A Microsoft SQL Server 2016 rendszergazdák számára két lehetőséget kínál a rendszer hitelesítésére: a Windows hitelesítési módja vagy a vegyes hitelesítési mód.
A Windows-hitelesítés azt jelenti, hogy az SQL Server csak a Windows felhasználónevét és jelszavát használva érvényesíti a felhasználó azonosítóját. Ha a felhasználó már hitelesített a Windows rendszeren, az SQL Server nem kéri a jelszót.
Vegyes mód azt jelenti, hogy az SQL Server lehetővé teszi a Windows hitelesítést és az SQL Server hitelesítést. Az SQL Server azonosítása olyan felhasználói bejelentkezéseket hoz létre, amelyek nem kapcsolódnak a Windows rendszerhez.
Hitelesítési alapismeretek
Az azonosítás a felhasználó vagy a számítógép személyazonosságának megerősítését jelenti. Az eljárás általában négy lépésből áll:
- A felhasználó személyazonosság iránti kérelmet nyújt be, általában egy felhasználónévvel.
- A rendszer kihívja a felhasználót a személyazonosságának igazolására. A leggyakoribb kihívás jelszó kérése.
- A felhasználó válaszol a kihívásra a kért bizonyíték, általában jelszó megadásával.
- A rendszer ellenőrzi, hogy a felhasználó elfogadható bizonyítékot szolgáltatott-e, például a jelszó ellenőrzését a helyi jelszóadatbázis vagy központi hitelesítési kiszolgáló használatával.
Az SQL Server hitelesítési módjainak megvitatására a kritikus pont a fenti negyedik lépés: az a pont, amellyel a rendszer igazolja a felhasználó identitásának igazolását. A hitelesítési mód kiválasztása határozza meg, hogy az SQL Server hogyan ellenőrizze a felhasználó jelszavát.
Az SQL Server hitelesítési módjairól
Nézzük meg ezt a két módot egy kicsit tovább:
A Windows-hitelesítési üzemmódban a felhasználóknak érvényes Windows-felhasználónevet és jelszót kell megadniuk az adatbázis-kiszolgáló eléréséhez. Ha ezt az üzemmódot választja, az SQL Server letiltja az SQL Server-specifikus bejelentkezési funkciót, és a felhasználó személyazonosságát csak a Windows-fiókja igazolja. Ezt az üzemmódot néha integrált biztonságnak nevezik, mivel az SQL Server a Windows-tól függ a hitelesítéshez.
A vegyes hitelesítési mód lehetővé teszi a Windows-hitelesítő adatok használatát, de kiegészíti azokat a helyi SQL Server felhasználói fiókokkal, amelyeket az adminisztrátor az SQL Server-ben létrehoz és karbantart. A felhasználó felhasználónevét és jelszavát az SQL Server tárolja, és a felhasználókat újra kell hitelesíteni minden egyes csatlakozáskor.
Hitelesítési mód kiválasztása
A Microsoft legjobb gyakorlatának ajánlása a Windows hitelesítési mód használata, ha lehetséges. A legfontosabb előny az, hogy ennek a módnak a használata lehetővé teszi, hogy központosíthassa a fiókkezelést az egész vállalathoz egyetlen helyen: az Active Directory. Ez drasztikusan csökkenti a hiba vagy a felügyelet esélyét. Mivel a felhasználó személyazonosságát a Windows igazolja, bizonyos Windows felhasználói és csoportos fiókok konfigurálhatók, hogy bejelentkezzenek az SQL Server rendszerbe. Továbbá a Windows hitelesítés titkosítást használ az SQL Server felhasználók hitelesítésére.
Az SQL Server hitelesítés viszont lehetővé teszi a felhasználónevek és a jelszavak áthaladását a hálózaton, így kevésbé biztonságosak. Ez a mód azonban jó választás lehet, ha a felhasználók különböző nem megbízható tartományokból, vagy esetleg kevésbé biztonságos internetes alkalmazásokból, például ASP.NET-ből csatlakoznak.
Például, fontolja meg azt a forgatókönyvet, amelyben a megbízható adatbázis-kezelő barátságtalanul elhagyja a szervezetét. Ha Windows-hitelesítési módot használ, akkor a DBA Active Directory-fiókjának letiltásával vagy eltávolításával automatikusan megszűnik a felhasználó hozzáférése.
Ha vegyes hitelesítési módot használ, nem csak a DBA Windows-fiókját kell letiltania, hanem minden egyes adatbázis-kiszolgáló helyi felhasználói listáit is meg kell fésülnie annak biztosítására, hogy ne legyenek helyi fiókok, amelyeken a DBA ismerheti a jelszót. Ez sok munka!
Összefoglalva, a választott mód befolyásolja mind a biztonság szintjét, mind pedig a szervezet adatbázisainak egyszerű karbantartását.