la que se ejcuta el servicio de SQL Server mediante:

setspn -A MSSQLSvc/<FQDN> <SQL_Service_Account>

Ejecuta SETSPN para registrar el SPN con el Puerto para la cuenta con la que se ejcuta el servicio de SQL Server mediante:

setspn -A MSSQLSvc/<FQDN>:<Port> <SQL_Service_Account>

 

3-Chequea los SPNs creados con SETSPN –L (paso 1

 

 

 

Camino de Vicente

 

Ingeniero de Soporte de Reporting Services