Microsoft SQL Server 2016 piedāvā administratoriem divas iespējas, kā ieviest sistēmas autentificēšanu lietotājiem: Windows autentifikācijas režīmu vai jauktu autentifikācijas režīmu.
Windows autentifikācija nozīmē, ka SQL Server validē lietotāja identitāti, izmantojot tikai viņa Windows lietotājvārdu un paroli. Ja lietotājs jau ir autentificējis Windows sistēma, SQL Server nepieprasa paroli.
Jaukts režīms nozīmē, ka SQL Server nodrošina gan Windows autentifikāciju, gan SQL Server autentifikāciju. SQL Server autentifikācija izveido lietotājvārdus, kas nav saistīti ar Windows.
Autentifikācijas pamati
Autentifikācija ir lietotāja vai datora identitātes apstiprināšanas process. Process parasti sastāv no četriem posmiem:
- Lietotājs iesniedz identitātes pretenziju, parasti sniedzot lietotājvārdu.
- Sistēma izaicina lietotāju pierādīt savu identitāti. Visbiežāk sastopamais uzdevums ir paroles pieprasījums.
- Lietotājs reaģē uz problēmu, sniedzot prasīto pierādījumu, parasti paroli.
- Sistēma pārbauda, vai lietotājs ir iesniedzis pieņemamus pierādījumus, piemēram, pārbaudot paroli vietējās paroles datu bāzē vai izmantojot centralizētu autentifikācijas serveri.
Mūsu diskusijā par SQL Server autentifikācijas režīmiem kritiskais punkts ir ceturtajā pakāpē iepriekš: punkts, kurā sistēma verificē lietotāja identitātes pierādījumu. Autentifikācijas režīma izvēle nosaka, kur SQL Server iet, lai pārbaudītu lietotāja paroli.
Par SQL Server autentifikācijas režīmiem
Izpētīsim šos divus režīmus nedaudz tālāk:
Windows autentifikācijas režīmā lietotājiem ir jānodrošina derīgs Windows lietotājvārds un parole, lai piekļūtu datu bāzes serverim. Ja šis režīms ir izvēlēts, SQL Server atspējo SQL servera pieteikšanās funkcionalitāti, un lietotāja identitāte tiek apstiprināta tikai ar viņa Windows kontu. Šo režīmu dažkārt sauc par integrētu drošību, jo SQL Server ir atkarīgs no autentifikācijas.
Jauktais autentifikācijas režīms ļauj izmantot Windows akreditācijas datus, bet papildina tos ar vietējiem SQL Server lietotāju kontiem , kurus administrators izveido un uztur SQL Server. Lietotāja lietotājvārds un parole tiek glabāti SQL Server, un lietotājiem ir atkārtoti jāapstiprina katru reizi, kad viņi izveido savienojumu.
Autentifikācijas režīma izvēle
Microsoft labākās prakses ieteikums ir, ja vien iespējams, izmantot Windows autentifikācijas režīmu. Galvenais ieguvums ir tas, ka šī režīma izmantošana ļauj centralizēt visu jūsu uzņēmuma kontu administrēšanu vienā vietā: Active Directory. Tas ievērojami samazina kļūdu vai pārraudzības iespējas. Tā kā lietotāja identitāti apstiprina Windows, konkrētus Windows lietotāja un grupas kontus var konfigurēt, lai pieteiktos SQL Server. Turklāt Windows autentifikācija izmanto šifrēšanu, lai autentificētu SQL Server lietotājus.
SQL Server autentifikācija, no otras puses, ļauj lietotājvārdus un paroles nodot visā tīklā, padarot tās mazāk drošas. Šis režīms var būt laba izvēle, tomēr, ja lietotāji pieslēdzas no dažādiem neuzticamiem domēniem vai, ja tiek izmantotas mazāk drošas interneta lietojumprogrammas, piemēram, ASP.NET.
Piemēram, apsveriet scenāriju, kurā uzticamu datu bāzes administrators atstāj jūsu organizāciju nelabvēlīgos apstākļos. Ja jūs izmantojat Windows autentifikācijas režīmu, atspējojot šī lietotāja piekļuvi notiek automātiski, ja atspējojat vai noņemat DBA Active Directory kontu.
Ja izmantojat jauktā autentifikācijas režīmu, jums ne tikai jāatspējo DBA Windows konts, bet arī katram datu bāzes serverim ir jāapgriež vietējie lietotāju saraksti, lai nodrošinātu, ka vietējiem kontiem nepastāv, kur DBA var uzzināt paroli. Tas ir daudz darba!
Kopumā izvēlētais režīms ietekmē gan organizācijas drošības datu līmeni, gan arī jūsu organizācijas datubāzu uzturēšanas vieglumu.