Microsoft SQL Server 2016 tarjoaa järjestelmänvalvojille kaksi valintaa järjestelmän todentamisen käyttäjille: Windows-todennustila tai sekamuotoinen todennustila.
Windows-todennus tarkoittaa sitä, että SQL Server validoi käyttäjän identiteetin käyttämällä vain hänen Windows-käyttäjänimeä ja salasanaa. Jos käyttäjä on jo todennut Windows-järjestelmän, SQL Server ei pyydä salasanaa.
Sekoitettu tila tarkoittaa, että SQL Server mahdollistaa sekä Windows-todennuksen että SQL Server-todennuksen. SQL Server -todennus luo käyttäjätunnukset, jotka eivät liity Windowsiin.
Todennus perusteet
Todennus on prosessi, jolla vahvistetaan käyttäjän tai tietokoneen henkilöllisyys. Prosessi koostuu tavallisesti neljästä vaiheesta:
-
Käyttäjä esittää vaatimuksen henkilöllisyydestä, yleensä antamalla käyttäjätunnuksen.
-
Järjestelmä haastaa käyttäjän todistaa henkilöllisyytensä. Yleisin haaste on salasanan pyytäminen.
-
Käyttäjä vastaa haasteeseen antamalla pyydetyt todisteet, yleensä salasanan.
-
Järjestelmä varmistaa, että käyttäjä on toimittanut hyväksyttäviä todisteita esimerkiksi tarkistamalla salasanan paikalliseen salasanatietokantaan tai käyttämällä keskitettyä autentikointipalvelinta.
SQL-palvelimen autentikointitiloja koskevassa keskustelussa kriittinen kohta on edellä neljännessä vaiheessa: piste, jolla järjestelmä tarkistaa käyttäjän todisteen identiteetistä. Todentamismoodin valinta määrää missä SQL Server menee tarkistamaan käyttäjän salasanan.
SQL Server -todennustilat
Tutkitaan näitä kahta tilaa hieman kauemmas:
Windows-todennustila edellyttää, että käyttäjät antavat kelvollisen Windows-käyttäjätunnuksen ja salasanan tietokantapalvelimelle. Jos tämä tila on valittu, SQL Server poistaa käytöstä SQL Server -tyyppisen kirjautumistoiminnon, ja käyttäjän henkilöllisyys vahvistetaan pelkästään Windows-tilin kautta. Tätä toimintoa kutsutaan joskus nimellä integroitu turvallisuus koska SQL Serverin riippuvuus Windowsista autentikointia varten.
Sekvensointitila mahdollistaa Windows-käyttöoikeuksien käytön, mutta täydentää niitä paikallisilla SQL Server -käyttäjätileillä, joita ylläpitäjä luo ja ylläpitää SQL Serverissa. Käyttäjän käyttäjätunnus ja salasana tallennetaan sekä SQL Serverissa, että käyttäjät on aina todennettava uudelleen aina, kun he muodostavat yhteyden.
Todentamistilan valitseminen
Microsoftin parhaiden käytäntöjen suositus on käyttää Windows-todennustilaa mahdollisuuksien mukaan. Tärkein etu on, että tämän tilan käyttö mahdollistaa keskitetyn tilinhallinnan koko yrityksellesi samassa paikassa: Active Directory. Tämä vähentää dramaattisesti virheiden tai valvonnan mahdollisuuksia. Koska Windows vahvistaa käyttäjän identiteetin, tietyt Windows-käyttäjät ja ryhmätilit voidaan määrittää kirjautumaan SQL Server -palveluun. Lisäksi Windows-autentikointi käyttää salausta todentamaan SQL Server-käyttäjät.
SQL Server-todennuksen avulla käyttäjätunnukset ja salasanat voidaan siirtää koko verkon kautta, jolloin ne eivät ole yhtä turvallisia. Tämä tila voi kuitenkin olla hyvä valinta, jos käyttäjät yhdistävät eri luottamuksellisia verkkotunnuksia tai mahdollisesti vähemmän turvallisia Internet-sovelluksia, kuten ASP.NET.Tarkastele esimerkiksi skenaarioa, jossa luotettu tietokannan ylläpitäjä jättää organisaationne epäystävällisiksi. Jos käytät Windows-todennustilaa, käyttäjän käyttöoikeuksien peruuttaminen tapahtuu automaattisesti, kun poistat tai poistat DBA: n Active Directory -tilin. Jos käytät sekamuotoista todentamistilaa, sinun ei tarvitse vain poistaa DBA: n Windows-tiliä, mutta sinun on myös vältettävä paikallisten käyttäjien luetteloiden jokaisella tietokantapalvelimella että paikallisia tilejä ei ole olemassa, jolloin DBA voi tietää salasanan. Se on paljon työtä! Yhteenvetona, valitsemasi tila vaikuttaa sekä turvallisuustasoon että organisaatiosi tietokantojen ylläpitämiseen.
