Az Azure Data Studio csatlakoztatása az SQL Serverhez a Kerberos használatával

Az Azure Data Studio támogatja az SQL Serverhez való csatlakozást a Kerberos használatával.

Ha macOS vagy Linux rendszeren integrált hitelesítést (Windows-hitelesítést) szeretne használni, be kell állítania egy Kerberos-jegyet , amely egy Windows-tartományi fiókhoz kapcsolja az aktuális felhasználót.

Előfeltételek

A kezdéshez a következők szükségesek:

• Hozzáférés windowsos tartományhoz csatlakoztatott géphez a Kerberos-tartományvezérlő lekérdezéséhez.

• Az SQL Servert úgy kell konfigurálni, hogy engedélyezze a Kerberos-hitelesítést. A Unixon futó ügyfélillesztő esetében az integrált hitelesítés csak a Kerberos használatával támogatott. További információ: A Kerberos integrált hitelesítés használata az SQL Serverhez való csatlakozáshoz. Az SQL Server minden egyes példányához regisztrálni kell a szolgáltatásnévneveket (SPN-eket ). További információ: Szolgáltatásnév regisztrálása Kerberos-kapcsolatokhoz.

Ellenőrizze, hogy az SQL Server rendelkezik-e Kerberos-beállítással

Jelentkezzen be az SQL Server gazdagépére. A Windows parancssorából setspn -L %COMPUTERNAME% listázhatja a gazdagép összes egyszerű szolgáltatásnevét. Ellenőrizze, hogy vannak-e olyan bejegyzések, amelyek a következővel MSSQLSvc/HostName.contoso.comkezdődnek: . Ezek a bejegyzések azt jelentik, hogy az SQL Server regisztrált egy SPN-t, és készen áll a Kerberos-hitelesítés elfogadására.

Ha nem rendelkezik hozzáféréssel az SQL Server-példány gazdagépéhez, akkor bármely más, ugyanahhoz az Active Directoryhoz csatlakoztatott Windows operációs rendszerből használhatja a parancsot setspn -L <SQLSERVER_NETBIOS>, ahol <SQLSERVER_NETBIOS> az SQL Server-példány gazdagépének neve.

A Kerberos-kulcsterjesztési központ lekérése

Keresse meg a Kerberos Key Distribution Center (KDC) konfigurációs értékét. Futtassa a következő parancsot az Active Directory-tartományhoz csatlakoztatott Windows-számítógépen.

Futtassa nltest a parancssorból, és cserélje le a "DOMAIN.CONTOSO.COM" kifejezést a tartomány nevére.

nltest /dsgetdc:DOMAIN.CONTOSO.COM

A kimenet hasonló a következő mintához:

DC: \\dc-33.domain.contoso.com
Address: \\2111:4444:2111:33:1111:ecff:ffff:3333
...
The command completed successfully

Másolja ki a szükséges KDC-konfigurációs értéknek megfelelő tartományvezérlőnevet. Ebben az esetben dc-33.domain.contoso.com.

Csatlakozás az operációs rendszerhez az Active Directory tartományvezérlőhöz

Ubuntu

sudo apt-get install realmd krb5-user software-properties-common python-software-properties packagekit

Szerkessze a /etc/network/interfaces fájlt, hogy az Active Directory-tartományvezérlő IP-címe szerepeljön a dns-nameserverlistán. Például:

<...>
# The primary network interface
auto eth0
iface eth0 inet dhcp
dns-nameservers **<AD domain controller IP address>**
dns-search **<AD domain name>**

Feljegyzés

A hálózati adapter (eth0) eltérő lehet a különböző gépek esetében. Annak kiderítéséhez, hogy melyiket használja, futtassa az ifconfig parancsot, és másolja ki az IP-címmel rendelkező, továbbított és fogadott bájtokat tartalmazó felületet.

A fájl szerkesztése után indítsa újra a hálózati szolgáltatást:

sudo ifdown eth0 && sudo ifup eth0

Most ellenőrizze, hogy a /etc/resolv.conf fájl tartalmaz-e az alábbihoz hasonló sort:

nameserver **<AD domain controller IP address>**

Csatlakozás az Active Directory-tartományhoz:

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

A várt kimenet a következő:

<...>
* Success

Red Hat Enterprise Linux

sudo yum install realmd krb5-workstation

Szerkessze a /etc/sysconfig/network-scripts/ifcfg-eth0 fájlt (vagy szükség szerint más interfészkonfigurációs fájlt), hogy az Active Directory-tartományvezérlő IP-címe DNS-kiszolgálóként legyen felsorolva:

<...>
PEERDNS=no
DNS1=**<AD domain controller IP address>**

A fájl szerkesztése után indítsa újra a hálózati szolgáltatást:

sudo systemctl restart network

Most ellenőrizze, hogy a /etc/resolv.conf fájl tartalmaz-e az alábbihoz hasonló sort:

nameserver **<AD domain controller IP address>**

Csatlakozás az Active Directory-tartományhoz:

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

A várt kimenet a következő:

<...>
* Success

KDC konfigurálása a krb5.conf-ban macOS-sel

Ez a szakasz a Kerberos konfigurációs fájlját ismerteti.

Szerkessze a /etc/krb5.conf fájlt egy tetszőleges szerkesztőben. Konfigurálja a következő kulcsokat:

sudo vi /etc/krb5.conf

[libdefaults]
  default_realm = DOMAIN.CONTOSO.COM

[realms]
DOMAIN.CONTOSO.COM = {
   kdc = dc-33.domain.contoso.com
}

Ezután mentse a krb5.conf fájlt, és lépjen ki.

Feljegyzés

A tartománynak MINDEN CAPS-ben kell lennie.

A jegylekérést engedélyező jegy tesztelése

Szerezze be a jegyátadó jegyet (TGT) a KDC-ből.

kinit username@DOMAIN.CONTOSO.COM

Az elérhető jegyek megtekintése a következő használatával klist: . Ha a kinit művelet sikeres volt, egy jegyet kell látnia.

klist

A várt kimenet a következő:

krbtgt/DOMAIN.CONTOSO.COM@ DOMAIN.CONTOSO.COM.

Csatlakozás az Azure Data Studio használatával

1. Hozzon létre egy új kapcsolatprofilt.

2. Válassza a Windows-hitelesítést hitelesítési típusként.

3. A kiszolgálóhoz adjon meg egy teljes gazdagépnevet a formátumban hostname.DOMAIN.CONTOSO.COM.

4. Fejezze be a kapcsolati profilt, és válassza a Csatlakozás lehetőséget.

A sikeres csatlakozás után a kiszolgáló megjelenik a SERVERS oldalsávon.