Przekazywanie uprawnień pomiędzy serwerami

Procedury techniczne modułu Forte Kontroling
Przekazywanie uprawnień pomiędzy
serwerami
Przekazywanie uprawnień pomiędzy serwerami
Strona 2 z 3
W czasie pracy z modułem Forte Kontroling mogą wystąpić specyficzne zjawiska związane z przekazywaniem
uprawnień użytkownika pomiędzy serwerami. Są one związane z rozmieszczeniem serwerów wykorzystywanych w pracy programu oraz sposobu konfiguracji domeny.
Wystąpienie nietypowych zjawisk jest związane z umieszczeniem serwerów WWW i SQL na różnych komputerach i zastosowaniu zintegrowanego logowania.
Zintegrowane logowanie oznacza, że do autoryzacji (rozpoznania) użytkownika wykorzystywane są mechanizmy systemu operacyjnego a kolejne serwery rozpoznają użytkownika, jako domenowego.
Przekazywanie informacji o użytkowniku żądającym danych następuje w dwóch skokach, jak na rysunku poniżej.
W module Forte Kontroling występują następujące ścieżki uwierzytelnienia (skoki):
normalna praca z programem:
import z FK
import z FK
eksport do kostki OLAP
Klient
Klient
Klient
Klient




Serwer WWW
Serwer WWW
Serwer WWW
Serwer WWW




Serwer SQL BC
DTS
DTS
Serwer OLAP



Serwer SQL BC
Serwer SQL FK
Serwer SQL BC
Przymusowe NIEZINTEGROWANE logowanie jest wymuszone w dwóch przypadkach (zaznaczonych wyżej
strzałkami ): podczas importu danych z programu finansowo-księgowego - pakiet DTS łączy się do bazy na
serwerze BC w sposób niezintegrowany oraz podczas eksportu do bazy OLAP połączenie do bazy BC jest
również wymuszone jako niezintegrowane.
Problem
Problemem - zależnym od konfiguracji domeny - jest to, że uwierzytelnianie nie jest przekazywane między
serwerami. Zdarza się tak w przypadku, gdy serwer WWW chce wykorzystać zasoby (np. dane z bazy SQL)
położone na innym serwerze. Użytkownik łączący się do serwera WWW jest rozpoznawany, ale serwer WWW
nie przekazuje jego uwierzytelnienia do serwera SQL. Problem ten jest nazywany problemem podwójnego
skoku (ang. double-hop problem).
Jeżeli drugi skok nie musi być wykonany (serwer WWW i SQL znajdują się na tym samym komputerze), zintegrowane logowanie będzie działać, niezależnie od konfiguracji domeny.
Objaw wystąpienia problemu
W przypadku problemów z autoryzacją najczęściej pojawiającymi się komunikatami są:
'Login failed for user (null)'
'Login failed for User 'NTAuthority\Anonymous Logon'
W przypadku jakichkolwiek problemów z logowaniem przy drugim skoku zalecane jest włączenie logowania niezintegrowanego.
Wymagania dla poprawnego działania
Aby zintegrowane logowanie działało wymagane jest co najmniej:
każdy serwer musi być oparty o system operacyjny co najmniej Microsoft Windows 2000 Server
każdy serwer musi obsługiwać protokół Kerberos
każdy serwer musi być przełączony w tryb delegowania uprawnień
MXBCFV2010P0010
Przekazywanie uprawnień pomiędzy serwerami
Materiały pomocnicze dostępne w Internecie
Włączanie protokołu Kerberos dla aplikacji sieci Web usług IIS:
http://support.microsoft.com/?id=326089
Security Account Delegation:
http://msdn.microsoft.com/en-us/library/aa905162(SQL.80).aspx
MXBCFV2010P0010
Strona 3 z 3