vAP 2006 R2 Datenbankzugriff mit Windows Integrated Security

Werbung
vAP 2006 R2 Datenbankzugriff mit
Windows Integrated Security
Technische Dokumenation
www.visionapp.com
Inhalt
1
Einleitung ............................................................................................................ 2
2
Voraussetzungen ................................................................................................. 2
3
Installation .......................................................................................................... 2
4
5
3.1
Infrastrukturelle Anforderungen ....................................................................... 2
3.2
Installationsablauf.......................................................................................... 3
Konfiguration ....................................................................................................... 3
4.1
Datenbank Berechtigungsrollen ........................................................................ 3
4.2
Konfiguration in der Datenbank........................................................................ 4
4.3
Verbindungseinstellungen im vCC..................................................................... 5
Betrieb ................................................................................................................. 7
www.visionapp.com
1
1
Einleitung
Das visionapp Access Portal (vAP) arbeitet mit einer Microsoft SQL Datenbank (SQL Server
200x oder SQL Server 2005 Express) zusammen und wurde prinzipiell so konzipiert, dass der
Zugriff des vAP auf die Datenbank nur mit dedizierten SQL-Server-Benutzerkonten (SQL
Server Security) möglich ist.
Ab Version vAP 2006 R2 kann aber auch mit Windows-Benutzerkonten im Modus Windows
Integrated Security (WIS) auf die Datenbank zugegriffen werden. In dieser Dokumentation
werden die dazu notwendigen Schritte erläutert.
2
Voraussetzungen
Diese Dokumentation setzt ein bestimmtes Wissen über technische Gegebenheiten und
Fachtermini voraus. Für den einfacheren Umgang mit der vorliegenden Dokumentation sollte
der Leser die folgenden Voraussetzungen erfüllen:
> Grundsätzliche Vertrautheit mit der Microsoft SQL Server-Produktlinie (2000, 2005 bzw.
2005 Express).
> Kenntnisse des SQL-Server-Sicherheitskonzepts.
> Grundsätzliche Vertrautheit mit dem visionapp Access Portal.
3
3.1
Installation
Infrastrukturelle Anforderungen
1. Befinden sich vCC- und vAP-Datenbank auf einem SQL-Server, so müssen sowohl SQL
Server Authentication als auch WIS konfiguriert werden (siehe Screenshot). Wird für die
vAP-Datenbank ein separater SQL-Server verwendet, so können Sie nach der Installation
den SQL-Server so konfigurieren, dass ausschließlich WIS verwendet wird (Windows
only).
Zum Zeitpunkt der Portalinstallation müssen beide
Anmeldemechanismen am SQL-Server erlaubt sein.
www.visionapp.com
2
2. Eine weitere Voraussetzung für den Einsatz der WIS ist, dass der vAP-Webserver und der
SQL-Server Mitglieder der gleichen Domäne sind oder zumindest Mitglieder von Domänen,
die einander vertrauen.
3.2
Installationsablauf
Sind die infrastrukturellen Voraussetzungen erfüllt, so kann die Installation von vCC und vAP
wie in der entsprechenden Installationsanleitung beschrieben durchgeführt werden (Dateien
vAP_Installation_Guide_2006_R2_DE.pdf und vCC_Installation_Guide_52_DE.pdf auf
der Produkt-CD oder im Download Center der visionapp Webseite).
4
Konfiguration
Die Konfiguration erfolgt in 3 Schritten:
1. Anlegen benötigter Berechtigungsrollen in der vAP-Datenbank (wird während der vAPInstallation automatisch vorgenommen).
2. Zuweisen von Windows-Benutzerkonten bzw. Gruppen zu den Rollen.
3. Anpassung der Verbindungseinstellungen im visionapp Control Center.
4.1
Datenbank Berechtigungsrollen
In der vAP-Datenbank werden zur Unterstützung von WIS bei der Installation zwei Rollen
angelegt:
www.visionapp.com
3
> ADMIN und
> PORTAL
Nun können Windows-Benutzerkonten oder Gruppen diesen Rollen zugewiesen werden, um
ihnen die Berechtigung für die vAP-Datenbank zu erteilen.
Beschreibung der Rollen:
> ADMIN:
Auf diese Rolle sind alle Stored Procedures 1 für die Administration des vAP aus dem vCC
heraus berechtigt. Auch die Berechtigungen für Stored Procedures, die für den Einsatz der
administrativen Webparts benötigt werden, sind in der Rolle ADMIN hinterlegt.
> PORTAL:
In dieser Rolle finden sich die Berechtigungen für Stored Procedures, die bei Aktionen
normaler Benutzer im Portal benötigt werden (z.B. Auslesen des Benutzerprofils). Daher
sollte die Portalzugangsgruppe (siehe Parameter AuthGroupName in der Datei
visionapp.config) auf die Rolle PORTAL berechtigt werden.
4.2
Konfiguration in der Datenbank
Um die richtigen Benutzer auf die Datenbankrollen zu berechtigen, sollten Sie das
Benutzerkonto kennen, mit dem das vAP vom Webserver aus auf die vAP-Datenbank zugreift.
1
Stored Procedures (SP) = Gespeicherte Prozedur (GP). Eine SP bezeichnet vordefinierte
Datenbankabfragen, in der ganze Abläufe von Anweisungen unter einem Namen gespeichert werden, die
dann auf dem Datenbankserver zur Verfügung stehen und vom Portal aus aufgerufen werden können.
Eine SP ist also ein eigenständiger Befehl, der eine Abfolge von gespeicherten Befehlen ausführt. So sind
im Portal-Code keine langen SQL-Befehle mehr nötig.
www.visionapp.com
4
Berücksichtigen Sie dabei, welchen Anmeldemechanismus Sie für das vAP gewählt haben und
ob die Impersonierung 2 in der Datei web.config des vAP aktiviert ist.
In der folgenden Tabelle finden Sie jeweils das Benutzerkonto, mit dem in Abhängigkeit von
der Anmeldemethode und der Impersonierung der Zugriff vom vAP auf die vAP-Datenbank
durchgeführt wird:
Mit Impersonierung
Ohne
Impersonierung
mit lokaler SQLDatenbank
Ohne Impersonierung mit
SQL-Server auf einem
anderem Rechner im
Netzwerk
Basic
Angemeldeter
Domänenbenutzer
NT AUTHORITY\
NETWORK
SERVICE
DOMÄNE\RECHNERNAMEIIS$
NTLM
Angemeldeter
Domänenbenutzer
NT AUTHORITY\
NETWORK
SERVICE
DOMÄNE\RECHNERNAMEIIS$
Anonymous
Benutzerkonto,
unter dem der
IIS läuft
NT AUTHORITY\
NETWORK
SERVICE
DOMÄNE\RECHNERNAMEIIS$
Wird z.B. die Anmeldemethode Basic bei gleichzeitiger Impersonierung verwendet, so wird
der Zugriff auf die vAP-Datenbank mit dem Benutzerkonto des angemeldeten vAP-Benutzers
durchgeführt. Berechtigen Sie entsprechend der Tabelle Benutzerkonten bzw. Gruppen auf die
Rollen ADMIN und PORTAL in der vAP-Datenbank.
4.3
Verbindungseinstellungen im vCC
Nehmen Sie folgende Verbindungseinstellungen im visionapp Control Center vor, um den
Zugriff des vAP auf die vAP-Datenbank von SQL Server Security auf WIS umzustellen. Die
entsprechenden Einstellungen finden Sie unter visionapp Access Portal|Basic
Settings|Portal Options|visionapp.config.
2
Impersonierung = Beim Zugriff auf eine externe Ressource (wie z.B. die vAP-Datenbank) wird der
Benutzername und das Kennwort des aktuell angemeldeten Benutzers mitgegeben. Hintergrund: Ein
Webserver (eigentlich der Internet Information Service) läuft unter einem dedizierten Benutzerkonto,
mit welchem theoretisch auch auf bestimmte Ressourcen zugegriffen werden, die nicht auf dem
Webserver liegen. Dieses Webserverkonto hat aber in der Regel für externe Ressourcen keine
entsprechende Berechtigung. Deshalb kann ein Zugriff auf externe Ressourcen „impersoniert“ werden,
indem beim Zugriff auf die Ressource Benutzername und Kennwort des aktuell angemeldeten Benutzers
mitgegeben wird, der eine Berechtigung für diese Ressource besitzt.
www.visionapp.com
5
Die Verbindung zur Portaldatenbank wird über zwei Konfigurationsparameter gesteuert (siehe
Screenshot):
> PortalDatabaseDsn
> DatabaseDsn
Für den Betrieb des SQL-Servers ausschließlich mit WIS müssen beide Parameter angepasst
werden. Ansonsten können Sie flexibel entscheiden, ob nur die Portalbenutzer integriert
zugreifen oder ob auch bei der Administration aus dem vCC heraus die Zugriffe auf die
Datenbank mit WIS erfolgen sollen.
Nach der Änderung sollten Sie einen iisreset durchführen. Dadurch
werden alle noch vorhandenen Verbindungen zur vCC-Datenbank
beendet. Jede neue Verbindung verwendet dann die neuen
Einstellungen.
www.visionapp.com
6
Beim Anpassen der beiden genannten Parameter öffnet sich der folgende Dialog:
Die Schaltfläche Test Connection testet nur die Verbindung vom
vCC zur Datenbank, gibt aber keine Aussage darüber, ob die
Verbindung zwischen vAP-Webserver und vAP-Datenbank
hergestellt werden kann.
Der Dialog soll dem vCC Zugriff auf die Datenbanken gewähren und
ggf. Benutzername und Kennwort verifizieren.
5
Betrieb
Der Einsatz von WIS wird unterstützt, jedoch kann zum Performanzverhalten der einzelnen
Konfigurationsszenarien keine Aussage getroffen werden.
Speziell bei Impersonierung und Basic/NTLM-Betrieb des vAP baut jeder am Portal
angemeldete Benutzer eine eigene Verbindung zur Datenbank auf. Dies kann die Performanz
unter Umständen beeinträchtigen.
Das Performanzverhalten beim Einsatz von WIS bei nicht aktivierter Impersonierung oder
beim Anmeldemechanismus Anonymous im vAP sollte identisch zur Verwendung von SQL
Server Security sein.
www.visionapp.com
7
Impressum
Weitergabe und Gewährleistung
Die in diesem Dokument enthaltenen Informationen, Konzepte und Ideen sind Eigentum der
visionapp GmbH. Eine Weitergabe, auch in Auszügen, ohne die Zustimmung der visionapp
GmbH ist nicht gestattet und führt in jedem Falle zu rechtlichen Konsequenzen.
Alle in diesem Dokument erwähnten Marken- und Produktnamen sind Warenzeichen der
jeweiligen Rechteinhaber und werden hiermit anerkannt.
Alle Produktbeschreibungen haben lediglich allgemeinen und beschreibenden Charakter und
sind nicht als Zusicherung bestimmter Eigenschaften oder als Gewährleistungs- oder
Garantieerklärung zu verstehen. visionapp übernimmt keine ausdrückliche oder
stillschweigende Gewähr für Dokumentation.
Alle Rechte vorbehalten ©visionapp Oktober 06
Über visionapp
Die visionapp GmbH ist spezialisiert auf die Planung, Implementierung und den Betrieb von
serverbasierten Infrastruktur- und Portal-Lösungen auf Basis von Microsoft- und CitrixTechnologien. Das Unternehmen verfügt über im Markt derzeit einzigartige Produkte und
Dienstleistungen, die es ermöglichen, Windows Terminal Server-Infrastruktur zu optimieren
und kostengünstiger zu administrieren. Im Mittelpunkt stehen automatisierte Deployment
Tools (visionapp Platform Management Suite), das Zugangsportal visionapp Access Portal
sowie Consulting- und ASP-Dienstleistungen.
Das Lösungsangebot ist auf die Bedürfnisse großer und mittelständischer Unternehmen aus
den Bereichen Finanzdienstleistung, Industrie, Handel und öffentliche Verwaltungen
zugeschnitten.
Weitere Informationen
visionapp GmbH
Head Office Frankfurt
Theodor-Heuss-Allee 110
D-60486 Frankfurt am Main
web: www.visionapp.com
www.visionapp.com
8
Herunterladen