|
随着互联网时代的高速发展,越来越多的企业提高了对数据安全的重视。 为了更好地保障产品安全,YonghongBI V9.3中新增SSAS数据源对集成Windows身份验证支持。 
希望您了解: 集成Windows身份验证是一种安全的验证形式,在用户通过网络发送用户名和密码之前,先对用户名和密码进行哈希计算。当用户启用集成Windows身份验证时,通过浏览器与Web服务器进行密码交换来证明其知晓密码。 通过上文的简单介绍,大家是不是对集成Windows身份验证有一点点心动呢?那就跟着小编一起用起来吧,通过以下简单的几个步骤轻松完成集成Windows集成身份验证相关的配置吧! 前提条件: 1.你需要准备一台支持域环境的操作系统的PC;2.你需要下载并安装最新版本的V9.3Yonghong BI。 当您完成以上信息确认和产品安装后,我们才算是踏上了Windows集成身份验证之旅。 Windows集成身份验证的使用还需要你与小编一起完成以下相关信息的配置。 一、添加配置文件 1、添加spnego.properties 文件 路径: 产品安装目录/Yonghong/ 文件内容: spnego.preauth.password=Yong123hong#YonghongBI加入域环境的密码(启动后会加密) spnego.login.server.module=server spnego.login.client.module=client spnego.preauth.username=tomcat01 #YonghongBI加入域环境的用户名(启动后会加密) spnego.login.conf=E\:/ssas/login.conf #请使用本地路径 spnego.krb5.conf=E\:/ssas/krb5.conf #请使用本地路径 说明: 绿色部分为示例,您需要替换为实际的域账号、域账号密码、文件路径。 2、添加krb5.conf文件 路径: 用户自定义(可参考如上:E\:/ssas/krb5.conf) 文件内容: [libdefaults] default_realm= YONGHONGDC.COM forwardable=true renewable=true [realms] YONGHONGDC.COM= { kdc=192.168.1.212#域服务器的IP } [domain_realm] .yonghongdc.com= YONGHONGDC.COM yonghongdc.com= YONGHONGDC.COM 说明: 绿色部分为示例,您需要替换为对应的域服务器名、域服务器IP。 3、添加 login.conf 文件 路径: 用户自定义(可参考如上:E\:/ssas/login.conf) 文件内容: client{ com.sun.security.auth.module.Krb5LoginModulerequired; }; server{ com.sun.security.auth.module.Krb5LoginModulerequired storeKey=true isInitiator=false; }; 二、修改host文件 配置服务器IP与域名的对应关系 路径: C:\Windows\System32\drivers\etc 添加以下信息: 192.168.1.158 SSAS-IIS#SSAS服务器 192.168.20.194 tomcat01#yonghong服务器的域名和IP映射 说明: 绿色部分为示例,您需要替换为对应的IP地址。 三、修改web.xml文件 路径: /tomcat/webapps/bi/WEB-INF/web.xml 添加以下信息至第一个servlet后,所有的filter前。 <filter> <filter-name>SpnegoHttpFilter</filter-name> <filter-class>g5.sv.spnego.SpnegoHttpFilter</filter-class> <init-param> <param-name>bi.home</param-name> <param-value>E:\Resources\develop\Yonghong\bihome</param-value> </init-param> </filter> <filter-mapping> <filter-name>SpnegoHttpFilter</filter-name> <url-pattern>*</url-pattern> </filter-mapping> 说明: 绿色部分为示例,您需要替换为对应的路径。 修改后的效果如下所示: 
四、在支持域的电脑上 配置Windows入域 说明: 家庭版的电脑不支持入域,您需要专业版的电脑进行配置。 1、点击桌面右下角网络图标,打开网络和共享中心。 
2、点击更改适配器设置后,右击本地连接 > 属性 ,选择Internet协议4。 
3、配置首选DNS服务器IP,如192.168.1.212。 
说明: 首选DNS服务器IP需要根据您实际的域服务器配置。 4、进入计算机 > 属性 > 高级系统设置。 
5、在系统属性页面,点击计算机名 > 更改。 
6、在计算机名/域名页面,输入您要添加的域名。 示例:Yonghongdc.com。 
7、点击确定,提示加入成功。 8、重启电脑,让配置生效。输入域账号、域账号密码。 五、浏览器配置 我们一共提供了2种方式配置浏览器,包括手动配置和自动配置,供您选择使用。为了节约您的宝贵时间,我们推荐您使用自动配置方式完成浏览器相关设置。 1、自动配置 Chrome 01、新建bat文件 文件内容如下: remchrome regadd HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /vAuthNegotiateDelegateAllowlist /d tomcat01/f regadd HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /vAuthServerAllowlist /d tomcat01/f 02、以管理员身份运行.bat文件 edge 01、新建bat文件 文件内容如下: remedge regadd HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /vAuthNegotiateDelegateAllowlist /d tomcat01/f regadd HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge /vAuthServerAllowlist /d tomcat01/f 01、以管理员身份运行.bat文件 说明: bat文件需要管理员身份运行。 添加文件后需要重启浏览器配置才能生效。 蓝色部分为示例,您需要修改为实际的域名。 2、手动配置 Chrome配置 打开
HKEY_LOCAL_MACHINE/SOFTWARE/Policies。
新建项Google。 在Google下新建项Chrome,打开Chrome。 在打开的Chrome页面新建字符串值
AuthNegotiateDelegateAllowlist,修改数据为tomcat01,即允许使用 KDC 政策委派凭据。 在打开的Chrome页面新建字符串值AuthServerAllowlist,修改数据为tomcat01,即身份验证服务器许可名单。 
Edge配置 打开 HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft 新建项Edge,打开Edge。 在打开的Edge页面新建字符串值
AuthNegotiateDelegateAllowlist,修改数据为tomcat01,即允许使用 KDC 政策委派凭据。 在打开的Edge页面新建字符串值 AuthServerAllowlist,修改数据为tomcat01,即身份验证服务器许可名单。 
Firefox配置 在浏览器地址栏输入 about:config,点击窗口的“接受风险并继续”。 
进入配置页面,在搜索栏中输入“network.negotiate-auth.*uris”。 分别将: network.negotiate-auth.delegation-uris
network.negotiate-auth.trusted-uris的值修改为tomcat01。
IE配置 域环境下无须配置。如果计算机名包含句点,IE识别为Internet地址,不会自动传递任何凭据。需要将地址配置到内网区域中。IE浏览器默认设置是在内网区域自动登录。 
至此Yonghong BI 入域配置全部完成。 验证Yonghong BI入域配置 在浏览器中输入域名访问产品,登录页面输入用户名、密码登录 示例:
http://tomacat01:9300/bi/Viewer 在添加数据源页面,以Windows集成身份方式添加SSAS数据源。 
通过小编“保姆式”教程讲解,希望大家可以清楚地使用最新YonghongBIV9.3产品提供的Windows集成身份验证方式添加SSAA数据源。 我们每个人的一小步,就是互联网数据安全的一大步,让我们一起更好地为产品数据安全保驾护航吧!
| 
