Przekazywanie uprawnień pomiędzy serwerami
Transkrypt
Przekazywanie uprawnień pomiędzy serwerami
Procedury techniczne modułu Forte Kontroling Przekazywanie uprawnień pomiędzy serwerami Przekazywanie uprawnień pomiędzy serwerami Strona 2 z 3 W czasie pracy z modułem Forte Kontroling mogą wystąpić specyficzne zjawiska związane z przekazywaniem uprawnień użytkownika pomiędzy serwerami. Są one związane z rozmieszczeniem serwerów wykorzystywanych w pracy programu oraz sposobu konfiguracji domeny. Wystąpienie nietypowych zjawisk jest związane z umieszczeniem serwerów WWW i SQL na różnych komputerach i zastosowaniu zintegrowanego logowania. Zintegrowane logowanie oznacza, że do autoryzacji (rozpoznania) użytkownika wykorzystywane są mechanizmy systemu operacyjnego a kolejne serwery rozpoznają użytkownika, jako domenowego. Przekazywanie informacji o użytkowniku żądającym danych następuje w dwóch skokach, jak na rysunku poniżej. W module Forte Kontroling występują następujące ścieżki uwierzytelnienia (skoki): normalna praca z programem: import z FK import z FK eksport do kostki OLAP Klient Klient Klient Klient Serwer WWW Serwer WWW Serwer WWW Serwer WWW Serwer SQL BC DTS DTS Serwer OLAP Serwer SQL BC Serwer SQL FK Serwer SQL BC Przymusowe NIEZINTEGROWANE logowanie jest wymuszone w dwóch przypadkach (zaznaczonych wyżej strzałkami ): podczas importu danych z programu finansowo-księgowego - pakiet DTS łączy się do bazy na serwerze BC w sposób niezintegrowany oraz podczas eksportu do bazy OLAP połączenie do bazy BC jest również wymuszone jako niezintegrowane. Problem Problemem - zależnym od konfiguracji domeny - jest to, że uwierzytelnianie nie jest przekazywane między serwerami. Zdarza się tak w przypadku, gdy serwer WWW chce wykorzystać zasoby (np. dane z bazy SQL) położone na innym serwerze. Użytkownik łączący się do serwera WWW jest rozpoznawany, ale serwer WWW nie przekazuje jego uwierzytelnienia do serwera SQL. Problem ten jest nazywany problemem podwójnego skoku (ang. double-hop problem). Jeżeli drugi skok nie musi być wykonany (serwer WWW i SQL znajdują się na tym samym komputerze), zintegrowane logowanie będzie działać, niezależnie od konfiguracji domeny. Objaw wystąpienia problemu W przypadku problemów z autoryzacją najczęściej pojawiającymi się komunikatami są: 'Login failed for user (null)' 'Login failed for User 'NTAuthority\Anonymous Logon' W przypadku jakichkolwiek problemów z logowaniem przy drugim skoku zalecane jest włączenie logowania niezintegrowanego. Wymagania dla poprawnego działania Aby zintegrowane logowanie działało wymagane jest co najmniej: każdy serwer musi być oparty o system operacyjny co najmniej Microsoft Windows 2000 Server każdy serwer musi obsługiwać protokół Kerberos każdy serwer musi być przełączony w tryb delegowania uprawnień MXBCFV2010P0010 Przekazywanie uprawnień pomiędzy serwerami Materiały pomocnicze dostępne w Internecie Włączanie protokołu Kerberos dla aplikacji sieci Web usług IIS: http://support.microsoft.com/?id=326089 Security Account Delegation: http://msdn.microsoft.com/en-us/library/aa905162(SQL.80).aspx MXBCFV2010P0010 Strona 3 z 3