Kerberos kimlik doğrulaması ve SQL Server
Bir ağ kimlik doğrulama protokol, istemci ve sunucu varlıkları (güvenlik sorumlularına) bir ağ üzerinde kimlik doğrulaması için oldukça güvenli bir yöntem sağlar Kerberos'tur.Bu güvenlik sorumlularını ana anahtarlar üzerinde temel alır ve bu biletleri şifrelenmiş kimlik doğrulaması kullanın.
Içinde Kerberos protokol modeli, her istemci/sunucu bağlantısı için kimlik doğrulaması ile başlar.Istemci ve sunucu, bu eylemleri her bir ucundaki bağlantı diğer taraf diğer ucundaki orijinal olduğunu doğrulamak için tasarlanmış bir dizi adım.kimlik doğrulaması başarılı olursa, oturum Kurulum tamamlandıktan ve güvenli bir istemci/sunucu bir oturum oluşturulur.
Kerberos anahtar yararları arasında kimlik doğrulaması şunlardır:
Karşılıklı kimlik doğrulaması.Istemci sunucu anapara kimliğini doğrulayabilir ve sunucu, istemci doğrulayabilirsiniz.Güvenli ağ bağlantıları sunucular arasında yapılmış olsa bile bu belgelerinde iki varlık "istemci" ve "sunucu" denir.
kimlik doğrulaması biletleri güvenli.Yalnızca şifreli biletleri kullanılır ve parolaları bilet hiçbir zaman dahil edilir.
Tümleşik kimlik doğrulaması.Sonra bir kullanıcı oturum açtıysa, kullanıcının Kerberos destekleyen herhangi bir hizmete erişmek için yeniden oturum açmanız gerekmez. kimlik doğrulaması değil istemci bilet süresi doldu olarak.Her anahtar, bilet üreten bir Kerberos bölgesi ilkeleri tarafından belirlenen bir yaşam süresi vardır.
Kerberos, güvenli bir ağ bağlantısı kurulmadan önce varlıklar arasındaki karşılıklı kimlik doğrulaması için bir mekanizma sağlar.Kerberos, oluşturma ve kimlik doğrulaması biletlerini ve simetrik oturum anahtarlarını güvenli dağıtımını kolaylaştırmak için güvenilir bir üçüncü taraf, Anahtar Dağıtım Merkezi (KDC) kullanır.KDC, güvenli bir sunucu üzerinde bir hizmet olarak çalışır ve kendi bölgesindeki tüm güvenlik ilkeleri için bir veritabanı bulundurur.Kerberos bağlamında, bir bölge bir Windows etki alanı eşdeğeridir.
Not
Ana anahtar güvenlik istemci ve sunucu sorumluluğundadır; KDC, yalnızca hizmet veren bilet sağlar.
Windows ortamında KDC işlemi etki alanı denetleyicisi tarafından kabul edilir ve genellikle, Active Directory kullanır.Tüm Windows etki alanı kullanıcıları etkin biçimde Kerberos ilkeleri ve Kerberos kimlik doğrulamasını kullanarak yeteneği.
Kerberos ile SQL Server
SQL Server dolaylı olarak Windows Güvenlik Desteği sağlayıcı arabirim (SSPI) üzerinden Kerberos olduğunda destekler SQL Server Windows kimlik doğrulaması kullanıyor. SSPI güvenlik sistemine arabirim değiştirmeden bir bilgisayar veya ağ çeşitli güvenlik modelleri kullanmak bir uygulama sağlar.
SQL Server SSPI kimlik doğrulama protokol kullanmak üzere anlaşma sağlar; Kerberos kullanılamaz, Windows yeniden Windows NT Challenge/Response (NTLM) kimlik doğrulaması için ayrılır.
SQL Server 2008 Kerberos kimlik doğrulaması üzerinde şu protokolleri destekler:
TCP/IP
Adlandırılmış Yöneltme
Paylaşılan bellek
Önceki iletişim kuralları hakkında daha fazla bilgi için bkz: Ağ iletişim kuralları ve TDS bitiş noktaları.
En iyi yöntem olarak, Kerberos kimlik doğrulamasını olası her örneğine bağlantılarda kullanmanız önerilir SQL Server.