Ruotare i keytab per SQL Server in Linux

  • Articolo

Si applica a:SQL Server - Linux

In base alle procedure consigliate per la sicurezza dell'organizzazione, può essere necessario ruotare regolarmente la password per l'account Windows Active Directory fornito come network.privilegedadaccount in mssql.conf o qualsiasi altro account proprietario dei nomi dell'entità servizio (SPN) per il servizio SQL Server. Il metodo supportato per modificare la password per l'account è descritto in questo articolo. La modifica della password ha effetto senza la necessità di riavviare il servizio SQL Server in Linux.

Lo strumento adutil viene utilizzato per aggiornare il keytab. Il comando adutil deve essere eseguito da un computer aggiunto a un dominio. Per altre informazioni su adutil e su come scaricare lo strumento, vedi Introduzione ad adutil - Utilità di Active Directory.

È fondamentale aggiornare la nuova password nel keytab con il numero kvno successivo prima di aggiornarlo in Active Directory. L'uso del numero kvno successivo impedisce al servizio di SQL Server di essere riavviato dopo la modifica della password. Se si aggiorna prima la password in Active Directory e quindi si modifica il keytab, è necessario riavviare il servizio SQL Server per garantire che l'autenticazione di Active Directory funzioni correttamente.

Scenario per la rotazione del keytab

Di seguito è riportato un esempio. L'autenticazione di Active Directory è già abilitata per SQL Server in Linux. Nel file mssql.conf, network.privilegedadaccount è stato impostato su sqluser. L'account sqluser@CONTOSO.COM è già stato creato in Active Directory e il keytab è stato creato anche nel percorso predefinito /var/opt/mssql/secrets/mssql.keytab. Ora è necessario modificare la password per sqluser@CONTOSO.COM. Ecco i passaggi da seguire:

  1. Installare adutil nel computer aggiunto al dominio.

  2. Ottenere o rinnovare il ticket-granting ticket (TGT) Kerberos usando il comando kinit. Usare un account con privilegi per il comando kinit. L'account deve avere l'autorizzazione per connettersi al dominio ed essere in grado di creare account e nomi dell'entità servizio nel dominio. In questo caso, viene usato l'account privilegeduser@CONTOSO.COM che dispone delle autorizzazioni per creare account e nomi SPN nel dominio denominato CONTOSO.COM.

    kinit privilegeduser@CONTOSO.COM

  3. Dopo aver eseguito kinit per ottenere/rinnovare il ticket TGT, eseguire una query sul numero kvno corrente di network.privilegedadaccount. In questo caso, è sqluser@CONTOSO.COM.

    kvno sqluser@CONTOSO.COM

È possibile scegliere di ruotare il keytab con mssql-conf oppure di ruotare manualmente il keytab usando adutil.

Ruotare il keytab con mssql-conf

È possibile installare adutil e integrarlo con mssql-conf, il che significa che è possibile ruotare il keytab usando mssql-conf.

  1. Accedi come utente ROOT e passa all'utente mssql.

    su mssql

  2. Ottenere o rinnovare il ticket-granting ticket (TGT) Kerberos usando il comando kinit. Usare un account con privilegi per il comando kinit. L'account deve avere l'autorizzazione per connettersi al dominio ed essere in grado di creare account e nomi dell'entità servizio nel dominio. In questo caso, viene usato l'account privilegeduser@CONTOSO.COM che dispone delle autorizzazioni per creare account e nomi SPN nel dominio denominato CONTOSO.COM.

    kinit privilegeduser@CONTOSO.COM

  3. Esegui il comando mssql-conf, specificando il keytab di SQL Server e i dettagli network.privilegedadaccount. In questo esempio, privilegedadaccount è sqluser.

    ./mssql-conf setup-ad-keytab /var/opt/mssql/secrets/mssql.keytab sqluser --use-next-kvno'

    Quando viene richiesta una password, immetti una nuova password che intendi usare. L'opzione --use-next-kvno assegna il kvno corrente + 1.

    Facoltativo: è anche possibile usare l'opzione --kvno con il comando mssql-confsetup-ad-keytab per fornire un kvno specifico. È necessario assicurarsi di ottenere prima il kvno corrente per l'utente e quindi aggiornare il nuovo kvno di conseguenza, che sarebbe il kvno corrente + 1.

  4. È possibile elencare le chiavi del keytab usando il comando:

    klist -kte /var/opt/mssql/secrets/mssql.keytab

    Si noterà che il keytab viene aggiornato con il kvno successivo per le voci utente e SPN.

  5. Ora è necessario modificare la password per l’utente sqluser. Ecco un esempio.

    Importante

    Se durante questo passaggio viene richiesto di riavviare SQL Server, è possibile ignorarlo. Ricorda di modificare la password anche in Active Directory.

    bash-4.4$ kinit privilegedaccount@CONTOSO.COM
Password for privilegedaccount@CONTOSO.COM:

bash-4.4$ ./mssql-conf setup-ad-keytab /var/opt/mssql/secrets/mssql.keytab sqluser --use-next-kvno
sqluser@contoso.com's password:
Confirm sqluser@contoso.com's password:

SQL Server needs to be restarted in order to adopt the new AD configuration, please run 'systemctl restart mssql-server.service'.

bash-4.4$ klist -kte /var/opt/mssql/secrets/mssql.keytab
Keytab name: FILE:/var/opt/mssql/secrets/mssql.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   4 12/30/2021 14:02:08 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   4 12/30/2021 14:02:08 MSSQLSvc/sql1.contoso.com:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   4 12/30/2021 14:02:08 MSSQLSvc/sql1.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   4 12/30/2021 14:02:08 MSSQLSvc/sql1:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   4 12/30/2021 14:02:08 MSSQLSvc/sql1@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 MSSQLSvc/sql1.contoso.com:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 MSSQLSvc/sql1.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 MSSQLSvc/sql1:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 MSSQLSvc/sql1@CONTOSO.COM (aes256-cts-hmac-sha1-96)

Ruotare manualmente il keytab con adutl

Per aggiornare manualmente il keytab usando adutil, fai riferimento ai passaggi seguenti.

L'aggiornamento del keytab tramite adutil aggiunge una voce al keytab corrente. Ad esempio, se il numero kvno del comando precedente è 2, utilizzare il numero kvno3 durante l'aggiornamento del keytab. Di seguito sono elencati i comandi adutil che è necessario eseguire.

  • Modifica il numero di porta (-p), il nome host (-H), il percorso al keytab (-k) e il numero kvno in modo che corrispondano all'ambiente.
adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mssql.contoso.com --password '<newpassword>' -s MSSQLSvc --kvno 3

adutil keytab create -k /var/opt/mssql/secrets/mssql.keytab -p sqluser --password '<newpassword>' --kvno 3

-k: percorso del keytab corrente usato da SQL Server e impostato tramite l'opzione network.kerberoskeytabfile nel file mssql.conf.

-H: nome di dominio completo dell'host di SQL Server.

-p: porta su cui è in ascolto il servizio SQL Server nel primo comando. Nel secondo comando -p rappresenta network.privilegedadaccount per cui si aggiorna la password.

kvno: il valore deve essere il numero ccorrente kvno + 1. Il valore kvno corrente si ottiene dal passaggio 3.

Dopo aver eseguito i comandi precedenti, è necessario specificare la scelta del tipo di crittografia per le voci keytab. Assicurarsi di scegliere quello adatto per l'ambiente in uso.

Controllare le voci keytab

Dopo aver aggiornato il keytab, vengono ora visualizzate le voci nel keytab per kvno 3 (nuovo) e anche kvno 2 (precedente) per lo stesso account sqluser@CONTOSO.COM e per gli stessi nomi SPN. È possibile eseguire il comando klist seguente per controllare le voci nel keytab:

klist -kte /var/opt/mssql/secrets/mssql.keytab

Modificare la password dell'account in Active Directory

L'ultimo passaggio consiste nell'aggiornare la password di file network.privilegedadaccount o dell'account proprietario dei nomi SPN di SQL Server in Windows Active Directory. Nello scenario precedente è necessario aggiornare la password per sqluser@CONTOSO.COM in Active Directory. Modifica la password nell'elemento <newpassword> specificato nel passaggio 3 della sezione precedente. L'autenticazione di Active Directory deve continuare a funzionare e senza la necessità di riavviare il servizio SQL Server.

Contenuto correlato