Microsoft SQL Server 2016 tilbyr administratorer to valg for å implementere hvordan systemet vil autentisere brukere: Windows-autentiseringsmodus eller blandet autentiseringsmodus.
Windows-godkjenning betyr at SQL Server validerer en brukers identitet ved hjelp av bare sitt Windows brukernavn og passord. Hvis brukeren allerede er autentisert av Windows-systemet, ber SQL Server ikke om et passord.
Blandet modus betyr at SQL Server muliggjør både Windows-godkjenning og SQL Server-godkjenning. SQL Server-autentisering skaper brukerlogg uten tilknytning til Windows.
Grunnleggende godkjenning
Autentisering er prosessen med å bekrefte en bruker eller datamaskinens identitet. Prosessen består vanligvis av fire trinn:
-
Brukeren gjør et krav om identitet, vanligvis ved å gi et brukernavn.
-
Systemet utfordrer brukeren til å bevise sin identitet. Den vanligste utfordringen er en forespørsel om et passord.
-
Brukeren reagerer på utfordringen ved å gi det etterspurte beviset, vanligvis et passord.
-
Systemet bekrefter at brukeren har gitt akseptabelt bevis ved for eksempel å sjekke passordet mot en lokal passorddatabase eller ved hjelp av en sentralisert autentiseringsserver.
For vår diskusjon om SQL Server-autentiseringsmodi er det kritiske punktet i fjerde trinn over: punktet hvor systemet verifiserer brukerens identitetsbevis. Valget av en autentiseringsmodus bestemmer hvor SQL Server går for å verifisere brukerens passord.
Om SQL Server Authentication Modes
La oss utforske disse to modi litt lenger:
Windows autentiseringsmodus krever at brukerne oppgir et gyldig Windows-brukernavn og passord for å få tilgang til databaseserveren. Hvis denne modusen er valgt, deaktiverer SQL Server den SQL Server-spesifikke påloggingsfunksjonalen, og brukerens identitet er bekreftet utelukkende via sin Windows-konto. Denne modusen kalles iblant integrert sikkerhet på grunn av SQL Servers avhengighet av Windows for godkjenning.
Blandet autentiseringsmodus tillater bruk av Windows-legitimasjon, men supplerer dem med lokale SQL Server-brukerkontoer som administratoren oppretter og vedlikeholder i SQL Server. Brukerens brukernavn og passord lagres begge i SQL Server, og brukerne må godkjennes hver gang de kobles til.
Velger en godkjenningsmodus
Microsofts beste praksis anbefaling er å bruke Windows autentiseringsmodus når det er mulig. Hovedfordelen er at bruken av denne modusen gjør det mulig å sentralisere kontoadministrasjon for hele bedriften på et enkelt sted: Active Directory. Dette reduserer sjansene for feil eller tilsyn dramatisk. Fordi brukerens identitet er bekreftet av Windows, kan bestemte Windows-bruker- og gruppekontoer konfigureres for å logge på SQL Server. Videre bruker Windows-autentisering kryptering for å godkjenne SQL Server-brukere.
SQL Server-godkjenning, derimot, tillater brukernavn og passord å bli overført gjennom hele nettverket, noe som gjør dem mindre sikre. Denne modusen kan være et godt valg, men hvis brukere kobler fra forskjellige ikke-betrodde domener eller når muligens mindre sikre Internett-applikasjoner er i bruk, for eksempel ASP.NET.For eksempel, vurder scenariet der en pålitelig databaseadministrator forlater organisasjonen din på unfriendly vilkår. Hvis du bruker Windows-autentiseringsmodus, tilbakekaller brukerens tilgang automatisk når du deaktiverer eller fjerner DBAs Active Directory-konto. Hvis du bruker blandet autentiseringsmodus, trenger du ikke bare å deaktivere DBAs Windows-konto, men du må også kaste gjennom de lokale brukeroppføringene på hver databaseserver for å sikre at det ikke finnes lokale kontoer der DBA kan kjenne passordet. Det er mye arbeid! Sammendrag, vil modusen du velger, påvirke både sikkerhetsnivået og vedlikeholdet av organisasjonens databaser.
