vAP 2006 R2 Datenbankzugriff mit Windows Integrated Security Technische Dokumenation www.visionapp.com Inhalt 1 Einleitung ............................................................................................................ 2 2 Voraussetzungen ................................................................................................. 2 3 Installation .......................................................................................................... 2 4 5 3.1 Infrastrukturelle Anforderungen ....................................................................... 2 3.2 Installationsablauf.......................................................................................... 3 Konfiguration ....................................................................................................... 3 4.1 Datenbank Berechtigungsrollen ........................................................................ 3 4.2 Konfiguration in der Datenbank........................................................................ 4 4.3 Verbindungseinstellungen im vCC..................................................................... 5 Betrieb ................................................................................................................. 7 www.visionapp.com 1 1 Einleitung Das visionapp Access Portal (vAP) arbeitet mit einer Microsoft SQL Datenbank (SQL Server 200x oder SQL Server 2005 Express) zusammen und wurde prinzipiell so konzipiert, dass der Zugriff des vAP auf die Datenbank nur mit dedizierten SQL-Server-Benutzerkonten (SQL Server Security) möglich ist. Ab Version vAP 2006 R2 kann aber auch mit Windows-Benutzerkonten im Modus Windows Integrated Security (WIS) auf die Datenbank zugegriffen werden. In dieser Dokumentation werden die dazu notwendigen Schritte erläutert. 2 Voraussetzungen Diese Dokumentation setzt ein bestimmtes Wissen über technische Gegebenheiten und Fachtermini voraus. Für den einfacheren Umgang mit der vorliegenden Dokumentation sollte der Leser die folgenden Voraussetzungen erfüllen: > Grundsätzliche Vertrautheit mit der Microsoft SQL Server-Produktlinie (2000, 2005 bzw. 2005 Express). > Kenntnisse des SQL-Server-Sicherheitskonzepts. > Grundsätzliche Vertrautheit mit dem visionapp Access Portal. 3 3.1 Installation Infrastrukturelle Anforderungen 1. Befinden sich vCC- und vAP-Datenbank auf einem SQL-Server, so müssen sowohl SQL Server Authentication als auch WIS konfiguriert werden (siehe Screenshot). Wird für die vAP-Datenbank ein separater SQL-Server verwendet, so können Sie nach der Installation den SQL-Server so konfigurieren, dass ausschließlich WIS verwendet wird (Windows only). Zum Zeitpunkt der Portalinstallation müssen beide Anmeldemechanismen am SQL-Server erlaubt sein. www.visionapp.com 2 2. Eine weitere Voraussetzung für den Einsatz der WIS ist, dass der vAP-Webserver und der SQL-Server Mitglieder der gleichen Domäne sind oder zumindest Mitglieder von Domänen, die einander vertrauen. 3.2 Installationsablauf Sind die infrastrukturellen Voraussetzungen erfüllt, so kann die Installation von vCC und vAP wie in der entsprechenden Installationsanleitung beschrieben durchgeführt werden (Dateien vAP_Installation_Guide_2006_R2_DE.pdf und vCC_Installation_Guide_52_DE.pdf auf der Produkt-CD oder im Download Center der visionapp Webseite). 4 Konfiguration Die Konfiguration erfolgt in 3 Schritten: 1. Anlegen benötigter Berechtigungsrollen in der vAP-Datenbank (wird während der vAPInstallation automatisch vorgenommen). 2. Zuweisen von Windows-Benutzerkonten bzw. Gruppen zu den Rollen. 3. Anpassung der Verbindungseinstellungen im visionapp Control Center. 4.1 Datenbank Berechtigungsrollen In der vAP-Datenbank werden zur Unterstützung von WIS bei der Installation zwei Rollen angelegt: www.visionapp.com 3 > ADMIN und > PORTAL Nun können Windows-Benutzerkonten oder Gruppen diesen Rollen zugewiesen werden, um ihnen die Berechtigung für die vAP-Datenbank zu erteilen. Beschreibung der Rollen: > ADMIN: Auf diese Rolle sind alle Stored Procedures 1 für die Administration des vAP aus dem vCC heraus berechtigt. Auch die Berechtigungen für Stored Procedures, die für den Einsatz der administrativen Webparts benötigt werden, sind in der Rolle ADMIN hinterlegt. > PORTAL: In dieser Rolle finden sich die Berechtigungen für Stored Procedures, die bei Aktionen normaler Benutzer im Portal benötigt werden (z.B. Auslesen des Benutzerprofils). Daher sollte die Portalzugangsgruppe (siehe Parameter AuthGroupName in der Datei visionapp.config) auf die Rolle PORTAL berechtigt werden. 4.2 Konfiguration in der Datenbank Um die richtigen Benutzer auf die Datenbankrollen zu berechtigen, sollten Sie das Benutzerkonto kennen, mit dem das vAP vom Webserver aus auf die vAP-Datenbank zugreift. 1 Stored Procedures (SP) = Gespeicherte Prozedur (GP). Eine SP bezeichnet vordefinierte Datenbankabfragen, in der ganze Abläufe von Anweisungen unter einem Namen gespeichert werden, die dann auf dem Datenbankserver zur Verfügung stehen und vom Portal aus aufgerufen werden können. Eine SP ist also ein eigenständiger Befehl, der eine Abfolge von gespeicherten Befehlen ausführt. So sind im Portal-Code keine langen SQL-Befehle mehr nötig. www.visionapp.com 4 Berücksichtigen Sie dabei, welchen Anmeldemechanismus Sie für das vAP gewählt haben und ob die Impersonierung 2 in der Datei web.config des vAP aktiviert ist. In der folgenden Tabelle finden Sie jeweils das Benutzerkonto, mit dem in Abhängigkeit von der Anmeldemethode und der Impersonierung der Zugriff vom vAP auf die vAP-Datenbank durchgeführt wird: Mit Impersonierung Ohne Impersonierung mit lokaler SQLDatenbank Ohne Impersonierung mit SQL-Server auf einem anderem Rechner im Netzwerk Basic Angemeldeter Domänenbenutzer NT AUTHORITY\ NETWORK SERVICE DOMÄNE\RECHNERNAMEIIS$ NTLM Angemeldeter Domänenbenutzer NT AUTHORITY\ NETWORK SERVICE DOMÄNE\RECHNERNAMEIIS$ Anonymous Benutzerkonto, unter dem der IIS läuft NT AUTHORITY\ NETWORK SERVICE DOMÄNE\RECHNERNAMEIIS$ Wird z.B. die Anmeldemethode Basic bei gleichzeitiger Impersonierung verwendet, so wird der Zugriff auf die vAP-Datenbank mit dem Benutzerkonto des angemeldeten vAP-Benutzers durchgeführt. Berechtigen Sie entsprechend der Tabelle Benutzerkonten bzw. Gruppen auf die Rollen ADMIN und PORTAL in der vAP-Datenbank. 4.3 Verbindungseinstellungen im vCC Nehmen Sie folgende Verbindungseinstellungen im visionapp Control Center vor, um den Zugriff des vAP auf die vAP-Datenbank von SQL Server Security auf WIS umzustellen. Die entsprechenden Einstellungen finden Sie unter visionapp Access Portal|Basic Settings|Portal Options|visionapp.config. 2 Impersonierung = Beim Zugriff auf eine externe Ressource (wie z.B. die vAP-Datenbank) wird der Benutzername und das Kennwort des aktuell angemeldeten Benutzers mitgegeben. Hintergrund: Ein Webserver (eigentlich der Internet Information Service) läuft unter einem dedizierten Benutzerkonto, mit welchem theoretisch auch auf bestimmte Ressourcen zugegriffen werden, die nicht auf dem Webserver liegen. Dieses Webserverkonto hat aber in der Regel für externe Ressourcen keine entsprechende Berechtigung. Deshalb kann ein Zugriff auf externe Ressourcen „impersoniert“ werden, indem beim Zugriff auf die Ressource Benutzername und Kennwort des aktuell angemeldeten Benutzers mitgegeben wird, der eine Berechtigung für diese Ressource besitzt. www.visionapp.com 5 Die Verbindung zur Portaldatenbank wird über zwei Konfigurationsparameter gesteuert (siehe Screenshot): > PortalDatabaseDsn > DatabaseDsn Für den Betrieb des SQL-Servers ausschließlich mit WIS müssen beide Parameter angepasst werden. Ansonsten können Sie flexibel entscheiden, ob nur die Portalbenutzer integriert zugreifen oder ob auch bei der Administration aus dem vCC heraus die Zugriffe auf die Datenbank mit WIS erfolgen sollen. Nach der Änderung sollten Sie einen iisreset durchführen. Dadurch werden alle noch vorhandenen Verbindungen zur vCC-Datenbank beendet. Jede neue Verbindung verwendet dann die neuen Einstellungen. www.visionapp.com 6 Beim Anpassen der beiden genannten Parameter öffnet sich der folgende Dialog: Die Schaltfläche Test Connection testet nur die Verbindung vom vCC zur Datenbank, gibt aber keine Aussage darüber, ob die Verbindung zwischen vAP-Webserver und vAP-Datenbank hergestellt werden kann. Der Dialog soll dem vCC Zugriff auf die Datenbanken gewähren und ggf. Benutzername und Kennwort verifizieren. 5 Betrieb Der Einsatz von WIS wird unterstützt, jedoch kann zum Performanzverhalten der einzelnen Konfigurationsszenarien keine Aussage getroffen werden. Speziell bei Impersonierung und Basic/NTLM-Betrieb des vAP baut jeder am Portal angemeldete Benutzer eine eigene Verbindung zur Datenbank auf. Dies kann die Performanz unter Umständen beeinträchtigen. Das Performanzverhalten beim Einsatz von WIS bei nicht aktivierter Impersonierung oder beim Anmeldemechanismus Anonymous im vAP sollte identisch zur Verwendung von SQL Server Security sein. www.visionapp.com 7 Impressum Weitergabe und Gewährleistung Die in diesem Dokument enthaltenen Informationen, Konzepte und Ideen sind Eigentum der visionapp GmbH. Eine Weitergabe, auch in Auszügen, ohne die Zustimmung der visionapp GmbH ist nicht gestattet und führt in jedem Falle zu rechtlichen Konsequenzen. Alle in diesem Dokument erwähnten Marken- und Produktnamen sind Warenzeichen der jeweiligen Rechteinhaber und werden hiermit anerkannt. Alle Produktbeschreibungen haben lediglich allgemeinen und beschreibenden Charakter und sind nicht als Zusicherung bestimmter Eigenschaften oder als Gewährleistungs- oder Garantieerklärung zu verstehen. visionapp übernimmt keine ausdrückliche oder stillschweigende Gewähr für Dokumentation. Alle Rechte vorbehalten ©visionapp Oktober 06 Über visionapp Die visionapp GmbH ist spezialisiert auf die Planung, Implementierung und den Betrieb von serverbasierten Infrastruktur- und Portal-Lösungen auf Basis von Microsoft- und CitrixTechnologien. Das Unternehmen verfügt über im Markt derzeit einzigartige Produkte und Dienstleistungen, die es ermöglichen, Windows Terminal Server-Infrastruktur zu optimieren und kostengünstiger zu administrieren. Im Mittelpunkt stehen automatisierte Deployment Tools (visionapp Platform Management Suite), das Zugangsportal visionapp Access Portal sowie Consulting- und ASP-Dienstleistungen. Das Lösungsangebot ist auf die Bedürfnisse großer und mittelständischer Unternehmen aus den Bereichen Finanzdienstleistung, Industrie, Handel und öffentliche Verwaltungen zugeschnitten. Weitere Informationen visionapp GmbH Head Office Frankfurt Theodor-Heuss-Allee 110 D-60486 Frankfurt am Main web: www.visionapp.com www.visionapp.com 8