Koneksi Azure Data Studio ke SQL Server menggunakan Kerberos

Azure Data Studio mendukung menyambungkan ke SQL Server dengan menggunakan Kerberos.

Untuk menggunakan autentikasi terintegrasi (Autentikasi Windows) di macOS atau Linux, Anda perlu menyiapkan tiket Kerberos yang menautkan pengguna Anda saat ini ke akun domain Windows.

Prasyarat

Untuk memulai, Anda memerlukan:

• Akses ke komputer yang bergabung dengan domain Windows untuk mengkueri pengontrol domain Kerberos Anda.

• SQL Server harus dikonfigurasi untuk mengizinkan autentikasi Kerberos. Untuk driver klien yang berjalan di Unix, autentikasi terintegrasi hanya didukung dengan menggunakan Kerberos. Untuk informasi selengkapnya, lihat Menggunakan autentikasi terintegrasi Kerberos untuk menyambungkan ke SQL Server. Harus ada nama perwakilan layanan (SPN) yang terdaftar untuk setiap instans SQL Server yang coba Anda sambungkan. Untuk informasi selengkapnya, lihat Mendaftarkan Nama Perwakilan Layanan untuk Koneksi Kerberos.

Periksa apakah SQL Server memiliki penyiapan Kerberos

Masuk ke komputer host SQL Server. Dari prompt perintah Windows, gunakan setspn -L %COMPUTERNAME% untuk mencantumkan semua SPN untuk host. Verifikasi ada entri yang dimulai dengan MSSQLSvc/HostName.contoso.com. Entri ini berarti bahwa SQL Server telah mendaftarkan SPN dan siap untuk menerima autentikasi Kerberos.

Jika Anda tidak memiliki akses ke host instans SQL Server, maka dari OS Windows lain yang bergabung ke Direktori Aktif yang sama, Anda dapat menggunakan perintah setspn -L <SQLSERVER_NETBIOS>, di mana <SQLSERVER_NETBIOS> adalah nama komputer host instans SQL Server.

Dapatkan Pusat Distribusi Kunci Kerberos

Temukan nilai konfigurasi Kerberos Key Distribution Center (KDC). Jalankan perintah berikut pada komputer Windows yang bergabung ke domain Direktori Aktif Anda.

Jalankan nltest dari baris perintah, dan ganti "DOMAIN.CONTOSO.COM" dengan nama domain Anda.

nltest /dsgetdc:DOMAIN.CONTOSO.COM

Output mirip dengan sampel berikut:

DC: \\dc-33.domain.contoso.com
Address: \\2111:4444:2111:33:1111:ecff:ffff:3333
...
The command completed successfully

Salin nama DC yang menjadi nilai konfigurasi KDC yang diperlukan. Dalam hal ini, itu dc-33.domain.contoso.com.

Menggabungkan OS Anda ke pengendali domain Direktori Aktif

Ubuntu

sudo apt-get install realmd krb5-user software-properties-common python-software-properties packagekit

/etc/network/interfaces Edit file sehingga alamat IP pengontrol domain Active Directory Anda tercantum sebagai dns-nameserver. Contoh:

<...>
# The primary network interface
auto eth0
iface eth0 inet dhcp
dns-nameservers **<AD domain controller IP address>**
dns-search **<AD domain name>**

Catatan

Antarmuka jaringan (eth0) mungkin berbeda untuk komputer yang berbeda. Untuk mengetahui mana yang Anda gunakan, jalankan ifconfig dan salin antarmuka yang memiliki alamat IP dan dikirimkan dan diterima byte.

Setelah mengedit file ini, mulai ulang layanan jaringan:

sudo ifdown eth0 && sudo ifup eth0

Sekarang periksa apakah file Anda /etc/resolv.conf berisi baris seperti berikut ini:

nameserver **<AD domain controller IP address>**

Bergabung ke domain Direktori Aktif:

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

Berikut adalah output yang diharapkan:

<...>
* Success

Red Hat Enterprise Linux

sudo yum install realmd krb5-workstation

/etc/sysconfig/network-scripts/ifcfg-eth0 Edit file (atau file konfigurasi antarmuka lain yang sesuai) sehingga alamat IP pengontrol domain Direktori Aktif Anda tercantum sebagai server DNS:

<...>
PEERDNS=no
DNS1=**<AD domain controller IP address>**

Setelah mengedit file ini, mulai ulang layanan jaringan:

sudo systemctl restart network

Sekarang periksa apakah file Anda /etc/resolv.conf berisi baris seperti berikut ini:

nameserver **<AD domain controller IP address>**

Bergabung ke domain Direktori Aktif:

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

Berikut adalah output yang diharapkan:

<...>
* Success

Mengonfigurasi KDC di krb5.conf dengan macOS

Bagian ini membahas file konfigurasi Kerberos.

/etc/krb5.conf Edit file di editor pilihan Anda. Konfigurasikan kunci berikut:

sudo vi /etc/krb5.conf

[libdefaults]
  default_realm = DOMAIN.CONTOSO.COM

[realms]
DOMAIN.CONTOSO.COM = {
   kdc = dc-33.domain.contoso.com
}

Kemudian simpan krb5.conf file dan keluar.

Catatan

Domain harus berada di SEMUA CAPS.

Menguji pengambilan tiket yang memberikan tiket

Dapatkan Tiket Pemberian Tiket (TGT) dari KDC.

kinit username@DOMAIN.CONTOSO.COM

Lihat tiket yang tersedia dengan menggunakan klist. kinit Jika berhasil, Anda akan melihat tiket.

klist

Berikut adalah output yang diharapkan:

krbtgt/DOMAIN.CONTOSO.COM@ DOMAIN.CONTOSO.COM.

Koneksi dengan menggunakan Azure Data Studio

1. Buat profil koneksi baru.

2. Pilih Autentikasi Windows sebagai jenis autentikasi.

3. Untuk Server, masukkan nama host yang sepenuhnya memenuhi syarat, dalam format hostname.DOMAIN.CONTOSO.COM.

4. Selesaikan profil koneksi, dan pilih Koneksi.

Setelah berhasil menyambungkan, server Anda muncul di bilah sisi SERVERS .