Microsoft SQL Server 2016 giver administratorer to valgmuligheder for at implementere, hvordan systemet vil autentificere brugere: Windows-godkendelsestilstand eller blandet godkendelsesfunktion.
Windows-godkendelse betyder, at SQL Server validerer en brugers identitet ved kun at bruge hans Windows brugernavn og adgangskode. Hvis brugeren allerede er autentificeret af Windows-systemet, beder SQL Server ikke om en adgangskode.
Blandet tilstand betyder at SQL Server muliggør både Windows-godkendelse og SQL Server-godkendelse. SQL Server-godkendelse opretter bruger login, der ikke er relateret til Windows.
Autentificering Grundlæggende
Autentificering er processen med at bekræfte en bruger eller computerens identitet. Processen består normalt af fire trin:
-
Brugeren gør et krav om identitet, normalt ved at give et brugernavn.
-
Systemet udfordrer brugeren til at bevise sin identitet. Den mest almindelige udfordring er en anmodning om adgangskode.
-
Brugeren reagerer på udfordringen ved at levere det ønskede bevis, normalt en adgangskode.
-
Systemet verificerer, at brugeren har givet acceptabelt bevis ved for eksempel at kontrollere adgangskoden mod en lokal adgangskode database eller ved hjælp af en centraliseret godkendelsesserver.
For vores diskussion af SQL Server-godkendelsestilstande er det kritiske punkt i det fjerde trin ovenfor: det punkt, hvor systemet verificerer brugerens identitetsbevis. Valget af en godkendelsesfunktion bestemmer hvor SQL Server går for at verificere brugerens adgangskode.
Om SQL Server Authentication Modes
Lad os undersøge disse to tilstande lidt længere:
Windows-godkendelsestilstand kræver, at brugerne giver et gyldigt Windows-brugernavn og adgangskode for at få adgang til databaseserveren. Hvis denne tilstand er valgt, deaktiverer SQL Server den SQL Server-specifikke loginfunktionalitet, og brugerens identitet bekræftes udelukkende via hans Windows-konto. Denne tilstand kaldes sommetider som integreret sikkerhed på grund af SQL Server's afhængighed af Windows til godkendelse.
Blandet godkendelsestilstand tillader brug af Windows-legitimationsoplysninger, men supplerer dem med lokale SQL Server-brugerkonti, som administratoren opretter og vedligeholder inden for SQL Server. Brugerens brugernavn og adgangskode gemmes begge i SQL Server, og brugerne skal genautentificeres hver gang de tilsluttes.
Valg af godkendelsesfunktion
Microsofts bedste praksis anbefaling er at bruge Windows-godkendelsestilstand, når det er muligt. Den største fordel er, at brugen af denne tilstand gør det muligt at centralisere kontoadministration til hele din virksomhed på et enkelt sted: Active Directory. Dette reducerer dramatisk chancerne for fejl eller tilsyn. Da brugerens identitet er bekræftet af Windows, kan bestemte Windows-bruger- og gruppekontoer konfigureres til at logge ind på SQL Server. Endvidere bruger Windows-godkendelse kryptering til at godkende SQL Server-brugere.
SQL Server-godkendelse tillader på den anden side at brugernavne og adgangskoder bliver sendt over hele netværket, hvilket gør dem mindre sikre. Denne tilstand kan være et godt valg, men hvis brugere forbinder fra forskellige ikke-betroede domæner, eller hvis muligvis mindre sikre internetapplikationer anvendes, f.eks. ASP.NET.Tænk for eksempel på scenariet, hvor en betroet databaseadministrator forlader din organisation på uvenlige vilkår. Hvis du bruger Windows-godkendelsestilstand, tilbagekaldes brugerens adgang automatisk, når du deaktiverer eller fjerner DBAs Active Directory-konto. Hvis du bruger blandet godkendelsesfunktion, behøver du ikke kun at deaktivere DBAs Windows-konto, men du skal også kaste gennem de lokale brugerfortegnelser på hver databaseserver at sikre, at der ikke findes lokale konti, hvor DBA kan kende adgangskoden. Det er meget arbejde! Sammenfattende påvirker den tilstand, du vælger, både niveauet for sikkerhed og nem vedligeholdelse af din organisations databaser.
