В этой статье мы рассмотрим различные механизмы аутентификации, доступные в SQL Server, и как они могут быть использованы для повышения безопасности в вашей базе данных.
Один из наиболее распространенных методов аутентификации в SQL Server – это базовая аутентификация. Для подключения к базе данных пользователи должны явно указать свои учетные данные. Хотя это предлагает гибкость, особенно для связи через Интернет, это также требует дополнительных мер безопасности, таких как шифрование на основе сертификатов.
Другим методом аутентификации является интегрированная аутентификация, которая устраняет необходимость указывать учетные данные пользователей. Однако у нее есть свой набор ограничений, таких как зависимость от того, что все участники находятся в одной среде Active Directory.
Одной из проблем, которая часто возникает при использовании интегрированной аутентификации, является невозможность применения имперсонации, когда включена промежуточная система, такая как сервер IIS. Для решения этой проблемы необходимо использовать делегирование. Делегирование позволяет целевому серверу действовать от имени клиента, когда прямое взаимодействие между ними невозможно.
В Windows Server 2003 делегирование было улучшено с помощью ограниченного делегирования и функциональности протокола перехода. Ограниченное делегирование обеспечивает большую гранулярность при определении области доверия, назначенной промежуточному компьютеру. Протокол перехода позволяет альтернативным способом принимать учетные данные безопасности, которые затем передаются на сервер с помощью протокола Kerberos.
Для настройки делегирования необходимо указать службы, которым разрешено представлять делегированные учетные данные от имени компьютерного аккаунта. Это можно сделать в консоли управления Active Directory Users and Computers. После настройки подписчики могут инициировать репликацию без изменений в синтаксисе.
Еще одним методом аутентификации, который мы рассмотрим, является протокол перехода, который требует изменения настроек веб-сервера и Active Directory. Этот метод может использоваться с аутентификацией Digest, которая включает процесс вызова/ответа, аналогичный протоколу NTLM. Для этого требуется хранить пароли пользователей домена с использованием обратимого шифрования, а также чтобы пользователи и аутентифицирующие серверы были членами одного леса Active Directory.
Для реализации протокола перехода с аутентификацией Digest необходимо выбрать соответствующую опцию в диалоговом окне “Методы аутентификации” в консоли “Управление службами информационных служб Интернета”. Также необходимо убедиться, что пароль пользователя, инициирующего веб-синхронизацию, хранится в базе данных AD с использованием обратимого шифрования. Наконец, необходимо изменить параметры утилиты командной строки replmerg.exe, чтобы включить InternetLogin и InternetPassword.
Понимая и используя эти механизмы аутентификации, вы можете повысить безопасность вашей среды SQL Server и гарантировать, что только авторизованные пользователи имеют доступ к вашей базе данных.
Следите за следующей статьей в нашей серии, где мы рассмотрим другие обходные пути, эмулирующие функциональность агентов репликации.