Editar:
O Reporting Services 2008 se baseia na autoridade de segurança local (LSA). Tudo o que o LSA pode autenticar pode ser uma fonte de credenciais, mas "fora da caixa" você está falando de contas de usuários locais no próprio servidor, contas de usuário de domínio no domínio do qual o servidor é membro e, se houver são quaisquer contas em domínios confiáveis (ou regiões confiáveis do Kerberos).
(Obrigado, MattB, por apontar que O Reporting Servers 2008 não usa mais o IIS .