Microsoft SQL Server 2016 tarjoaa järjestelmänvalvojille kaksi valintaa järjestelmän todentamisen käyttäjille: Windows-todennustila tai sekamuotoinen todennustila.
Windows-autentikointi tarkoittaa sitä, että SQL Server validoi käyttäjän identiteetin vain Windowsin käyttäjänimen ja salasanan avulla. Jos käyttäjä on jo todennut Windows-järjestelmän, SQL Server ei pyydä salasanaa.
Mixed mode tarkoittaa, että SQL Server mahdollistaa sekä Windows-todennuksen että SQL Server-todennuksen. SQL Server -todennus luo käyttäjätunnukset, jotka eivät liity Windowsiin.
Todennus perusteet
Todennus on prosessi, jolla vahvistetaan käyttäjän tai tietokoneen henkilöllisyys. Prosessi koostuu tavallisesti neljästä vaiheesta:
- Käyttäjä esittää vaatimuksen henkilöllisyydestä, yleensä antamalla käyttäjätunnuksen.
- Järjestelmä haastaa käyttäjän todistaa henkilöllisyytensä. Yleisin haaste on salasanan pyytäminen.
- Käyttäjä vastaa haasteeseen antamalla pyydetyt todisteet, yleensä salasanan.
- Järjestelmä varmistaa, että käyttäjä on toimittanut hyväksyttäviä todisteita esimerkiksi tarkistamalla salasanan paikalliseen salasanatietokantaan tai käyttämällä keskitettyä autentikointipalvelinta.
SQL-palvelimen autentikointitiloja koskevassa keskustelussa kriittinen kohta on edellä neljännessä vaiheessa: piste, jolla järjestelmä tarkistaa käyttäjän todisteen identiteetistä. Autentikointitilan valinta määrää, missä SQL Server menee tarkistamaan käyttäjän salasana.
SQL Server -todennustilat
Tutkitaan näitä kahta tilaa hieman kauemmas:
Windowsin autentikointitila edellyttää, että käyttäjät antavat kelvollisen Windows-käyttäjänimen ja salasanan pääsyä tietokantapalvelimeen. Jos tämä tila on valittu, SQL Server poistaa käytöstä SQL Server -tyyppisen kirjautumistoiminnon, ja käyttäjän henkilöllisyys vahvistetaan pelkästään Windows-tilin kautta. Tätä toimintoa kutsutaan joskus nimellä integroitu tietoturva, koska SQL Serverin riippuvuus Windowsista on todennettu.
Mixed authentication -tila mahdollistaa Windows-käyttöoikeuksien käyttämisen, mutta täydentää niitä paikallisilla SQL Server -käyttäjätileillä , jotka järjestelmänvalvoja luo ja ylläpitää SQL Serverissa. Käyttäjän käyttäjätunnus ja salasana tallennetaan sekä SQL Serverissa, että käyttäjät on aina todennettava uudelleen aina, kun he muodostavat yhteyden.
Todentamistilan valitseminen
Microsoftin parhaiden käytäntöjen suositus on käyttää Windows-todennustilaa mahdollisuuksien mukaan. Tärkein etu on, että tämän tilan käyttö mahdollistaa keskitetyn tilinhallinnan koko yrityksellesi samassa paikassa: Active Directory. Tämä vähentää dramaattisesti virheiden tai valvonnan mahdollisuuksia. Koska Windows vahvistaa käyttäjän identiteetin, tietyt Windows-käyttäjät ja ryhmätilit voidaan määrittää kirjautumaan SQL Server -palveluun. Lisäksi Windows-autentikointi käyttää salausta todentamaan SQL Server-käyttäjät.
SQL Server-todennuksen avulla käyttäjätunnukset ja salasanat voidaan siirtää koko verkon kautta, jolloin ne eivät ole yhtä turvallisia. Tämä tila voi kuitenkin olla hyvä valinta, jos käyttäjät yhdistävät eri luottamuksellisia verkkotunnuksia tai mahdollisesti vähemmän turvallisia Internet-sovelluksia, kuten ASP.NET.
Tarkastele esimerkiksi skenaarioa, jossa luotettu tietokannan ylläpitäjä jättää organisaationne epäystävällisiksi. Jos käytät Windows-todennustilaa, käyttäjän käyttöoikeuksien peruuttaminen tapahtuu automaattisesti, kun poistat tai poistat DBA: n Active Directory -tilin.
Jos käytät sekamuotoista todentamistilaa, sinun ei tarvitse vain poistaa DBA: n Windows-tiliä, mutta sinun on myös vältettävä kunkin tietokantapalvelimen paikallisia käyttäjätietoja varmistaaksesi, että paikallisia tilejä ei ole, ja DBA voi tietää salasanan. Se on paljon työtä!
Yhteenvetona, valitsemasi tila vaikuttaa sekä turvallisuustasoon että organisaatiosi tietokantojen ylläpitämiseen.