AYUDA EN LÍNEA
 WINDEVWEBDEV Y WINDEV MOBILE

Este contenido se ha traducido automáticamente.  Haga clic aquí  para ver la versión en inglés.
Ayuda / WLanguage / Administrar bases de datos / HFSQL / Gestión de HFSQL Client/Server
  • Presentación
  • Condición previa
  • Implementación para un servidor HFSQL de Windows
  • automatic instalación
  • Manual instalación
  • Implementación para un servidor HFSQL Linux
  • aprovechamiento
  • Conexión
  • Gestión de derechos en el servidor
WINDEV
WindowsLinuxUniversal Windows 10 AppJavaReportes y ConsultasCódigo de Usuario (UMC)
WEBDEV
WindowsLinuxPHPWEBDEV - Código Navegador
WINDEV Mobile
AndroidWidget Android iPhone/iPadIOS WidgetApple WatchMac CatalystUniversal Windows 10 App
Otros
Procedimientos almacenados
Autenticación mediante Active Directory
HFSQL Client/ServerDisponible solo con este tipo de conexión
Presentación
Kerberos es un modo de autenticación basado en el uso de tickets y claves secretas. Este modo en particular es utilizado por Windows y Active Directory.
A partir de la versión 23, puede configurar el servidor HFSQL para que autentifique a los usuarios de acuerdo con el estándar Kerberos.. Se utiliza la cuenta Kerberos (Directorio Active, etc.).
Condición previa
Antes de implementar una autenticación a través del directorio Active, se debe crear una cuenta de usuario de dominio..
Esta cuenta debe tener al menos los siguientes permisos:
  • acceso de lectura y escritura al directorio de la base de datos y al archivo HFConf.INI.
  • acceso de lectura y escritura para la actualización de datos de automatic en los binarios del servidor (manta64.exe, *.exe...)
Observación: Para realizar copias de seguridad en caliente de forma eficaz, debe tener los permisos locales correspondientes en el volumen ("Realizar tareas de mantenimiento del volumen").
Implementación para un servidor HFSQL de Windows

automatic instalación

Al instalar o actualizar un servidor HFSQL en la versión 23 (o posterior), instalación asistente realiza automáticamente los pasos necesarios.
Una vez instalado el servidor HFSQL, la configuración del servidor debe estar finalizada.. Para ello, inicie el siguiente comando Line utilizando una cuenta con derechos en el dominio:
setspn -U -S HFSQL/<srv1.mydomain.com> <account name>
donde:
  • <srv1.mydomain.com> es el nombre completo (FQDN) del ordenador que alberga el servidor HFSQL..
  • <nombre de cuenta> es el nombre de la cuenta de usuario del dominio creado en el prerrequisito.

Manual instalación

A título informativo, para implementar la autenticación a través de Active Directory para un servidor HFSQL para Windows (versión 23 o posterior) se siguen los siguientes pasos:
  1. Instalar un servidor HFSQL (versión 23 o posterior) en un ordenador.
  2. Modificar la cuenta que ejecuta el servicio HFSQL Server para utilizar la cuenta de usuario del dominio creado en el prerrequisito.
    Atención: Esta cuenta debe tener los derechos de acceso al directorio de la base de datos y al archivo HFConf.INI..
  3. Cree el ServicePrincipalName ejecutando el siguiente comando Line con una cuenta con derechos en el dominio:
    setspn -U -S HFSQL/<srv1.mydomain.com> <account name>
    donde:
    • <srv1.mydomain.com> es el nombre completo (FQDN) del ordenador que alberga el servidor HFSQL..
    • <nombre de cuenta> es el nombre de la cuenta de usuario del dominio creado en el prerrequisito.
  4. Habilitar el soporte para Active Directory en el servidor:
    • mediante HSetServer.
    • a través del Centro HFSQL control.
Implementación para un servidor HFSQL Linux
Para implementar la autenticación a través de Active Directory para un servidor HFSQL para Linux (versión 23 o posterior) se siguen los siguientes pasos:
  1. Unir el servidor al dominio si es necesario. El siguiente comando puede ser usado en un Linux reciente:
    >sudo realm join mydomain.com -U 'admin@MYDOMAIN.COM' -v
    donde:
    • mydomain.com es el nombre de dominio.
    • admin@MYDOMAIN.COM es una cuenta con los derechos necesarios para añadir un ordenador al dominio..
  2. Compruebe si el servidor obtiene información del Directorio Activo controller escribiendo el comando:
    >id <account name>@mydomain.com
    donde <nombre de cuenta> es el nombre de la cuenta de usuario del dominio creado en el prerrequisito.
    Se muestra la siguiente información:
    uid= 10003(<account name>@mydomain.com)
    gid= 10000(user.ofdomain@mydomain.com)
    groups= 10000(user.ofdomain@mydomain.com), 10000(account@mydomain.com)
  3. Cree el ServicePrincipalName ejecutando el siguiente comando Line en un ordenador Windows con una cuenta con derechos en el dominio:
    setsnp -U -S HFSQL/<srv1.mydomain.com> <account name>
    donde:
    • <srv1.mydomain.com> es el nombre completo (FQDN) del ordenador que alberga el servidor HFSQL..
    • <nombre de cuenta> es el nombre de la cuenta de dominio creada en el prerrequisito.
  4. Configurar el "keytab" (teclado):
    >kinit <account name>@MYDOMAIN.COM
    >kvno HFSQL/srv1.mydomain.com
    HFSQL/srv1.mydomain.com@MYDOMAIN.COM:kvno = 2
    >ktutil
    ktutil: addent -password -p HFSQL/srv1.mydomain.com@MYDOMAIN.COM -k
    <kvno> -e aes256-cts-hmac-sha1-96
    ktutil: addent -password -p HFSQL/srv1.mydomain.com@MYDOMAIN.COM -k
    <kvno> -e rc4-hmac
    ktutil: wkt /opt/<account name>/<account name>.keytab
    quit

    donde:
    • <kvno> es el número devuelto por el comando kvno,
    • srv1.mydomain.com es el nombre completo del ordenador servidor,
    • MYDOMAIN.COM es el nombre de dominio (siempre en mayúsculas).
    • <nombre de cuenta> es el nombre de la cuenta de dominio creada en el prerrequisito.
    En el código, adaptar el ruta del comando 'wkt' para almacenar el "keytab" en un lugar apropiado.. Compruebe si el servidor HFSQL tiene suficientes derechos para acceder a este archivo..
  5. Se requiere la librería "libgssapi_krb5.so. Dependiendo de la distribución, puede que tenga que crear un enlace simbólico desde "libgssapi_krb5.so.x" hasta "libgssapi_krb5.so".
  6. Configure el servidor HFSQL añadiendo las siguientes líneas al archivo HFConf.ini del servidor:
    [ActiveDirectory]
    Enable=1
    KerberosKeyFile=/opt/<account name>/<account name>.keytab

    donde <nombre de cuenta> es el nombre de la cuenta de dominio creada en el prerrequisito.
aprovechamiento

Conexión

La siguiente sintaxis le permite utilizar una conexión con una autenticación a través del Directorio Active:
cnt_sso is Connection
cnt_sso.Provider = hAccessHFClientServer
cnt_sso.Server = "srv1.mydomain.com"
cnt_sso.ActiveDirectory = True
Esta conexión le permite conectarse al servidor utilizando la identidad del usuario actual.. El usuario no tiene que volver a escribir sus datos de acceso (Single Sign-On).
Nota: En Windows y en Linux equipado con una capa Kerberos compatible, la siguiente sintaxis le permite forzar el uso de otra cuenta de dominio:
cnt is Connection
cnt.Provider = hAccessHFClientServer
cnt.Server = "srv1.mydomain.com"
cnt.ActiveDirectory = True
cnt.User = "<Account name>@mydomain.com"
cnt.Password = "xxxxxx"

Gestión de derechos en el servidor

En el servidor HFSQL, tiene la posibilidad de crear usuarios y grupos correspondientes a cuentas de dominio y grupos de dominio respectivamente.
Cuando un usuario se conecta con una cuenta de dominio:
  • La lista de grupos a los que pertenece el usuario se actualiza automáticamente a partir de la información sobre los grupos de dominio.
  • Si el usuario no existe pero pertenece a un grupo de dominio con un grupo HFSQL correspondiente, la cuenta de usuario se crea automáticamente (sin derechos, hereda de los derechos de grupo)..
Versión mínima requerida
  • Versión 23
Esta página también está disponible para…
Comentarios
Haga clic en [Agregar] para publicar un comentario

Última modificación: 27/05/2022

Señalar un error o enviar una sugerencia | Ayuda local