Microsoft SQL Server 2016 pakub administraatoritele kahte võimalust selle kohta, kuidas süsteem autenib kasutajaid: Windowsi autentimise režiim või segatud autentimisrežiim.
Windowsi autentimine tähendab, et SQL Server kinnitab kasutaja identiteedi, kasutades ainult tema Windowsi kasutajanime ja parooli. Kui Windowsi süsteem on juba kasutaja poolt kinnitanud, SQL Server ei taotle parooli.
Segurežiim tähendab, et SQL Server võimaldab nii Windowsi autentimist kui ka SQL Serveri autentimist. SQL Serveri autentimine loob Windowsi jaoks mitteseotud kasutajanimed.
Autentimise põhitõed
Autentimine on kasutaja või arvuti identiteedi kinnitamise protsess. Protsess koosneb tavaliselt neljast etapist:
- Kasutaja esitab identiteeditaotluse, tavaliselt kasutajanime andmisega.
- Süsteem kutsub kasutajaid oma identiteedi tõestama. Kõige tavalisem väljakutse on parooli taotlus.
- Kasutaja reageerib väljakutsele, esitades nõutud tõendi, tavaliselt parooli.
- Süsteem kontrollib, kas kasutaja on esitanud vastuvõetava tõendi näiteks parooli kontrollimisega kohaliku parooli andmebaasi või tsentraliseeritud autentimisserveri kasutamise abil.
Meie SQL Serveri autentimisrežiimide arutamisel on kriitiline punkt neljandas etapis: punkt, kus süsteem kontrollib kasutaja identiteeditõendit. Autentimisrežiimi valik määrab, kus SQL Server läheb kasutaja parooli kontrollimiseks.
SQL Serveri autentimise režiimide kohta
Vaatame mõlemat režiimi natuke kaugemale:
Windowsi autentimise režiim nõuab, et kasutajad esitaksid andmebaasiserverile juurdepääsuks kehtiva Windowsi kasutajanime ja parooli. Kui see režiim on valitud, keelab SQL Server SQL Serverile spetsiifilise sisselogimisfunktsiooni ja kasutaja identiteet kinnitatakse ainult tema Windowsi konto kaudu. Seda režiimi nimetatakse mõnikord integreeritud turbesse, kuna SQL Serveri sõltuvus Windowsist autentimiseks on.
Segatud autentimisrežiim võimaldab kasutada Windowsi mandaate, kuid täiendab neid kohalike SQL Serveri kasutajakontodega , mille administraator SQL Serveris loob ja haldab. Kasutaja kasutajanimi ja parool on mõlemad salvestatud SQL Serverisse ja kasutajaid tuleb iga kord, kui nad ühendavad, uuesti autentimiseks.
Autentimisrežiimi valimine
Microsofti parim tava soovitus on Windowsi autentimisrežiimi kasutada alati, kui see on võimalik. Peamine kasu on see, et selle režiimi kasutamine võimaldab teil koondada oma ettevõtte kogu kontohaldust ühes kohas: Active Directory. See vähendab dramaatiliselt vigu ja järelevalvet. Kuna Windowsi kasutajatunnust kinnitab, saab konkreetseid Windowsi kasutaja- ja grupikontodeid konfigureerida SQL Serverisse sisse logima. Lisaks sellele kasutab Windowsi autentimine SQL Serveri kasutajate autentimiseks krüptimist.
SQL Serveri autentimine võimaldab aga kasutajanimesid ja paroole üle kogu võrgu edastada, muutes need vähem turvaliseks. See režiim võib olla hea valik, aga kui kasutajad ühendavad erinevatest usaldamatutest domeenidest või kui on kasutusel vähem turvalised Interneti-rakendused, näiteks ASP.NET.
Näiteks kaaluge stsenaariumi, mille puhul usaldusväärse andmebaasi administraator jätab teie organisatsioonist ebasõbralikud tingimused. Kui kasutate Windowsi autentimisrežiimi, tühistab selle kasutaja juurdepääs automaatselt, kui lülitate DBA aktiivse kataloogi konto välja või eemaldate.
Kui kasutate sega autentimise režiimi, peate mitte ainult mitteblokeerima DBA Windowsi konto, vaid peate ka iga andmebaasiserveri kohalike kasutajate loendite abil kammima, tagamaks, et kohalikke kontosid pole olemas, kus DBA saab parooli teada. See on palju tööd!
Kokkuvõttes mõjutab teie valitud režiim nii teie turvalisuse taset kui ka teie organisatsiooni andmebaaside hõlpsat hooldust.