"Microsoft SQL Server 2016" siūlo administratoriui du pasirinkimus, kaip įdiegti sistemos autentifikavimą vartotojams: "Windows" autentifikavimo režimą arba mišrų autentifikavimo režimą.
"Windows" autentifikavimas reiškia, kad "SQL Server" patvirtina vartotojo tapatybę, naudodamas tik savo Windows vartotojo vardą ir slaptažodį. Jei vartotojas jau yra autentifikuotas Windows sistema, SQL Server neprašo slaptažodžio.
Mišrus režimas reiškia, kad "SQL Server" įgalina ir "Windows" autentifikavimą, ir "SQL Server" autentifikavimą. SQL Server autentifikavimas sukuria vartotojo prisijungimus, nesusijusius su Windows.
Autentifikavimo pagrindai
Autentifikavimas - vartotojo ar kompiuterio tapatybės patvirtinimo procesas. Procesas paprastai susideda iš keturių etapų:
- Vartotojas pateikia prašymą dėl tapatybės, paprastai pateikdamas naudotojo vardą.
- Sistema užginčija naudotoją įrodyti savo tapatybę. Dažniausiai iššūkis yra slaptažodžio užklausa.
- Vartotojas atsako į užduotį pateikdamas prašomą įrodymą, paprastai slaptažodį.
- Sistema patikrina, ar vartotojas pateikia priimtiną įrodymą, pvz., Patikrinęs slaptažodį prieš vietinių slaptažodžių duomenų bazę arba naudodamas centralizuotą autentifikavimo serverį.
Kalbant apie SQL Server autentifikavimo režimus, kritinis taškas yra ketvirtame etape: taškas, kuriuo sistema patikrina vartotojo tapatybės įrodymą. Autentifikavimo režimo pasirinkimas nustato, kur SQL Server eina tikrinti vartotojo slaptažodį.
Apie SQL Server autentifikavimo režimus
Leiskite šiek tiek toliau išnagrinėti šiuos du režimus:
Windows autentifikavimo režimu reikalaujama, kad naudotojai pateiktų galiojančią "Windows" vartotojo vardą ir slaptažodį, kad galėtų prisijungti prie duomenų bazės serverio. Pasirinkus šį režimą, SQL Server išjungia SQL serverio prisijungimo funkciją, o vartotojo tapatybė patvirtinama tik per jo "Windows" paskyrą. Šis būdas kartais vadinamas integruotu saugumu, nes "SQL Server" priklauso nuo "Windows" autentifikavimo.
Mišrus autentifikavimo režimas leidžia naudoti "Windows" kredencialus, bet papildo juos vietinėmis SQL Server vartotojų abonementais , kuriuos administratorius sukuria ir palaiko "SQL Server". Vartotojo vardas ir slaptažodis yra saugomi SQL Serveryje, o vartotojai turi būti pakartotinai autentifikuojami kiekvieną kartą, kai jie prisijungia.
Autentifikavimo režimo pasirinkimas
"Microsoft" geriausios praktikos rekomendacija yra naudoti "Windows" autentifikavimo režimą, kai tik įmanoma. Pagrindinis privalumas yra tai, kad šio režimo naudojimas leidžia centralizuoti visų jūsų įmonės paskyros administravimą vienoje vietoje: "Active Directory". Tai žymiai sumažina klaidų ar priežiūros tikimybę. Kadangi vartotojo tapatybę patvirtina "Windows", tam tikros "Windows" vartotojo ir grupės paskyros gali būti konfigūruotos prisijungti prie "SQL Server". Be to, "Windows" autentifikavimas naudojamas šifravimui, kad autentifikuotų "SQL Server" vartotojus.
Kita vertus, "SQL Server" autentifikavimas leidžia perduoti vartotojo vardus ir slaptažodžius visame tinkle, todėl jie yra mažiau saugūs. Šis režimas gali būti geras pasirinkimas, tačiau jei vartotojai jungiasi iš skirtingų nepatikimų domenų arba kai naudojamos mažiau saugios interneto programos, pvz., ASP.NET.
Pavyzdžiui, apsvarstykite scenarijų, kuriame patikimas duomenų bazės administratorius iš jūsų organizacijos nepalankiomis sąlygomis. Jei naudojate "Windows" autentifikavimo režimą, atšaukiant šio vartotojo prieigą automatiškai, kai išjungiate arba pašalinsite DBA "Active Directory" paskyrą.
Jei naudojate mišrų autentifikavimo režimą, ne tik turite išjungti "DBA" "Windows" paskyrą, bet taip pat turite atsikratyti vietinių vartotojų sąrašų kiekviename duomenų bazių serveryje, kad įsitikintumėte, jog nėra vietos sąskaitų, kuriose DBA gali žinoti slaptažodį. Tai daug darbo!
Apibendrinant, pasirinktas režimas veikia tiek saugumo lygį, tiek jūsų organizacijos duomenų bazių palaikymo paprastumą.