Připojení Azure Data Studia k SQL Serveru pomocí protokolu Kerberos

Důležitý

Azure Data Studio se vyřazuje 28. února 2026. Doporučujeme použít rozšíření MSSQL pro Visual Studio Code. Další informace o migraci do editoru Visual Studio Code najdete v tématu Co se děje se sadou Azure Data Studio?

Azure Data Studio podporuje připojení k SQL Serveru pomocí protokolu Kerberos.

Pokud chcete používat integrované ověřování (ověřování systému Windows) v systému macOS nebo Linux, musíte nastavit lístek Kerberos, který propojí aktuálního uživatele s účtem domény Systému Windows.

Požadavky

Na začátek budete potřebovat:

• Přístup k počítači připojenému k doméně Windows pro dotazování řadiče domény Kerberos.

• SQL Server by měl být nakonfigurovaný tak, aby povoloval ověřování protokolem Kerberos. Pro klientský ovladač spuštěný v systému Unix se integrované ověřování podporuje pouze pomocí protokolu Kerberos. Další informace naleznete v tématu Použití integrovaného ověřování Kerberos pro připojení k SQL Serveru. Pro každou instanci SQL Serveru, ke které se pokoušíte připojit, by měly být zaregistrované hlavní názvy služby (SPN). Další informace naleznete v tématu Registrace názvu hlavní služby (SPN) pro připojení Kerberos.

Zkontrolujte, jestli má SQL Server nastavený Kerberos.

Přihlaste se k hostitelskému počítači SQL Serveru. Z příkazového řádku systému Windows použijte setspn -L %COMPUTERNAME% k výpisu všech Názvů služby SPN pro hostitele. Ověřte, že existují položky začínající na MSSQLSvc/HostName.contoso.com. Tyto položky znamenají, že SQL Server zaregistroval SPN (hlavní název služby) a je připraven přijmout ověřování protokolem Kerberos.

Pokud nemáte přístup k hostiteli instance SQL Serveru, pak z jakéhokoli jiného operačního systému Windows připojeného ke stejné službě Active Directory můžete použít příkaz setspn -L <SQLSERVER_NETBIOS>, kde <SQLSERVER_NETBIOS> je název počítače hostitele instance SQL Serveru.

Získání centra distribuce klíčů Kerberos

Vyhledejte hodnotu konfigurace centra pro distribuci klíčů Kerberos (KDC). Na počítači s Windows, který je připojený k doméně služby Active Directory, spusťte následující příkaz.

Spusťte nltest příkaz z příkazového řádku a nahraďte "DOMAIN.CONTOSO.COM" názvem vaší domény.

nltest /dsgetdc:DOMAIN.CONTOSO.COM

Výstup je podobný následujícímu příkladu:

DC: \\dc-33.domain.contoso.com
Address: \\2111:4444:2111:33:1111:ecff:ffff:3333
...
The command completed successfully

Zkopírujte název řadiče domény, který je požadovanou konfigurační hodnotou pro KDC. V tomto případě je to dc-33.domain.contoso.com.

Připojení operačního systému k řadiči domény služby Active Directory

Ubuntu

sudo apt-get install realmd krb5-user software-properties-common python-software-properties packagekit

/etc/network/interfaces Upravte soubor tak, aby IP adresa řadiče domény služby Active Directory byla uvedena jako dns-nameserver. Příklad:

<...>
# The primary network interface

[!INCLUDE [azure-data-studio-deprecation](includes/azure-data-studio-deprecation.md)]
auto eth0
iface eth0 inet dhcp
dns-nameservers **<AD domain controller IP address>**
dns-search **<AD domain name>**

Poznámka:

Síťové rozhraní (eth0) se může u různých počítačů lišit. Pokud chcete zjistit, který z nich používáte, spusťte ifconfig a zkopírujte rozhraní s IP adresou a přenášenými a přijatými bajty.

Po úpravě tohoto souboru restartujte síťovou službu:

sudo ifdown eth0 && sudo ifup eth0

Teď zkontrolujte, že soubor /etc/resolv.conf obsahuje řádek podobný následujícímu:

nameserver **<AD domain controller IP address>**

Připojte se k doméně služby Active Directory:

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

Tady je očekávaný výstup:

<...>
* Success

Red Hat Enterprise Linux

sudo yum install realmd krb5-workstation

/etc/sysconfig/network-scripts/ifcfg-eth0 Upravte soubor (nebo jiný konfigurační soubor rozhraní podle potřeby) tak, aby IP adresa řadiče domény služby Active Directory byla uvedená jako server DNS:

<...>
PEERDNS=no
DNS1=**<AD domain controller IP address>**

Po úpravě tohoto souboru restartujte síťovou službu:

sudo systemctl restart network

Teď zkontrolujte, že soubor /etc/resolv.conf obsahuje řádek podobný následujícímu:

nameserver **<AD domain controller IP address>**

Připojte se k doméně služby Active Directory:

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

Tady je očekávaný výstup:

<...>
* Success

Konfigurace KDC v krb5.conf s macOS

Tato část popisuje konfigurační soubor Kerberos.

/etc/krb5.conf Upravte soubor v editoru podle svého výběru. Nakonfigurujte následující klíče:

sudo vi /etc/krb5.conf

[libdefaults]
  default_realm = DOMAIN.CONTOSO.COM

[realms]
DOMAIN.CONTOSO.COM = {
   kdc = dc-33.domain.contoso.com
}

Potom soubor uložte krb5.conf a ukončete.

Poznámka:

Doména musí být VELKÝMI PÍSMENY.

Otestování načtení průkazu pro udělování oprávnění.

Získejte lístek pro udělení lístku (TGT) z KDC.

kinit username@DOMAIN.CONTOSO.COM

Zobrazte dostupné lístky pomocí klist. Pokud to kinit bylo úspěšné, měli byste vidět lístek.

klist

Tady je očekávaný výstup:

krbtgt/DOMAIN.CONTOSO.COM@ DOMAIN.CONTOSO.COM.

Připojení pomocí nástroje Azure Data Studio

1. Vytvořte nový profil připojení.

2. Jako typ ověřování vyberte Ověřování systému Windows.

3. Jako server zadejte plně kvalifikovaný název hostitele ve formátu hostname.DOMAIN.CONTOSO.COM.

4. Dokončete profil připojení a vyberte Připojit.

Po úspěšném připojení se váš server zobrazí na bočním panelu SERVERY .