Výběr režimu ověřování serveru SQL Server

Microsoft SQL Server 2016 nabízí administrátorům dvě možnosti, jak implementovat, jak systém ověří uživatele: Režim autentizace systému Windows nebo režim smíšeného ověřování.

Ověření systému Windows znamená, že SQL Server ověřuje totožnost uživatele pomocí pouze jeho uživatelského jména a hesla systému Windows. Pokud uživatel již byl ověřen systémem Windows, SQL Server nepožaduje heslo.

Smíšený režim znamená, že SQL Server umožňuje ověřování systému Windows a ověřování pomocí serveru SQL Server. Ověření SQL Server vytváří přihlášení uživatele nesouvisející se systémem Windows.

Základy ověřování

Ověřování je proces potvrzení identity uživatele nebo počítače. Proces obvykle sestává ze čtyř kroků:

  1. Uživatel uplatňuje nárok na totožnost, obvykle poskytnutím uživatelského jména.
  2. Systém vyzývá uživatele, aby dokázal svou identitu. Nejčastějším problémem je požadavek na heslo.
  3. Uživatel reaguje na výzvu zadáním požadovaného důkazu, obvykle heslem.
  4. Systém ověřuje, zda uživatel poskytl přijatelný důkaz, například kontrolou hesla proti místní databázi hesel nebo pomocí centralizovaného ověřovacího serveru.

Pro naši diskusi o autentizačních režimech SQL Server je kritický bod ve čtvrtém kroku výše: bod, ve kterém systém ověřuje důkaz totožnosti uživatele. Volba režimu ověřování určuje, kde SQL Server ověří uživatelské heslo.

O režimech ověřování SQL Server

Prozkoumejte tyto dva režimy trochu dále:

Režim ověřování systému Windows vyžaduje, aby uživatelé poskytli platné uživatelské jméno a heslo pro přístup k databázovému serveru. Pokud je vybrán tento režim, SQL Server zakáže funkci přihlášení specifickou pro SQL Server a totožnost uživatele je potvrzena výhradně prostřednictvím jeho účtu Windows. Tento režim je někdy označován jako integrované zabezpečení kvůli závislostem serveru SQL na ověřování systému Windows.

Smíšený režim ověřování umožňuje použití pověření Windows, ale doplňuje je o místní uživatelské účty serveru SQL Server, které správce vytváří a udržuje v rámci serveru SQL Server. Uživatelské jméno a heslo uživatele jsou uloženy v serveru SQL Server a uživatelé musí být znovu ověřeni při každém připojení.

Výběr režimu ověřování

Nejlepší doporučení společnosti Microsoft je používat režim ověřování systému Windows vždy, když je to možné. Hlavní výhodou je, že použití tohoto režimu umožňuje centralizovat správu účtu pro celý podnik na jednom místě: Active Directory. To dramaticky snižuje pravděpodobnost chyb nebo dohledu. Protože identita uživatele potvrzuje systém Windows, mohou být na serveru SQL Server konfigurovány konkrétní uživatelské a skupinové účty systému Windows. Dále ověřování pomocí systému Windows používá šifrování pro ověření uživatelů serveru SQL Server.

Ověřování SQL Serveru na druhé straně umožňuje, aby uživatelská jména a hesla procházely po celé síti, čímž jsou méně zabezpečené. Tento režim může být dobrou volbou, pokud se uživatelé připojují z různých nedůvěryhodných domén nebo když se používají méně bezpečná internetové aplikace, například ASP.NET.

Zvažte například scénář, ve kterém administrátor důvěryhodných databází opustí vaši organizaci za nepříznivých podmínek. Používáte-li režim ověřování systému Windows, odvolání přístupu k tomuto uživateli se provádí automaticky při zakázání nebo odebrání účtu Active Directory v systému DBA.

Používáte-li režim smíšeného ověřování, nemusíte pouze zakazovat účet systému Windows DBA, ale musíte také provést skenování místních seznamů uživatelů na každém databázovém serveru, abyste zajistili, že neexistují žádné místní účty, v nichž by heslo DBA znalé. To je spousta práce!

Stručně řečeno, zvolený režim ovlivňuje jak úroveň zabezpečení, tak snadnou údržbu databází vaší organizace.