Microsoft SQL Server 2016 ponúka administrátorom dve možnosti pre implementáciu spôsobu autentizácie používateľov: Režim autentifikácie systému Windows alebo režim zmiešaného autentifikácie.
Overenie pomocou systému Windows znamená, že SQL Server overuje totožnosť používateľa iba pomocou svojho používateľského mena a hesla systému Windows. Ak používateľ už bol overený systémom Windows, SQL Server nepožiada o heslo.
Zmiešaný režim znamená, že server SQL Server umožňuje autentifikáciu systému Windows a overovanie pomocou servera SQL Server. Overenie SQL Server vytvára prihlasovacie údaje používateľov nesúvisiace so systémom Windows.
Základy overovania
Overenie je proces potvrdzujúci totožnosť používateľa alebo počítača. Proces spravidla pozostáva zo štyroch krokov:
- Používateľ uplatňuje nárok na totožnosť, zvyčajne poskytnutím používateľského mena.
- Systém núti používateľa dokázať svoju totožnosť. Najčastejšou výzvou je požiadavka na heslo.
- Používateľ odpovedá na výzvu tým, že poskytne požadovaný dôkaz, zvyčajne heslo.
- Systém overuje, či používateľ poskytol prijateľný dôkaz napríklad kontrolou hesla proti lokálnej databáze hesiel alebo pomocou centralizovaného autentifikačného servera.
Pre našu diskusiu o režimoch autentifikácie SQL Server je kritický bod v štvrtom kroku vyššie: bod, v ktorom systém overuje dôkaz o totožnosti používateľa. Voľba režimu autentifikácie určuje, kde SQL Server ide overiť heslo používateľa.
O režimoch overovania SQL Server
Pozrime sa na tieto dva režimy trochu ďalej:
Režim autentifikácie systému Windows vyžaduje, aby používatelia poskytli platné používateľské meno a heslo systému Windows na prístup k databázovému serveru. Ak je vybratý tento režim, SQL Server zakáže špecifické prihlasovacie funkcie služby SQL Server a totožnosť používateľa je potvrdená výhradne prostredníctvom jeho účtu Windows. Tento režim sa niekedy označuje ako integrovaná bezpečnosť kvôli závislosti servera SQL na autentifikácii systému Windows.
Režim zmiešanej autentifikácie umožňuje používanie poverenia systému Windows, ale dopĺňa ich pomocou lokálnych používateľských účtov SQL Server, ktoré administrátor vytvára a udržiava v rámci SQL Serveru. Používateľské meno používateľa a heslo sú uložené v SQL Serveri a používatelia musia byť opätovne autentizovaní pri každom pripojení.
Výber režimu overovania
Najlepšie odporúčanie spoločnosti Microsoft je používať režim overovania v systéme Windows vždy, keď je to možné. Hlavnou výhodou je, že použitie tohto režimu vám umožňuje centralizovať správu účtu pre celý podnik na jednom mieste: Active Directory. To dramaticky znižuje riziko chyby alebo dohľadu. Pretože totožnosť používateľa potvrdzuje systém Windows, môžu byť nakonfigurované konkrétne používateľské a skupinové účty systému Windows na prihlásenie na server SQL Server. Ďalej autentifikácia systému Windows používa šifrovanie na autentifikáciu používateľov servera SQL Server.
Na druhej strane autentifikácia SQL Serverom umožňuje, aby sa používateľské mená a heslá preniesli po celej sieti, čím by boli menej zabezpečené. Tento režim môže byť dobrou voľbou, ak sa používatelia pripájajú z rôznych nedôveryhodných domén alebo ak sa používajú potenciálne menej bezpečné internetové aplikácie, napríklad ASP.NET.
Zvážte napríklad scenár, v ktorom dôveryhodný administrátor databázy opustí vašu organizáciu za neprijateľných podmienok. Ak používate režim autentifikácie systému Windows, zrušenie prístupu používateľa sa uskutoční automaticky, keď zakážete alebo odstránite konto služby Active Directory v službe DBA.
Ak používate režim zmiešaného overovania, nemusíte len zakázať účet systému Windows DBA, ale musíte tiež skombinovať lokálne zoznamy používateľov na každom databázovom serveri, aby ste sa uistili, že neexistujú žiadne lokálne účty, v ktorých môže DBA heslo poznať. To je veľa práce!
Stručne povedané, zvolený režim ovplyvňuje úroveň bezpečnosti a jednoduchosť údržby databáz vašej organizácie.