Arquivo por tag: configurar autenticação win ad

ago 08 2011

Configurando a Autenticação Windows AD no Business Objects Enterprise (BOE XI 3.1)

Bom pessoal, o assunto de hoje é mostrar como se configura a autenticação Windows AD no BOE 3.1, situação em que eu também já passei e não achei muita coisa detalhada pela internet e por isso resolvi fazer um documento próprio de como se resolver isso e publicar aqui no blog.

Vamos ao passos:

  • Solicitar  a criação de um usuário e grupo no AD;
  • Solicitar a execução dos procedimentos para a configuração da conta de serviço no domínio (SPN) – Este procedimento deverá ser executado no controlador de domínio;

    Sintaxe:

    setspn –a BOBJCentralMS/NETBIOS_DOMAIN_NAME accountname
    setspn –a BOBJCentralMS/FQDN_DOMAIN_NAME accountnameExemplo:
    setspn –a BOBJCentralMS/TESTDOMAIN account1
    setspn –a BOBJCentralMS/TESTDOMAIN.ABC.COM account
  •  Em local Secutiry Policy, acrescente o usuário a regra: Act as part of the operating system – Isso pode ser feito em: “Menu Iniciar”> “Executar” > “gpedit.msc” ;
     

  • Em Computer Management incluir todos os usuários no grupo de administração local – Isso pode ser feito em “Administrative Tools” > “Computer Management“;

 

  • Usando o Central Configuration Manager, pare o serviço Server Intelligence Agent (SIA). Abre as propriedades do serviço e, na guia “Propierties” sessão “Logon As“, insira as informações do logon do usuário – Encontre o arquivo “SvgMgr.exe” no seu caminho de instalação do BO (geralmente em C:Program FilesBusiness Objects…).

  • Crie o arquivo krb5.ini na pasta C:WINNT com o seguinte conteúdo:

[libdefaults]
default_realm = DOMINIO.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.dominio.com= DOMINIO.COM
dominio.com = DOMINIO.COM
[realms]
DOMINIO.COM = {
default_domain = DOMINIO.COM
kdc = AD_HOST_NAME.DOMINIO.COM
}

  • Crie o arquivo bscLogin.conf na pasta C:WINNT com o seguinte conteúdo:

com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};

  • Execute a configuração do Tomcat (Tomcat Configuration) e acrescente as seguintes configurações na guia “Java“:

-Djava.security.auth.login.config=C:WINNTbscLogin.conf
-Djava.security.krb5.conf=C:WINNTkrb5.ini

  • Reinicie o Tomact, e logo após isso, teste a configuração do Kerberos abrindo o prompt de comando (cmd) e execute a segiunte instrução:

Para se logar: 
C:Program FilesBusiness Objectsjavasdkbinkinit <usuário> <senha>

Para verificar se o logon foi efetuado com sucesso:

 C:Program FilesBusiness Objectsjavasdkbinklist

Obs.: Mude “C:Program FilesBusiness Objects” para o caminho de instalação do BO no seu server.

  • Configure a autenticação Windows AD no CMC: Ao logar como Administrador, vá em “Menu” > “Autenticação” > “Windows AD”.
  • Aplique as seguintes configurações:

* Caso tenha problemas futuros, inserir nesse campo a mesma entrada do SPN.

  

Observações:

  • Todo usuário que for criado no BO, deverá ser existir primeiramente no domínio (DC) e ser incluso no grupo do AD, para depois ser replicado para o BO.
  • Qualquer manutenção de usuários no BO deverá manter as premissas do CMC, tais como perfis, pastas, grupos, etc
  • Se o usuário BO tiver suas configurações no AD alteradas, o mesmo será refletido no BO.

Bom, espero que essas informações sejam úteis e que agregem no trabalho de vocês.

Até a próxima!