Volba režimu ověřování

platí pro:SQL Server

Během instalace musíte pro databázový stroj vybrat režim ověřování. Existují dva možné režimy: režim ověřování systému Windows a smíšený režim. Režim ověřování systému Windows umožňuje ověřování systému Windows a zakáže ověřování SYSTÉMU SQL Server. Smíšený režim umožňuje ověřování systému Windows i ověřování SQL Serveru. Ověřování systému Windows je vždy dostupné a nejde ho zakázat.

Konfigurace režimu ověřování

Pokud během instalace vyberete ověřování ve smíšeném režimu (režim ověřování SYSTÉMU SQL Server a Windows), musíte zadat a potvrdit silné heslo pro předdefinovaný účet správce systému SQL Serveru s názvem sa. Účet sa se připojuje pomocí ověřování SQL Serveru.

Pokud během instalace vyberete ověřování systému Windows, instalační program vytvoří účet sa pro ověřování SYSTÉMU SQL Server, ale je zakázaný. Pokud později změníte ověřování ve smíšeném režimu a chcete použít účet sa, musíte ho povolit. Jakýkoli účet Systému Windows nebo SQL Server je možné nakonfigurovat jako správce systému. Vzhledem k tomu, že sa účet je dobře známý a často cílí na uživatele se zlými úmysly, nepovolujte sa účet, pokud to vaše aplikace nevyžaduje. Pro účet sa nikdy nenastavujte prázdné nebo slabé heslo. Pokud chcete změnit režim ověřování systému Windows na ověřování v smíšeném režimu a použít ověřování SYSTÉMU SQL Server, přečtěte si téma Změnit režim ověřování serveru.

Připojení prostřednictvím ověřování systému Windows

Když se uživatel připojí přes uživatelský účet Systému Windows, SQL Server ověří název účtu a heslo pomocí tokenu objektu zabezpečení Systému Windows v operačním systému. To znamená, že identita uživatele je potvrzena systémem Windows. SQL Server nepožádá o heslo a neprovádí ověření identity. Ověřování systému Windows je výchozí režim ověřování a je mnohem bezpečnější než ověřování SQL Serveru. Ověřování systému Windows používá New Technology LAN Manager (NTLM) nebo zabezpečovací protokol Kerberos, poskytuje vynucení zásad hesel v souvislosti s kontrolou složitosti silných hesel, poskytuje podporu pro uzamčení účtu a podporuje vypršení platnosti hesla. Připojení vytvořené pomocí ověřování systému Windows se někdy označuje jako důvěryhodné připojení, protože SQL Server důvěřuje přihlašovacím údajům poskytnutým systémem Windows.

Informace o konfiguraci protokolu Kerberos najdete v tématu Registrace hlavního názvu služby pro připojení Kerberos.

Pomocí ověřování systému Windows je možné skupiny Systému Windows vytvářet na úrovni domény a pro celou skupinu je možné vytvořit přihlášení na SQL Serveru. Správa přístupu na úrovni domény může zjednodušit správu účtu.

Důležitý

Pokud je to možné, použijte ověřování systému Windows.

Připojení prostřednictvím ověřování SQL Serveru

Při použití ověřování SQL Serveru se na SQL Serveru vytvoří přihlášení, která nejsou založená na uživatelských účtech Systému Windows. Uživatelské jméno i heslo se vytvářejí pomocí SQL Serveru a ukládají se na SQL Serveru. Uživatelé, kteří se připojují pomocí ověřování SQL Serveru, musí při každém připojení zadat své přihlašovací údaje (přihlašovací údaje a heslo). Při použití ověřování SQL Serveru je nutné nastavit silná hesla pro všechny účty SQL Serveru. Pokyny pro silné heslo najdete v tématu silná hesla.

Pro přihlášení k SQL Serveru jsou k dispozici tři volitelné zásady hesel.

• Uživatel musí změnit heslo při příštím přihlášení.

  Vyžaduje, aby uživatel při příštím připojení uživatele změnil heslo. Sql Server Management Studio poskytuje možnost změnit heslo. Pokud tuto možnost použijete, měli by tuto funkci poskytnout i jiní vývojáři firemního softwaru.

• Vynucení vypršení platnosti hesla

  Pro přihlášení k SQL Serveru se vynucuje maximální zásada stáří hesla počítače.

• Vynucení zásad hesel

  Zásady hesel systému Windows počítače se vynucují pro přihlášení k SQL Serveru. To zahrnuje délku a složitost hesla. Tato funkce závisí na rozhraní API NetValidatePasswordPolicy, které je dostupné pouze v systémech Windows Server 2003 a novějších verzích.

Určení zásad hesel místního počítače

1. V nabídce Start vyberte Spustit.

2. V dialogovém okně Spustit zadejte secpol.msca vyberte OK.

3. V aplikaci Místní nastavení zabezpečení rozbalte Nastavení zabezpečení, rozbalte zásady účtua pak vyberte zásady hesel.

   Zásady hesel jsou popsány v podokně výsledků.

Nevýhody ověřování SQL Serveru

• Pokud je uživatel domény Windows, který má přihlašovací jméno a heslo pro Windows, musí k připojení zadat další login a heslo pro SQL Server. Sledování více jmen a hesel je pro mnoho uživatelů obtížné. Při každém připojení uživatele k databázi může být nepříjemné zadat přihlašovací údaje SQL Serveru.

• Ověřování SQL Serveru nemůže používat protokol zabezpečení Kerberos.

• Systém Windows nabízí další zásady hesel, které nejsou dostupné pro přihlášení k SQL Serveru.

• Šifrované přihlašovací heslo pro ověřování SQL Serveru musí být předáno přes síť v době připojení. Některé aplikace, které se připojují automaticky, uloží heslo v klientovi. Jedná se o další body útoku.

Výhody ověřování SQL Serveru

• Umožňuje SQL Serveru podporovat starší aplikace a aplikace poskytované třetími stranami, které vyžadují ověřování SQL Serveru.

• Umožňuje SQL Serveru podporovat prostředí se smíšenými operačními systémy, kde všichni uživatelé nejsou ověřeni doménou Windows.

• Umožňuje uživatelům připojit se z neznámých nebo nedůvěryhodných domén. Například aplikace, kde se navázaní zákazníci připojují s přiřazenými přihlášeními k SQL Serveru, aby získali stav svých objednávek.

• Umožňuje SQL Serveru podporovat webové aplikace, ve kterých uživatelé vytvářejí vlastní identity.

• Umožňuje vývojářům softwaru distribuovat své aplikace pomocí komplexní hierarchie oprávnění na základě známých přednastavených přihlášení k SQL Serveru.

  Poznámka

  Použití ověřování SYSTÉMU SQL Server neomezuje oprávnění místních správců v počítači, na kterém je nainstalován SQL Server.

Související obsah

• aspekty zabezpečení pro instalaci SQL Serveru