Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server 2022 (16.x) en latere versies op Linux
In dit artikel wordt beschreven hoe u beleid voor SQL-aanmeldingswachtwoorden kunt instellen en beheren, te beginnen met SQL Server 2022 (16.x) Cumulatieve update (CU) 23 en SQL Server 2025 (17.x).
Wachtwoordbeleid is een cruciaal aspect van het beveiligen van elke databaseomgeving. Ze dwingen het volgende af:
- Complexiteit
- Vervaldatum
- Veranderingen
Deze afdwinging zorgt ervoor dat aanmeldingen die gebruikmaken van SQL Server-verificatie veilig zijn.
Opmerking
Wachtwoordbeleid is beschikbaar in Windows. Zie Wachtwoordbeleid voor meer informatie.
Aangepaste beleidsinstellingen
In SQL Server 2025 (17.x) en latere versies op Linux kunt u de volgende configuratieparameters in het mssql.conf bestand instellen om een aangepast wachtwoordbeleid af te dwingen.
| Configuratieoptie | Beschrijving |
|---|---|
passwordpolicy.passwordminimumlength |
Hiermee stelt u het minimale aantal tekens in dat is vereist voor een wachtwoord. Wachtwoorden mogen maximaal 128 tekens lang zijn. |
passwordpolicy.passwordhistorylength |
Hiermee stelt u het aantal eerdere wachtwoorden in dat het systeem onthoudt. |
passwordpolicy.passwordminimumage |
Hiermee stelt u de minimale duur in die een gebruiker moet wachten voordat het wachtwoord opnieuw wordt gewijzigd. |
passwordpolicy.passwordmaximumage |
Hiermee stelt u de maximale duur in die een wachtwoord kan worden gebruikt voordat het moet worden gewijzigd. |
Opmerking
Op dit moment kunt u het passwordminimumlength op minder dan acht tekens instellen. Uw wachtwoord moet voldoen aan het standaard SQL Server-wachtwoordbeleid . Standaard moet het wachtwoord ten minste acht tekens lang zijn en tekens bevatten uit drie van de volgende vier sets: hoofdletters, kleine letters, basis-10 cijfers en symbolen. Wachtwoorden mogen maximaal 128 tekens lang zijn. Gebruik wachtwoorden die zo lang en complex mogelijk zijn.
U kunt aangepast wachtwoordbeleid configureren voor aanmeldingen met SQL-verificatie in SQL Server op Linux op twee manieren:
- Aangepast wachtwoordbeleid afdwingen met adutil
-
Het bestand handmatig configureren
mssql.confmet het hulpprogramma mssql-conf
Aangepast wachtwoordbeleid instellen met adutil
In omgevingen waarin beleidsbeheer is gecentraliseerd op een Ad-server (Active Directory), stellen domeinbeheerders de waarden voor het wachtwoordbeleid in de AD-server in en wijzigen. De Linux-machine waarop SQL Server wordt uitgevoerd, moet ook deel uitmaken van het Windows-domein.
Gebruik adutil om het wachtwoordbeleid van de AD-server op te halen en naar het mssql.conf bestand te schrijven. Deze methode biedt het voordeel van gecentraliseerd beheer en zorgt voor een consistente toepassing van beleid in de SQL Server-omgeving.
Vereisten voor adutil
Een geverifieerde Kerberos-sessie tot stand brengen:
Voer
kinituit metsudoom het Kerberos ticket-granting-ticket (TGT) te verkrijgen of te vernieuwen.Gebruik een bevoegd account voor de opdracht
kinit. Het account heeft toestemming nodig om verbinding te maken met het domein.
Vervang in het volgende voorbeeld
<user>door een account met verhoogde bevoegdheden in het domein.sudo kinit <user>@CONTOSO.COMControleer of het ticket is uitgegeven.
sudo klistAls u het wachtwoordbeleid wilt bijwerken, voert u een query uit op het domein met adutil:
sudo adutil updatepasswordpolicyAls de opdracht is geslaagd, ziet de uitvoer er ongeveer als volgt uit:
Successfully updated password policy in mssqlconf. Restart SQL Server to apply the changes.U kunt desgewenst de
--pathoptie toevoegen aan de vorige opdracht. U kunt deze optie gebruiken als u het hulpprogramma mssql-conf op een andere locatie hebt dan het standaardpad. Het standaardpad is/opt/mssql/bin/mssql-conf.Start de SQL Server-service opnieuw op:
sudo systemctl restart mssql-server
Een aangepast wachtwoordbeleid handmatig instellen met mssql-conf
U kunt het wachtwoordbeleid voor sql-verificatie instellen door de parameters in het mssql.conf bestand bij te werken met mssql-conf. Deze aanpak biedt eenvoud en directe controle over de beleidsinstellingen.
Gebruik deze methode wanneer de Linux-host waarop SQL Server wordt uitgevoerd geen deel uitmaakt van het domein en er geen domeincontroller is om het wachtwoordbeleid op te halen.
Voer de volgende mssql-conf-opdrachten uit om elke beleidsconfiguratie-eigenschap in te stellen.
Stel de minimale wachtwoordlengte in op 14 tekens, waarbij wordt voldaan aan de complexiteitsvereisten die worden beschreven in het wachtwoordbeleid.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordminimumlength 14Stel de minimale wachtwoordduur in op één dag. Gebruikers kunnen hun wachtwoord na één dag wijzigen.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordminimumage 1Stel de lengte van de wachtwoordgeschiedenis in op 8. Gebruikers moeten acht unieke wachtwoorden gebruiken voordat ze een oude opnieuw gebruiken.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordhistorylength 8Stel de maximale wachtwoordduur in op 45 dagen. Een gebruiker kan een wachtwoord maximaal 45 dagen gebruiken voordat de gebruiker dit moet wijzigen.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordmaximumage 45Start de SQL Server-service opnieuw.
sudo systemctl restart mssql-server
Beperkingen
Op dit moment kan het passwordminimumlength niet worden ingesteld op meer dan 14 tekens.
Nadat u het groepsbeleid voor wachtwoorden in Active Directory hebt bijgewerkt, moet u de adutil updatepasswordpolicy opdracht handmatig uitvoeren om bij te werken mssql.conf. Deze opdracht wordt niet automatisch uitgevoerd. Zorg ervoor dat de Linux-machine met SQL Server deel uitmaakt van het domein of dat deze handmatig is ingesteld met behulp van mssql-conf.
In Active Directory kunt u elk wachtwoordbeleid op groepsniveau definiëren of ongedaan maken met behulp van een selectievakje.
Als u het beleid uitschakelt, wordt dit echter niet uitgeschakeld in SQL Server op Linux. Als u het aangepaste wachtwoordbeleid wilt voorkomen, werkt u de instellingen in mssql-conf bij in plaats van te vertrouwen op het selectievakje.