Cómo configurar SQL Server 2008 Analysis Services y SQL Server 2005 Analysis Services para utilizar autenticación Kerberos

Resumen

Cuando se realiza una conexión a un equipo que está ejecutando Microsoft SQL Server 2008 Analysis Services o Microsoft SQL Server 2005 Analysis Services y que la conexión implica un escenario de autenticación de doble salto, debe utilizar Kerberos como protocolo de autenticación. Por ejemplo, en un escenario de autenticación de doble salto, un equipo cliente puede pasar las credenciales de inicio de sesión en un equipo que está ejecutando Microsoft Internet Information Services (IIS). El equipo que está ejecutando IIS debe pasar las credenciales de inicio de sesión al servidor de Analysis Services. Los pasos que debe seguir difieren de los pasos para Analysis Services de SQL Server 2000.

INTRODUCCIÓN

En este artículo se describe cómo configurar SQL Server 2008 Analysis Services y SQL Server 2005 Analysis Services para utilizar autenticación Kerberos.

Más información

Configurar un servidor de Analysis Services para utilizar el protocolo de autenticación Kerberos

Registrar un nombre Principal de servicio (SPN) para el servicio de Analysis Services en el servidor de Analysis Services. Si el servicio Analysis Services se ejecuta bajo el contexto de seguridad de la cuenta LocalSystem en SQL Server 2000, se crea automáticamente el SPN. Sin embargo, debe crear manualmente el SPN de SQL Server 2008 y en SQL Server 2005 como crear el SPN de SQL Server 2000 cuando el servicio Analysis Services se ejecuta bajo el contexto de seguridad de una cuenta distinta de LocalSystem. Para crear el SPN, utilice la utilidad Setspn.exe en el Kit de recursos de Microsoft Windows 2000. Esta herramienta también se incluye en las herramientas de soporte de Windows Server 2003. Las herramientas de soporte de Windows Server 2003 se incluyen en Windows Server 2003 Service Pack 1 (SP1).

Para descargar la utilidad Setspn en el Kit de recursos de Windows 2000, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de cómo descargar la herramienta Setspn.exe para Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Actualización de herramientas de soporte técnico 970536 Setspn.exe para Windows Server 2003

Después de descargar la herramienta Setspn, siga estos pasos.

Nota: Debe ser miembro del grupo Administradores de dominio para ejecutar el comando Setspn . Si la instancia de Analysis Services está agrupada, utilice el nombre virtual de Analysis Services como el nombre de dominio completo (FQDN).
  1. Para crear el SPN para el servidor de Analysis Services que se está ejecutando bajo una cuenta de dominio, ejecute los comandos siguientes en un símbolo del sistema:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      Nota: Fully_Qualified_domainName es un marcador de posición para el FQDN.
    • Setspn.exe -S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. Si debe crear el SPN para el servidor de Analysis Services que se ejecuta bajo la cuenta LocalSystem, ejecute los comandos siguientes en un símbolo del sistema:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -S MSOLAPSvc.3/serverHostName serverHostName
  3. Para comprobar si el SPN se creó para el servidor de Analysis Services, ejecute los comandos siguientes en un símbolo del sistema.
    Setspn.exe -L OLAP_Service_Startup_Account Setspn.exe -L 
    serverHostName
    Si el SPN se creó correctamente para el servidor de Analysis Services, los resultados de este comando aparecen normalmente en el formato siguiente.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName MSOLAPSvc.3/
    serverHostName
Nota: SQL Server 2005 Analysis Services puede funcionar como una instancia con nombre. Esto no se admite en Analysis Services de SQL Server 2000. Si utiliza una instancia con nombre, se aplican los mismos pasos. Sin embargo, debe configurar los siguientes formatos SPN. A diferencia con el motor de SQL Server, no puede especificar un puerto tras los dos puntos. Debe utilizar el nombre real de toda la funcionalidad para funcionar correctamente.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceNameMSOLAPSvc.3/serverHostName:instanceName

Configuración de Active Directory

Asegúrese de que todas las condiciones siguientes se cumplen para la configuración del servicio de directorio de Active Directory:
  • La configuración de la cuenta es importante y no se puede delegar no está habilitada para las cuentas de usuario que se pueda delegar.
  • La cuenta es de confianza para la delegación está habilitada para la cuenta de dominio del nivel medio que se está conectando a Analysis Services. Por ejemplo, la cuenta se confía para delegación establece habilitado si IIS es el nivel medio y se utiliza una cuenta de dominio para el grupo de aplicaciones que debe tener la cuenta de dominio del grupo de aplicaciones.
  • La cuenta es de confianza para la delegaciónestá habilitada para las cuentas de todos los servicios y componentes COM + que intervienen en el proceso.
  • El equipo para la delegación de confianza está habilitada para todos los equipos que intervienen en el proceso.
Nota: Todas las cuentas y los servidores que participan en el proceso deben pertenecer al mismo dominio de Active Directory o a dominios de confianza en el mismo bosque. Si tiene bosques de Windows 2003 nativos y desea obtener más información acerca de cómo habilitar la delegación entre bosques, consulte la sección "Confianzas de bosque" del siguiente sitio Web de Microsoft:

Configurar los equipos cliente de Analysis Services

Asegúrese de que las condiciones siguientes se cumplen en los equipos cliente de Analysis Services:
  • Está instalada Microsoft Internet Explorer 5.0 o una versión posterior.
  • Si está instalado Internet Explorer 6 en el equipo, el
    Está habilitada la opción de seguridad Habilitar autenticación integrada de Windows (requiere reinicio).
  • Si Analysis Services es una instancia con nombre, debe crear el SPN de MSOLAPDisco.3 para el Explorador de SQL. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    950599 se requiere un SPN para el servicio Explorador de SQL Server al establecer una conexión con una instancia con nombre de SQL Server 2005 Analysis Services o SQL Server 2005

Nota: La opción Habilitar autenticación integrada de Windows (requiere reinicio) se encuentra en seguridad en el
Ficha Opciones avanzadas en el cuadro de diálogo Opciones de Internet . Tendrá que reiniciar el equipo para que surta efecto esta configuración.

Configurar la configuración en el equipo que está ejecutando IIS

Asegúrese de que las condiciones siguientes se cumplen en el equipo que está ejecutando IIS en un escenario de autenticación de doble salto:
  • Los valores siguientes se configuran en IIS para el sitio Web o el directorio virtual que creó para la aplicación Web de cliente:
    • El método de autenticación para la seguridad del directorio se establece en La autenticación integrada de Windows o autenticación Básica.
    • El nivel de protección de aplicación se establece en alto (aislado).
  • La siguiente configuración de servicios de componentes está configurada para el sitio Web o el directorio virtual que creó para la aplicación Web de cliente:
    • Se establece el nivel de suplantación para los paquetes COM + en
      Delegado. Para obtener más información acerca de cómo establecer un nivel de suplantación, visite el siguiente sitio Web de Microsoft:
    • La identidad de aplicación para los paquetes COM + se establece en una cuenta de dominio de Windows donde está habilitada la configuración de la cuenta es de confianza para la delegación . Para obtener más información acerca de cómo establecer una identidad de aplicación, visite el siguiente sitio Web de Microsoft:
  • La cadena de conexión que utiliza el equipo de cliente de Analysis Services para conectarse al servidor de Analysis Services contiene el SSPI = Kerberos parámetro.
  • En la cadena de conexión, el nombre del origen de datos debe ser el nombre de dominio completo (FQDN) o un nombre NETBIOS. Por ejemplo, puede ser el FQDN
    myhost. miDominio.com y el nombre NETBIOS pueden ser myHostName. Si especifica una dirección IP numérica, la autenticación Kerberos está deshabilitada.
  • Un SPN para el equipo que está ejecutando IIS que tenga que ser creado y registrado. El SPN que se cree depende el nombre de equipo o nombre de host y la identidad del grupo de aplicaciones IIS. Para obtener más información acerca de cómo crear un SPN para el equipo que está ejecutando IIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    929650 cómo usar SPN al configurar aplicaciones Web que se alojan en IIS 6.0

    setspn -S http/IISComputerName IISComputerName
    Para registrar manualmente un SPN para el equipo que está ejecutando IIS, siga los pasos descritos en la sección "Configurar Analysis Services para utilizar el protocolo de autenticación Kerberos".
  • Un proveedor de autenticación Negotiate debe habilitarse en el servidor IIS para permitir la autenticación Kerberos. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    215383 cómo configurar IIS para admitir el protocolo Kerberos y el protocolo NTLM para la autenticación de red

  • Debe sincronizar el reloj del cliente de Kerberos y del controlador de dominio lo más fielmente posible. Para obtener más información acerca de la diferencia máxima de tiempo, visite el siguiente sitio Web de Microsoft:

Si ha comprobado todos estos pasos y no pueden utilizar Kerberos, siga los pasos descritos en el siguiente artículo de Knowledge Base para recopilar más información para solucionar problemas en el registro de sucesos del sistema:
Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
262177 cómo habilitar el registro de sucesos de Kerberos

Referencias

Para obtener más información acerca de cómo configurar un equipo de SQL Server 2000 Analysis server para utilizar la autenticación Kerberos, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

828280 cómo configurar una instancia de SQL Server 2000 Analysis Services para utilizar la autenticación Kerberos

Para obtener más información acerca de TechNet Support WebCast de este tema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

WebCast de soporte técnico de TechNet 916962 : configurar Microsoft SQL Server 2005 Analysis Services para la autenticación Kerberos

Si Microsoft SharePoint Portal Server está instalado en el equipo de nivel medio, el directorio virtual puede configurarse para permitir únicamente la autenticación NTLM. Para obtener más información acerca de cómo habilitar el directorio virtual para permitir negociar la autenticación (Kerberos), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Cómo configurar un servidor virtual de Windows SharePoint Services para utilizar autenticación Kerberos y cómo volver desde la autenticación Kerberos a la autenticación NTLM de 832769

Propiedades

Id. de artículo: 917409 - Última revisión: 14 ene. 2017 - Revisión: 1

Microsoft SQL Server 2008 Analysis Services, Microsoft SQL Server 2005 Analysis Services

Comentarios