Microsoft SQL-Servilo 2016 ofertas al administrantoj du elektojn por efektivigi kiel la sistemo aŭtentigos uzantojn: Windows aŭtentika reĝimo aŭ miksita aŭtentika reĝimo.
Fenestra aŭtentikado signifas, ke SQL-servilo validigas identecon de uzanto uzante nur sian uzantnomon kaj pasvorton de Windows. Se la uzanto jam estis aŭtentigita de la sistemo de Windows, SQL Server ne petas pasvorton.
Miksita reĝimo signifas, ke SQL-Servilo ebligas ambaŭ aŭtentikajn Fenestrojn kaj SQL-servilon. SQLa Servilo-aŭtentigo kreas uzantajn ensalutojn ne rilatigitaj al Vindozo.
Aŭtentikaj Bazaj
Aŭtentigo estas la procezo de konfirmado de uzanto aŭ komputila identeco. La procezo kutime konsistas el kvar paŝoj:
- La uzanto faras aserton de identeco, kutime per donanta uzantnomon.
- La sistemo defias al la uzanto pruvi sian identecon. La plej komuna defio estas peto por pasvorto.
- La uzanto respondas al la defio provizante la petitan pruvon, kutime pasvorton.
- La sistemo kontrolas, ke la uzanto provizis akceptebla pruvo per, ekzemple, kontrolanta la pasvorton kontraŭ loka pasvorta datumbazo aŭ uzanta centralizitan servilon.
Por nia diskuto pri la modifoj de aŭtentika SQL Server, la kritika punkto estas en la kvara paŝo supre: la punkto, en kiu la sistemo kontrolas la pruvon de identeco de la uzanto. La elekto de aŭtentika reĝimo determinas kie SQL-servilo estas por kontroli la pasvorton de la uzanto.
Pri SQLa Servilo Aŭtentikaj Modoj
Ni esploru ĉi tiujn du modojn iomete pli:
La aŭtomata reĝimo de Windows bezonas al uzantoj provizi validan uzantnomon kaj pasvorton por aliri al la datumbaza servilo. Se ĉi tiu reĝimo estas elektita, SQL-servilo malŝaltas la funkciojn de ensalutado de SQL-servilo, kaj la identeco de la uzanto konfirmas nur per sia konto de Windows. Ĉi tiu reĝimo iam estas nomata kiel integra sekureco pro la dependeco de SQL Server sur Vindozo por aŭtentika.
Miksita aŭtentika reĝimo permesas uzadon de Windows-credenciales sed kompletigas ilin kun uzantoj de lokaj SQL-serviloj, kiujn la administranto kreas kaj konservas ene de SQL-Servilo. Uzantnomo kaj pasvorto de la uzanto ambaŭ estas konservitaj en SQL-servilo, kaj uzantoj devas esti re-aŭtentikigitaj ĉiufoje kiam ili konektas.
Elektante aŭtentikan modon
La bona praktika rekomendo de Microsoft estas uzi modon de aŭtentika Vindozo kiam ajn eblas. La ĉefa avantaĝo estas, ke la uzo de ĉi tiu reĝimo ebligas al vi centraligi administradon de rakontoj por via tuta entrepreno en sola loko: Aktiva Dosierujo. Ĉi tio draste reduktas la ŝancojn de eraro aŭ kontrolo. Ĉar la identeco de la uzanto estas konfirmita de Vindozo, specifaj uzantoj de Windows kaj grupaj kontoj povas esti agorditaj por ensaluti al SQL-servilo. Plie, Windows-aŭtentigo uzas kodadon por aŭtentigi la uzantojn de SQL-servilo.
SQL-servilo-aŭtentigo, aliflanke, permesas al la uzantoj kaj pasvortoj esti pasitaj tra la reto, farante ilin malpli sekura. Ĉi tiu reĝimo povas esti bona elekto, tamen, se uzantoj konektas de malsamaj ne-konfiditaj domajnoj aŭ kiam eble malpli sekuraj interretaj aplikoj estas uzataj, kiel ekzemple ASP.NET.
Ekzemple, konsideras la scenon, en kiu fidinda datumbaza administranto lasas vian organizon sur nefidektajn terminojn. Se vi uzas la sistemon de aŭtentika sistemo de Windows, revokante ke la aliro de la uzanto okazas aŭtomate kiam vi malŝaltas aŭ forigas la konton de Aktiva Dosierujo de DBA.
Se vi uzas miksitan aŭtentokodon, vi ne nur devas malŝalti la konton de la DBA-Windows, sed vi ankaŭ devas kombini tra la lokaj uzantoj-listoj en ĉiu datumbaza servilo por certigi, ke ne ekzistas lokaj kontoj, en kiuj la DBA eble konas la pasvorton. Jen multe da laboro!
En resumo, la moduso, kiun vi elektas efikas, kaj la nivelon de sekureco kaj la facileco de bontenado de la datumbazoj de via organizaĵo.