Připojení Azure Data Studia k SQL Serveru pomocí protokolu Kerberos
Azure Data Studio podporuje připojení k SQL Serveru pomocí protokolu Kerberos.
Pokud chcete používat integrované ověřování (ověřování systému Windows) v systému macOS nebo Linux, musíte nastavit lístek Kerberos, který propojí aktuálního uživatele s účtem domény Systému Windows.
Požadavky
Na začátek budete potřebovat:
Přístup k počítači připojenému k doméně Windows pro dotazování řadiče domény Kerberos.
SQL Server by měl být nakonfigurovaný tak, aby povoloval ověřování protokolem Kerberos. Pro klientský ovladač spuštěný v systému Unix se integrované ověřování podporuje pouze pomocí protokolu Kerberos. Další informace naleznete v tématu Použití integrovaného ověřování Kerberos pro připojení k SQL Serveru. Pro každou instanci SQL Serveru, ke které se pokoušíte připojit, by měly být zaregistrované hlavní názvy služby (SPN). Další informace naleznete v tématu Registrace instančního objektu pro připojení Kerberos.
Zkontrolujte, jestli sql Server nemá nastavené kerberos.
Přihlaste se k hostitelskému počítači SQL Serveru. Z příkazového řádku Systému Windows použijte setspn -L %COMPUTERNAME% k výpisu všech hlavních názvů služby pro hostitele. Ověřte, že jsou položky začínající MSSQLSvc/HostName.contoso.comna . Tyto položky znamenají, že SQL Server zaregistroval hlavní název služby (SPN) a je připravený přijmout ověřování protokolem Kerberos.
Pokud nemáte přístup k hostiteli instance SQL Serveru, pak z jakéhokoli jiného operačního systému Windows připojeného ke stejné službě Active Directory můžete použít příkaz setspn -L <SQLSERVER_NETBIOS>, kde <SQLSERVER_NETBIOS> je název počítače hostitele instance SQL Serveru.
Získání centra distribuce klíčů Kerberos
Vyhledejte hodnotu konfigurace centra pro distribuci klíčů Kerberos (KDC). Na počítači s Windows, který je připojený k doméně služby Active Directory, spusťte následující příkaz.
Spusťte nltest příkaz z příkazového řádku a nahraďte "DOMAIN.CONTOSO.COM" názvem vaší domény.
nltest /dsgetdc:DOMAIN.CONTOSO.COM
Výstup je podobný následujícímu příkladu:
DC: \\dc-33.domain.contoso.com
Address: \\2111:4444:2111:33:1111:ecff:ffff:3333
...
The command completed successfully
Zkopírujte název řadiče domény, který je požadovanou hodnotou konfigurace KDC. V tomto případě je to dc-33.domain.contoso.com.
Připojení operačního systému k řadiči domény služby Active Directory
sudo apt-get install realmd krb5-user software-properties-common python-software-properties packagekit
/etc/network/interfaces Upravte soubor tak, aby IP adresa řadiče domény služby Active Directory byla uvedena jako dns-nameserver. Příklad:
<...>
# The primary network interface
auto eth0
iface eth0 inet dhcp
dns-nameservers **<AD domain controller IP address>**
dns-search **<AD domain name>**
Poznámka:
Síťové rozhraní (eth0) se může u různých počítačů lišit. Pokud chcete zjistit, který z nich používáte, spusťte ifconfig a zkopírujte rozhraní s IP adresou a přenášenými a přijatými bajty.
Po úpravě tohoto souboru restartujte síťovou službu:
sudo ifdown eth0 && sudo ifup eth0
Teď zkontrolujte, že soubor /etc/resolv.conf obsahuje řádek podobný následujícímu:
nameserver **<AD domain controller IP address>**
Připojte se k doméně služby Active Directory:
sudo realm join contoso.com -U 'user@CONTOSO.COM' -v
Tady je očekávaný výstup:
<...>
* Success
Otestování načtení lístku pro udělení lístku
Získejte lístek pro udělení lístku (TGT) z KDC.
kinit username@DOMAIN.CONTOSO.COM
Zobrazte dostupné lístky pomocí .klist Pokud to kinit bylo úspěšné, měli byste vidět lístek.
klist
Tady je očekávaný výstup:
krbtgt/DOMAIN.CONTOSO.COM@ DOMAIN.CONTOSO.COM.
Připojení pomocí nástroje Azure Data Studio
Vytvořte nový profil připojení.
Jako typ ověřování vyberte Ověřování systému Windows.
Jako server zadejte plně kvalifikovaný název hostitele ve formátu
hostname.DOMAIN.CONTOSO.COM.Dokončete profil připojení a vyberte Připojit.
Po úspěšném připojení se váš server zobrazí na bočním panelu SERVERY .