如何在 BlueStripe 管理服务器上配置 Windows 身份验证
08/13/2020
本文内容
本文介绍如何在 BlueStripe 管理服务器上配置 Windows 身份验证。
原始产品版本: BlueStripe
原始 KB 数: 3134885
Windows 身份验证/Active Directory
通过将 jaas.config 文件配置为使用 Windows 身份验证,可以针对现有的 Windows 系统帐户对用户进行身份验证。
若要将管理服务器配置为使用 Windows 身份验证,请按照以下步骤操作:
将默认 jaas.config 文件复制到 jaas.config .bak ,以便在需要时使用原始配置。
将 jaas.windowsSSPI.config 文件复制到 jaas.config 文件中。
为用于 adminFilter userFilter 指示管理员或用户访问权限的组更改和,以反映正则表达式。
重新启动管理服务器并使用 FactFinder 控制台登录管理服务器。
备注
Windows 身份验证将仅适用于基于 Windows 的组件,因此不支持基于 Linux 的管理服务器或基于 Linux 的数据库加载程序。
Windows 身份验证配置示例
FactFinder {
/* Windows SSPI Authentication with Group Privileges */
/* Note: to use this file, rename to jaas.config */
com.bluestripe.ms.auth.WindowsAuthLoginModule required
/* This variable indicates which Security Support Provider (SSP) to use */
/* http://msdn.microsoft.com/en-us/library/windows/desktop/aa380502(v=vs.85).aspx */
/* bluestripe.securityPackage="Negotiate" */
/* If the SSP is Negotiate, Kerberos, or NTLM, then targetName may be set to the */
/* Service Principal Name (SPN) or the security context of the destination server. */
/* Run the command "setspn.exe -L " to list the SPNs for a target FactFinder Management Server. */
/* bluestripe.targetName="ExampleServicePrincipalName" */
/* These filters are Java Regular Expressions matched against the user's group membership list */
/* Note: the 4 '\' characters separating domain and group are to escape both the Java string and the regex */
bluestripe.adminFilter="DOMAIN\\\\FFAdmin"
bluestripe.userFilter="DOMAIN\\\\FFUser"
/* Uncomment the line below to enable additional logging */
/* debug=true */
;
};
Windows 身份验证 JAAS 选项
可使用 Windows 身份验证的 JAAS 选项:
bluestripe.securityPackage
确定要使用哪个安全支持提供程序 (SSP) 。 默认为 协商 第一次尝试使用 Kerberos,但如果不成功,则返回到 NTLM。
bluestripe.targetName
确定 (SPN) 用于唯一标识用户连接到的管理服务器的服务主体名称。 它对 Negotiate 或 NTLM是可选的,但 Kerberos 需要配置。
bluestripe.adminFilter
指定一个正则表达式值以检查用户的组列表的适当匹配项,并授予对 FactFinder 的管理访问权限。 在上面的示例中,使用了组, DOMAIN\FFAdmin。
bluestripe.userFilter
指定一个正则表达式值以检查用户的组列表的适当匹配项,并授予用户对 FactFinder 的访问权限。 在上面的示例中,使用了组, DOMAIN\FFGuest。
备注
以4个字符为单位指定了 *域名 * 的 \ 。 这是对 Java 字符串和正则表达式进行转义所必需的。
提示
如果您的 Windows 身份验证配置有任何问题,则 debug=true 可以添加此选项,以提供对 FactFinderMS 文件的其他日志记录。