2023年6月25日发(作者：)

Cognos 身份认证方法总结 yuzhucu

*****************************************************************************

修订历史：2009-08-30 增加NTLM配置

2009-09-19 增加SunOne配置

2010-05-08 增加 Acrive Directory 方式

*****************************************************************************

默认情况下，cognos8安装配置完成以后是以匿名方式登录的，同时cognos8也支持多种身份认证，下面介绍几种常用的方法：

1. NTLM 身份认证方法：

步骤：

1)在Cognos Configuration 界面中将Allow anonymous access选项改为 false,如下图

2)新建一个NTLM类型的Namespace ，名字为’NTLM’ (可以任取)：

3)类型选择NTLM

4)输入Namespace ID，这个ID就是登陆cognos connection 时选择的名称空间，与上面的名字可以不一样。

5)测试新建的NTLM名称空间

6)保存更改后重启cognos service

7）Web服务器注意事项：

如果采用IIS作为web服务器，需要修改虚拟目录cgi-bin的访问属性，将匿名存取取消，改为整合的Windows 验证。

如果采用apache作为web服务器，修改配置文件来定义cognos虚拟目录和监听端口:

配置文件默认安装路径为：

C:Program FilesApache Software

修改 Listen 端口：

建议不要使用系统保留的端口范围。这里我们将选择20000

将Listen 80 改为

Listen 20000

修改 ServerName:

将ServerName 192.168.174.8:80 改为 ServerName 192.168.174.8:20000

如果事先没有配置虚拟目录，需要在 末尾加上以下代码：

ScriptAlias /cognos8/cgi-bin "c:/Program Files/cognos/c8/cgi-bin"

Options None

AllowOverride None

Order Allow,Deny

Allow from All

Alias /cognos8 "c:/Program Files/cognos/c8/webcontent"

Options None

AllowOverride None

Order Allow,Deny

Allow from All

如果xp或者win2003上安装了IIS 则，IIS默认会占用80端口，导致apatch web 服务使用80端口产生冲突。一般可以用以下办法解决：一是停止并禁用IIS服务；二是按法改 apatch使用 20000 端口：

8）重启web服务器IIS或者apache，在浏览器登录验证：

IIS:

Apache:

9）配置和测试过程中可能遇到的问题：

1. 用IIS模式登陆时报错：

CGI Error

The specified CGI application misbehaved by not returning a complete set of HTTP headers. The

headers it did return are:

2.用apache做服务器时，在登录过程中用户名正确的情况下，不管密码输入什么值甚至空值，都可以登录

在实验过程中上面两个问题困扰了我好长时间，最后在网上众多方案中找到办法：

在使用NTLM作为cognos8的认证的时候，即使增加了NTLM的认证方式，但是仍然登录不上去，提示无效的凭证，解决办法为：在 我的电脑->工具->文件夹选项->查看中，去掉“简单文件共享”前的勾，不需要重启即可生效。

遗留问题：IIS模式下登录时因为修改cgi-bin虚拟目录属性时集成了windows 身份认证，单点登陆之后不会跳出登陆界面，会用administrator用户直接登录；即使退出登陆之后也无法用其他用户登录，这个问题还需要后续解决

2. SunOne

1）更改计算机名：

2）重启计算机。

3）安装Sun One Directory Server 5.2

4）输入计算机全称：如

5）一路默认Next

6) 选择安装目录

7）创建目录

7）选择安装组件

8）配置目录服务：默认创建新的实例

9）设置数据存储目录，这里也新建

8）设置目录服务参数：这里的Server Port一般是由系统随机生成，可直接采用。也可自己随便填入一个值，但不要采用8080，23等标准通用端口号就可以

9）设置管理员账户和密码：

10）目录管理员密码和端口

像上面Server Port的端口号填入方式一样，可用系统随机产生，可自己填入一定的值。

这个端口号是，登录Sun One服务器的端口号

11）配置总览

12）开始安装

13）系统自动配置

13）安装完成，关闭窗口。

14）登录控制台

15）这里的账户、密码和端口号就是前面第9、10步设置的用户和端口

16）登陆成功，依次展开左边目录

17) 切换到Users and Groups管理选项卡，创建新用户

18）选择组织单元:Base DN

19) 选择dc=COM

20）填写用户基本信息：一般用户

21）创建管理员用户

22）配置Cognos :新建名称空间

23）类型选择LDAP,名字任意，如SunLDAP

24) 配置名称空间属性

Namespace ID: Sun LDAP

Host and Port:Server2003:10000 Base DN:dc=COM

User lookup: uid=${userID} 这里要做修改（系统默认为${userID}，如上图），否则无法登陆

25) 测试Sun LDAP

26）禁用匿名访问

27）保存配置

28）重启Cognos服务，生成新的名称空间

29）启动成功

Successfully launched a test JVM with the memory setting of '768'. Note that this

does not guarantee that IBM Cognos 8 will start and run successfully.

To see which JVM options are based on this setting, view

c8_location/bin/bootstrap_.xml and see your JVM documentation for an explanation

of those options.

Since the value is empty, the feature is disabled. There is nothing to test.

[ ERROR ] The mail server cannot be reached.

17:37:20, 'CPS Producer Registration Service', 'StopService', 'Success'.

17:37:22, 'MetadataService', 'StopService', 'Success'.

17:37:22, 'AgentService', 'StopService', 'Success'.

17:37:22, 'MonitorService', 'StopService', 'Success'.

17:37:22, 'DeliveryService', 'StopService', 'Success'.

17:37:22, 'JobService', 'StopService', 'Success'.

17:37:22, 'ReportDataService', 'StopService', 'Success'.

17:37:22, 'BatchReportService', 'StopService', 'Success'.

17:37:22, 'PresentationService', 'StopService', 'Success'.

17:37:22, 'SystemService', 'StopService', 'Success'.

17:37:22, 'ReportService', 'StopService', 'Success'.

17:37:22, 'EventService', 'StopService', 'Success'.

17:37:22, 'ContentManagerService', 'StopService', 'Success'. 17:37:22, 'LogService', 'StopService', 'Success'.

17:37:43, 'LogService', 'StartService', 'Success'.

17:37:50, CM-SYS-2215 A Content Manager internal PRECACHEINITACTIONS task started.

17:37:50, CM-SYS-2216 A Content Manager internal PRECACHEINITACTIONS task is

complete.

17:37:51, CM-SYS-2215 A Content Manager internal POSTINITACTIONS task started.

17:37:51, CM-SYS-2216 A Content Manager internal POSTINITACTIONS task is complete.

17:37:52, CM-SYS-5100 Content Manager has added security namespace "Sun LDAP" (ID

"Sun LDAP") due to a configuration change.

17:37:52, 'ContentManagerService', 'StartService', 'Success'.

17:37:52, CM-SYS-5159 Content Manager is running in active mode.

17:37:53, DPR-DPR-1002 Successfully registered the dispatcher

server2003:9300/p2pd in Content Manager.

17:38:27, 'ReportService', 'StartService', 'Success'.

17:38:27, 'SystemService', 'StartService', 'Success'.

17:38:27, Start a BIBusTKServerMain because the start count 1 is larger than 0.

17:38:28, Start the BIBusTKServerMain with pid 2432.

17:38:33, 'BatchReportService', 'StartService', 'Success'.

17:38:33, 'ReportDataService', 'StartService', 'Success'.

17:38:33, 'JobService', 'StartService', 'Success'.

17:38:33, 'DeliveryService', 'StartService', 'Success'.

17:38:33, 'MonitorService', 'StartService', 'Success'.

17:38:33, 'AgentService', 'StartService', 'Success'.

17:38:33, Start a BmtMDProviderMain because the start count 1 is larger than 0.

17:38:33, 'MetadataService', 'StartService', 'Success'.

17:38:33, 'EventService', 'StartService', 'Success'.

17:38:34, Start the BmtMDProviderMain with pid 3736.

17:38:33, 'PresentationService', 'StartService', 'Success'.

17:38:36, 'CPS Producer Registration Service', 'StartService', 'Success'.

30）重新登录后会出现Sun LDAP 名称空间选项

31）登陆成功 32）Cognos安全配置简介

进入IBM Cognos Administration 安全配置页面，可以看到，现在多了一个目录 Sun LDAP

进入 Sun LDAP，我们可以看到现在已有的User和Groups，对比下面几张图是可以看出这些user和group 与 SunOne中的设置是一致的

另外，我们进入Cognos 目录下面，发现Cognos系统本身也有许多已经建好的角色和组

默认情况下，cognos 允许匿名登录，因为在很多角色里面都包含了任何人，从安全性考虑，我们把一些系统管理角色和组中的任何人去掉，只将这些权限赋予特定的管理人员。如果将所有系统自带角色中的任何人去掉，而没有给某一user添加任何角色之前，该user将无法访问系统。

下面以具有最高权限的系统管理员（组）的设置为例：

点击系统管理员右边 设置属性图标，打开设置属性 - 系统管理员页面,打开成员设置选项，可以看到改组包含了任何人角色，就是所有的人都是系统管理员，再删除这个角色之前，点击右下角添加链接，进入SunLDAP目录，在删除任何人之前，先添加一个系统管理员角色或者user,这里选择我们之前建立的administrator用户

想先把任何人删除，再增加角色，结果系统提示，无法删除词组中的所有成员，想想也有道理，系统管理员角色都删除了，就没人可以再进来了。没办法，先加一个人进来吧

这时只能看到组和角色这一层

勾选显示列表中的用户，

这时可以看到之前建立的user

添加用户

确定，返回，看到现在已经有两个成员了

此时再删除任何人，系统不会提示了

同法删除快速创建者、客户、分析用户 、度量标准用户 、读取器 、度量标准创建者 、创建者、查询用户、Planning Contributor 用户、

PowerPlay 用户、Controller 用户、

Data Manager 创建者、Adaptive Analytics 用户等下面的任何人（可以没有成员）。

此时注销重新登录，发现公共文件夹下什么都看不到了。但还没有达到目的，应该登陆不进去才好。

3. Active Directory

首先要有一个域控制器，用来管理域下的PC和Users;

1) 这里以一台Windows Server2003作为域控服务器。登陆系统后，在运行中输入“Dcpromo”打开安装向导

2）操作系统兼容性，点击下一步

3）新建域控制器

4）创建一个新林中的域

5）因为是新建，网络上还没有其他域控制器，选否，下一步

6) 指定域名，如

7) 默认，下一步

8）设置数据库和日志文件夹，采用默认即可；下一步

9）设置共享文件夹位置

10）如果有XP等较早的系统，选择第一项，以保持兼容性

11）设置还原模式密码：

12）复查安装摘要，没问题的话下一步

13）开始安装和配置

14）安装成功，关闭窗口。重启计算机。

15）重启后再次登录，会出现域选项

16）登陆成功后，可以发现管理工具中多出的几项

17）打开活动目录用户和计算机，展开后可以新建计算机和用户

18) 配置Cognos 名称空间（前提是Cognos服务器在域中）：新建名称空间

19）命名名称空间，如AD,类型选择 Active Directory

20) 配置名称空间属性，这里主要有两个：

Namespase ID：AD (这个可以任意命名)

Host and Port ：192.168.174.10:389 这个是域控制器地址和端口，默认端口389

21）Test Namespace

22) 保存配置

23）禁用匿名访问