Compartilhar via


Tipos de autenticação de ponto de extremidade

O processo de autenticação do ponto de extremidade envolve a concessão de permissões para que os usuários possam se conectar a pontos de extremidade criados no servidor e a especificação de como a autenticação será executada.

A forma como a autenticação é executada é especificada com o uso da cláusula AUTHENTICATION da instrução CREATE ENDPOINT ou da instrução ALTER ENDPOINT. A cláusula AUTHENTICATION fornece as seguintes opções para especificar o tipo de autenticação:

  • BÁSICA

  • DIGEST

  • NTLM

  • KERBEROS

  • INTEGRADA

ObservaçãoObservação

Não há suporte para autenticação anônima em um ponto de extremidade. Para que o usuário acesse um ponto de extremidade, deve ser um usuário Windows autenticado válido, seja um usuário Windows confiável ou uma conta membro do computador local.

Autenticação Básica

A autenticação básica é um dos dois mecanismos de autenticação exigidos na especificação de HTTP 1.1. A autenticação básica é composta de um cabeçalho de Autenticação que contém o nome de usuário codificado na base 64 e da senha separada por dois-pontos. Para obter mais informações, visite http://www.ietf.org/rfc/rfc2617.txt.

Considere o seguinte ao especificar a autenticação BÁSICA:

  • O valor das PORTAS não pode ser definido como CLEAR.

  • As credenciais enviadas como autenticação HTTP básicas devem ser mapeadas para um login do Windows válido.

A autenticação básica deve ser usada somente como último recurso. Como ela usa somente codificação na base 64, se a autenticação básica for especificada, a instância do SQL Server exigirá que uma porta SSL (Secure Sockets Layer) seja usada para conexão HTTP. A autenticação básica pode ser usada em situações em que o usuário que recebe permissões para o ponto de extremidade é um usuário local no próprio computador.

Autenticação digest

A digest é o segundo mecanismo de autenticação exigido pelo HTTP 1.1. Essa autenticação é composta do nome de usuário e da senha. Em seguida, ela é colocada em hash com MD5, um algoritmo em hash unidirecional, e enviada para o servidor. O servidor tem acesso à senha bruta ou a um hash MD5 armazenado que tenha sido criado quando a senha foi definida. O servidor pode comparar o valor calculado armazenado com o valor fornecido pelo cliente. Deste modo, o cliente pode provar que sabe a senha sem fornecê-la efetivamente ao servidor. Para obter mais informações, visite http://www.ietf.org/rfc/rfc2617.txt.

As credenciais enviadas como parte de uma autenticação digest por HTTP devem ser mapeadas para uma conta de domínio do Windows válida. Não há suporte a contas de usuários locais para autenticação digest baseada em Windows.

ObservaçãoObservação

Por razões de segurança, a autenticação digest baseada em Windows só oferece suporte a criptografias MD5 em controladores de domínio em execução no Windows Server 2003.

Autenticação NTLM

O NTLM é o mecanismo de autenticação com suporte do Windows 95, Windows 98 e Windows NT 4.0 (cliente e servidor). Este mecanismo de autenticação é um protocolo da resposta de desafio que oferece autenticação mais forte que a básica ou digest. A autenticação NTLM é implementada no Windows 2000 e em versões posteriores por uma Interface SSPI. Para obter mais informações, consulte Microsoft NTLM.

Autenticação Kerberos

A autenticação Kerberos é um mecanismo de autenticação padrão da Internet. A autenticação de Kerberos é tem suporte no Windows 2000 e versões posteriores por meio de uma SSPI.

Quando autenticação Kerberos é usada, a instância de SQL Server deve associar um SPN (nome da entidade de serviço) à conta em que estará sendo executado. Para obter mais informações, consulte Registrando nomes da entidade de serviço Kerberos usando Http.sys.

Para obter mais informações sobre autenticação Kerberos, consulte Kerberos.

Autenticação integrada

Os pontos de extremidade configurados para oferecer suporte à autenticação integrada podem responder com os seguintes tipos de autenticação como parte do desafio de autenticação: Kerberos ou NTLM.

Sob essa configuração, o servidor tentará autenticar o cliente com o tipo que o cliente usa na autenticação de solicitação.

ObservaçãoObservação

Se o processo falhar para um tipo de autenticação integrada, o servidor encerrará a conexão para o cliente. O servidor não será revertido para tentar o outro tipo de autenticação.