BI200004Soluciones BI con delegaciónKerberosMiguel Egea         Victor M. Sánchez GarcíaMentor               BI Data Platf...
Objetivos Conocer distintos escenarios de identificación sobre orígenes de datos   en Soluciones de BI Configuración de ...
Agenda Escenarios de acceso a datos e identificación Una píldora sobre autenticación en Windows Configurando Análisis S...
Soluciones BI con delegación KerberosEscenarios de acceso a datosIdentificación
Escenarios de acceso a datosAplicaciones cliente conectadas a orígenes de datos    Excel    PowerPivot    Reporting mo...
Escenarios de Accesos a datosCliente <–> Servidor Escenario 1    Usuarios con aplicaciones                   Analisis  ...
Escenarios de Accesos a datosEscenario multi-capa (multi-tier) Escenario 3    SharePoint 2010 en server 1    Origen de ...
Escenarios de Accesos a datosIdentificación directaEscenarios 1 y 2…..           Usuarios identificados   Orígenes de datos
Escenarios de Accesos a datosIdentificación con doble salto (double-hop)Escenario 3…..  Usuariosidentificados             ...
Soluciones BI con delegación KerberosUna píldora sobre autenticación enWindows
Protocolos de autenticación(Wndows Authentication)                      NTLM                                              ...
Kerberos¿Tiene usted su ticket?   Authentication Server     (AS), que verifica la     identidad y proporciona el     tick...
Kerberos¿Cómo funciona la delegación?                                            4. Petición y respuesta de               ...
KerberosServices Principal Names   Service Principal Names (SPN)     Identifican los servicios        MSSQLSvc, MSOLAPS...
DEMODoble salto con NTLM
Soluciones BI con delegación KerberosConfigurando Analysis Services paraautenticación Kerberos
Requisitos de configuración de Kerberos paraAnalysis Services  El servidor SSAS debe estar unido al dominio        SM-SPS...
DEMOConfigurar Analysis Services para autenticación conKerberos
Soluciones BI con delegación KerberosConfigurando PerformancePointServices para delegación
Seguridad en SharePoint 2010   Clients                            SharePoint Farm                              External Sy...
Delegación con PerforformancePoint ServicesRequisitos configuración                               Administración  Active D...
Delegación en PerformancePoint Services: Checklist    Tener instalado un SharePoint 2010     Configurar delegación para...
Delegación en PerformancePoint Services: Checklist    Registrar un SPN ficticio para la cuenta del pool de PerformancePoi...
DEMOConfigurar PerformancePoint Services para utilizardelegación a través de Kerberos
ReferenciasReferencias SharePoint 2010 Kerberos Guide     http://www.microsoft.com/en-us/download/details.aspx?id=23176...
Si quieres disfrutar de las mejores sesiones denuestros mentores de España y Latino América,             ésta es tu oportu...
Upcoming SlideShare
Loading in …5
×

Soluciones BI con delegación Kerberos | SolidQ Summit 2012

650 views
512 views

Published on

Los usuarios tienen a su alcance diversas formas de obtener datos de los origénes. En escenarios en los que se conectan directamente se aplica la seguridad a nivel de dato, pero ¿que pasa cuando el escenario crece? Y si implementamos servicios SharePoint como capa de visualización de datos.... seguro que muchos se nos viene a la mente la palabra Kerberos. Durante esta sesión vamos a enfrentarnos al reto de configurarlo para realizar análisis en PerformancePoint services sin perder la seguridad sobre los datos

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
650
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Soluciones BI con delegación Kerberos | SolidQ Summit 2012

  1. 1. BI200004Soluciones BI con delegaciónKerberosMiguel Egea Victor M. Sánchez GarcíaMentor BI Data Platform ArchitectMVP SQL, MAP 2012 MAP 2012, MCITP en SQL 2008 BImegea@solidq.com vsanchez@solidq.com@megea @atharky
  2. 2. Objetivos Conocer distintos escenarios de identificación sobre orígenes de datos en Soluciones de BI Configuración de delegación con Kerberos para Analysis Services Acceder a orígenes de datos desde servicios SharePoint 2010 con delegación de credenciales del usuarioSí, es posible.
  3. 3. Agenda Escenarios de acceso a datos e identificación Una píldora sobre autenticación en Windows Configurando Análisis Services para permitir delegación Configurando PerformancePoint Services para delegación Monitorizando conexiones a orígenes de datos
  4. 4. Soluciones BI con delegación KerberosEscenarios de acceso a datosIdentificación
  5. 5. Escenarios de acceso a datosAplicaciones cliente conectadas a orígenes de datos  Excel  PowerPivot  Reporting modo nativo  Management Studio  Visio  Herramientas de tercerosClientes utilizando servicios que acceden a orígenes de datos  PerformancePoint Services  Excel Services  Visio Services  SQL Server PowerPivot para SharePoint 2010  SQL Server Reporting Services para SharePoint 2010
  6. 6. Escenarios de Accesos a datosCliente <–> Servidor Escenario 1  Usuarios con aplicaciones  Analisis cliente conectadas al Services origen de datos Usuario Servidor 1Escenario 2  SharePoint 2010  Usuarios conectándose a un servidor con SharePoint utilizando un origen de  Analisis datos en la misma máquina Services Usuario Servidor 1
  7. 7. Escenarios de Accesos a datosEscenario multi-capa (multi-tier) Escenario 3  SharePoint 2010 en server 1  Origen de datos en server 2  SharePoint 2010  Analysis Services Usuario Servidor 1 Servidor 2 (o Granja)
  8. 8. Escenarios de Accesos a datosIdentificación directaEscenarios 1 y 2….. Usuarios identificados Orígenes de datos
  9. 9. Escenarios de Accesos a datosIdentificación con doble salto (double-hop)Escenario 3….. Usuariosidentificados Orígenes de datos Servicios intermedios  PerformancePoint Services  PowerPivot  Excel Services
  10. 10. Soluciones BI con delegación KerberosUna píldora sobre autenticación enWindows
  11. 11. Protocolos de autenticación(Wndows Authentication) NTLM Kerberos Ventajas Desventajas Ventajas Desventajas No soporta Soporta Protocolo Ninguna algoritmos por defecto Disminuye Requiere doble salto Protocolo configuració Vulnerable de desde el tráfico de configuració de propietario n adicional encriptación Windows Red n adicional servidores complejos 2000 Incompatibl Valida Obsoleto Soporta e con Genera más No soporta utilizando (legado de Permite Código autenticació encriptación tráfico de direcciones direcciones Lan delegación abierto n mutua AES o SHA- red IP IP Manager) (Client/Server) 256
  12. 12. Kerberos¿Tiene usted su ticket?  Authentication Server (AS), que verifica la identidad y proporciona el ticket (TGT) correspondiente si efectivamente la autenticación tuvo éxito.  Ticket Granting Server (TGS), que emite el ticket cuando se realiza una petición de conexión.
  13. 13. Kerberos¿Cómo funciona la delegación? 4. Petición y respuesta de delgación Kerberos para el Ticket para el Server 2 5. Conecta al server 2 utilizando las 3. Conecta utilizando credenciales del cliente credenciales de cliente al que tiene el server 1 server 1
  14. 14. KerberosServices Principal Names  Service Principal Names (SPN)  Identifican los servicios  MSSQLSvc, MSOLAPSvc, MSOLAPDisco, HTTP  Los User Principal Names identifican los usuarios.  Para registrar un SPN la combinación de SPN y UPN debe ser única.  Setspn –S <SPN>/<ServerName> <UPN> || <hostname>
  15. 15. DEMODoble salto con NTLM
  16. 16. Soluciones BI con delegación KerberosConfigurando Analysis Services paraautenticación Kerberos
  17. 17. Requisitos de configuración de Kerberos paraAnalysis Services  El servidor SSAS debe estar unido al dominio SM-SPSQL2012.sqldemo.com  El servicio debe ejecutarse con una cuenta de dominio sqldemosqlasservice  Establecer un puerto fijo y permitir la comunicación en el firewall (2383)  Registrar SPN para la cuenta del servicio setspn –s MSOLAPSvc.3/<FQDN>:instance sqldemosqlasservice  En instancias con nombre el servicio SQL Browser debe configurarse  Ejecutar el servicio con una cuenta de dominio  Registrar los SPN para la cuenta de SQL Browser setspn –s MSOLAPDisco.3/<FQDN>:instance sqldemosqlservice
  18. 18. DEMOConfigurar Analysis Services para autenticación conKerberos
  19. 19. Soluciones BI con delegación KerberosConfigurando PerformancePointServices para delegación
  20. 20. Seguridad en SharePoint 2010 Clients SharePoint Farm External System Classic (Windows Auth) Classic (Windows Auth) Claims Claims Claims Incoming Intra/Inter Farm Outgoing Authentication Authentication Authentiction
  21. 21. Delegación con PerforformancePoint ServicesRequisitos configuración Administración Active Directory Analysis Server SharePoint 2010 Crear cuentas necesarias (SSAS, HTTP, PPS) Crear aplicación web con autenticación negociada Registrar SPNs HTTP, SP y MSOLAPSvc y Registrar cuentas MSOLAPDisco administrada por Iniciar servicio Analysis SharePoint Services con cuenta de Autorizar delegación dominio entre máquinas Iniciar Claims to Autorizar delegación Windows Token entre cuentas
  22. 22. Delegación en PerformancePoint Services: Checklist  Tener instalado un SharePoint 2010   Configurar delegación para Analysis Services  Configurar delegación para la cuenta de SQL content dbs  Crear en el servidor DNS un Host(A) para la IP de la aplicación web  Crear una cuenta de dominio para el pool de la aplicación web (sqldemospsummit_webpool)  Crear una cuenta para el pool de PerformancePoint Services (sqldemospsummit_ppspool)  Registrar las cuentas anteriores para que sean administradas por SharePoint  Registrar el SPN HTTP en la cuenta del pool de la aplicación web con el Host (A) setspn –s HTTP/<hostname>:port sqldemospsummit_webpool setspn –s HTTP/<FQDN>:port sqldemospsummit_webpool  Cambiar la configuración de seguridad de IIS desde SharePoint para la aplicación web  Reiniciar IIS
  23. 23. Delegación en PerformancePoint Services: Checklist  Registrar un SPN ficticio para la cuenta del pool de PerformancePoint Services setspn –s SP/<hostname>:port sqldemospsummit_ppspool  Asociar los SPN de la cuenta que ejecuta Analysis Services para delegación en la cuenta de PerformancePoint Services  Crear un nuevo servicio de aplicación PPS con la cuenta configurada  Asociar el nuevo proxy de PPS a la aplicación web  Purgar tickets!
  24. 24. DEMOConfigurar PerformancePoint Services para utilizardelegación a través de Kerberos
  25. 25. ReferenciasReferencias SharePoint 2010 Kerberos Guide  http://www.microsoft.com/en-us/download/details.aspx?id=23176 KB sobre instancias SQL y AS con nombre y kerberos  http://support.microsoft.com/kb/950599/ Kerberos Extensions  http://technet.microsoft.com/en-us/library/cc738207(v=ws.10) Kerberos in SQL Server  http://support.microsoft.com/kb/319723 Klist.exe  http://www.microsoft.com/downloads/details.aspx?FamilyID=1581e6e7-7e64- 4a2d-8aba-73e909d2a7dc&DisplayLang=en KerbTray.exe  http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6- 49f6-85be-e866af8e7a88&DisplayLang=en
  26. 26. Si quieres disfrutar de las mejores sesiones denuestros mentores de España y Latino América, ésta es tu oportunidad. http://summit.solidq.com/madrid/ Síguenos:

×