Basisverificatie configureren op de rapportserver

Standaard accepteert SQL Server Reporting Services (SSRS) aanvragen die verificatie met Negotiate- en New Technology LAN Manager (NTLM) specificeren. Als uw implementatie clienttoepassingen of browsers bevat die gebruikmaken van basisverificatie, moet u basisverificatie toevoegen aan de lijst met ondersteunde typen. Als u Report Builder wilt gebruiken, moet u anonieme toegang tot de Report Builder-bestanden inschakelen.

Als u basisverificatie wilt configureren op de SSRS-rapportserver, bewerkt u XML-elementen en -waarden in het RSReportServer.config-bestand. U kunt de voorbeelden in dit artikel kopiëren en plakken om de standaardwaarden te vervangen. Nadat u basisverificatie hebt ingeschakeld, kunnen gebruikers de geïntegreerde beveiligingsoptie van Windows niet selecteren wanneer ze verbindingseigenschappen instellen voor een externe gegevensbron die gegevens aan een rapport levert. De optie is niet beschikbaar op de eigenschappenpagina's van de gegevensbron.

Vereiste voorwaarden

• Een geconfigureerde rapportserver in de systeemeigen modus.
• Schrijfmachtigingen voor het RSReportServer.config-bestand.

Beveiligingsoverwegingen voor basisverificatie

Controleer voordat u basisverificatie inschakelt of uw beveiligingsinfrastructuur deze ondersteunt. Onder Basisverificatie geeft de rapportserverwebservice referenties door aan de lokale beveiligingsinstantie. Als de referenties een lokaal gebruikersaccount opgeven, verifieert de lokale beveiligingsinstantie op de rapportserver de gebruiker. De gebruiker krijgt vervolgens een beveiligingstoken dat geldig is voor lokale resources. Referenties voor domeingebruikersaccounts worden doorgestuurd naar en geverifieerd door een domeincontroller. Het resulterende ticket is geldig voor netwerkbronnen.

Kanaalversleuteling, zoals Transport Layer Security (TLS), voorheen ssl (Secure Sockets Layer) genoemd, is vereist als u het risico wilt beperken dat referenties worden onderschept tijdens de overdracht naar een domeincontroller in uw netwerk. Met Basic authenticatie wordt de gebruikersnaam in platte tekst verzonden en het wachtwoord in base-64-codering. Door kanaalversleuteling toe te voegen, is het pakket onleesbaar. Zie TLS-verbindingen configureren op een rapportserver in de systeemeigen modus voor meer informatie.

Opmerking

De volgende instructies zijn bedoeld voor een rapportserver in de systeemeigen modus. Als de rapportserver is geïmplementeerd in de geïntegreerde SharePoint-modus, moet u de standaardverificatie-instellingen gebruiken waarmee geïntegreerde Windows-beveiliging wordt opgegeven. De rapportserver maakt gebruik van interne functies in de standaard-Windows-verificatie-extensie ter ondersteuning van de rapportserver in de geïntegreerde SharePoint-modus.

Een rapportserver configureren voor het gebruik van basisverificatie

1. Open het configuratiebestand RSReportServer.config in een teksteditor. Zie RsReportServer.config configuratiebestand voor meer informatie over de locatie van uw configuratiebestand.

2. Ga in het bestand naar de <Authentication> regel.

3. Bekijk de volgende XML-structuren en kopieer de structuur die het beste bij uw behoeften past. De eerste XML-structuur bevat tijdelijke aanduidingen voor de Realm en DefaultDomain elementen, die in de volgende sectie worden beschreven.

   Van toepassing op: SQL Server Reporting Services (2016)

   <Authentication>
         <AuthenticationTypes>
               <RSWindowsBasic>
                     <LogonMethod>3</LogonMethod>
                     <Realm></Realm>
                     <DefaultDomain></DefaultDomain>
               </RSWindowsBasic>
         </AuthenticationTypes>
         <EnableAuthPersistence>true</EnableAuthPersistence>
   </Authentication>
   

   Als u standaardwaarden gebruikt, kunt u de volgende structuur gebruiken, waardoor het aantal elementen wordt geminimaliseerd:

   <AuthenticationTypes>
         <RSWindowsBasic/>
   </AuthenticationTypes>
   

   Van toepassing op: SQL Server Reporting Services (2017 en latere versies) Power BI Report Server

   <Authentication>
         <AuthenticationTypes>
               <RSWindowsBasic/>
         </AuthenticationTypes>
         <EnableAuthPersistence>true</EnableAuthPersistence>
         <RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>
         <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>
   </Authentication>
   

4. Vervang in het configuratiebestand de bestaande <Authentication> sectie door de structuur die u hebt gekopieerd.

   Als u meerdere verificatietypen gebruikt, voegt u het RSWindowsBasic element toe, maar verwijder de vermeldingen voor RSWindowsNegotiate, RSWindowsNTLM of RSWindowsKerberos.

   U kunt het Custom verificatietype niet gebruiken met andere verificatietypen.

5. Vervang de lege <Realm> waarden door <DefaultDomain> waarden die geldig zijn voor uw omgeving. Zie de volgende sectie voor de juiste waarden.

6. Sla het bestand op.

7. Als u een uitschaalimplementatie gebruikt, herhaalt u deze stappen voor andere rapportservers in de implementatie.

8. Start alle rapportservers die u hebt geconfigureerd voor basisverificatie opnieuw. Met deze stap worden alle sessies gewist die momenteel zijn geopend.

Waarden voor basisverificatie-elementen

U kunt de volgende elementen opgeven wanneer u een RSWindowsBasic sectie gebruikt om basisverificatie te configureren.

Onderdeel	Verplicht	Geldige waarden
LogonMethod	Yes Als u geen waarde opgeeft, wordt 3 gebruikt.	Gebruik een waarde van 2 voor een netwerkmelding. Gebruik deze waarde voor servers met hoge prestaties om wachtwoorden zonder opmaak te verifiëren. Gebruik een waarde van 3 voor een aanmelding met duidelijke tekst. Wanneer u deze waarde gebruikt, wat de standaardwaarde is, blijven aanmeldingsreferenties behouden in het verificatiepakket dat bij elke HTTP-aanvraag wordt verzonden. De server imiteert vervolgens de gebruiker wanneer deze verbinding maakt met andere servers in het netwerk. Opmerking: Waarden 0 (voor interactieve aanmelding) en 1 (voor batchaanmelding) worden niet ondersteund in SQL Server 2016 (13.x) Reporting Services of hoger (SSRS).
Rijk	Optioneel	Dit element geeft een resourcepartitie op die autorisatie- en verificatiefuncties bevat die worden gebruikt om de toegang tot beveiligde resources in uw organisatie te beheren.
DefaultDomain	Optioneel	Dit element geeft het domein op dat door de server wordt gebruikt om de gebruiker te verifiëren. Deze waarde is optioneel, maar als u deze weglaat, gebruikt de rapportserver de computernaam als domein. Als de computer lid is van een domein, is dat domein het standaarddomein. Als u de rapportserver op een domeincontroller installeert, is het gebruikte domein degene die wordt beheerd door de computer.

Verwante inhoud

• Toepassingsdomeinen voor rapportservertoepassingen
• Beveiliging en bescherming van Reporting Services