Endpunktauthentifizierungs-Typen
Der Prozess für die Endpunktauthentifizierung umfasst das Erteilen von Berechtigungen, um zuzulassen, dass Benutzer Verbindungen mit Endpunkten herstellen, die auf dem Server erstellt werden, sowie die Angabe dessen, wie die Authentifizierung ausgeführt wird. Weitere Informationen zum Erteilen von Endpunktberechtigungen finden Sie unter GRANT (Endpunktberechtigungen) (Transact-SQL).
Wie die Authentifizierung ausgeführt wird, wird mithilfe der AUTHENTICATION-Klausel der Anweisungen CREATE ENDPOINT oder ALTER ENDPOINT angegeben. Die AUTHENTICATION-Klausel bietet folgende Optionen für die Angabe des Authentifizierungstyps:
- BASIC
- DIGEST
- NTLM
- KERBEROS
- INTEGRATED
Hinweis: |
---|
Die Anonyme Authentifizierung an einem Endpunkt wird nicht unterstützt. Für den Benutzerzugriff auf einen Endpunkt muss der Benutzer ein gültiger authentifizierter Windows-Benutzer sein, d. h. entweder ein vertrauenswürdiger Windows-Benutzer oder ein Mitgliedkonto auf dem lokalen Computer. |
Standardauthentifizierung
Die Standardauthentifizierung stellt einen der beiden erforderlichen Authentifizierungsmechanismen in der HTTP 1.1-Spezifikation dar. Die Standardauthentifizierung besteht aus einem Authentifizierungsheader, der den base64-verschlüsselten Benutzernamen und das Kennwort (getrennt durch einen Doppelpunkt) enthält. Unter http://www.ietf.org/rfc/rfc2617.txt finden Sie weitere Informationen.
Berücksichtigen Sie Folgendes bei der Angabe von BASIC:
- Der PORTS-Wert darf nicht auf CLEAR festgelegt werden.
- Anmeldeinformationen, die als standardmäßige HTTP-Authentifizierung gesendet werden, müssen einer gültigen Windows-Anmeldung zugeordnet werden.
Die Standardauthentifizierung sollte nur im Ausnahmefall verwendet werden. Da hier die mühelos zu decodierende base64-Verschlüsselung verwendet wird, erfordert die Instanz von SQL Server bei der Angabe der Standardauthentifizierung, dass ein SSL-Anschluss (Secure Sockets Layer) für die HTTP-Verbindung verwendet wird. Die Standardauthentifizierung kann verwendet werden, wenn der Benutzer, dem die Berechtigungen für den Endpunkt gewährt werden, ein lokaler Benutzer auf dem Servercomputer selbst ist.
Digestauthentifizierung
Bei der Digestauthentifizierung handelt es sich um den zweiten für HTTP 1.1 erforderlichen Authentifizierungsmechanismus. Diese Authentifizierung besteht aus dem Benutzernamen und dem Kennwort. Hieraus wird anschließend ein Hashwert mit MD5, einem unidirektionalen Hashalgorithmus, erstellt und an den Server gesendet. Der Server hat entweder Zugriff auf das ursprüngliche Kennwort oder einen gespeicherten MD5-Hash, der erstellt wurde, als das Kennwort festgelegt wurde. Der Server kann anschließend den gespeicherten berechneten Wert mit dem vom Client zur Verfügung gestellten vergleichen. Auf diese Weise kann der Client beweisen, dass er das Kennwort kennt, ohne es tatsächlich am Server anzugeben. Unter http://www.ietf.org/rfc/rfc2617.txt finden Sie weitere Informationen.
Die Anmeldeinformationen, die als Teil einer Digestauthentifizierung über HTTP gesendet werden, müssen einem gültigen Windows-Domänenkonto zugeordnet werden. Lokale Benutzerkonten werden für die Windows-basierte Digestauthentifizierung nicht unterstützt.
Hinweis: |
---|
Aus Sicherheitsgründen unterstützt die Windows-basierte Digestauthentifizierung nur die MD5-sess-Verschlüsselung über Domänencontroller, die unter ausgeführt werden. |
NTLM-Authentifizierung
NTLM ist der von , und unterstützte Authentifizierungsmechanismus (Client und Server). Dieser Authentifizierungsmechanismus ist ein Abfrage-/Rückmeldungsprotokoll, das eine stärkere Authentifizierung als die Standard- oder die Digestauthentifizierung gewährleistet. NTLM wird in und höheren Versionen von einer Sicherheitsunterstützungs-Anbieterschnittstelle (Security Support Provider Interface, SSPI) implementiert. Weitere Informationen finden Sie auf dieser Microsoft-Website.
Kerberos-Authentifizierung
Die Kerberos-Authentifizierung ist ein Internetstandard-Authentifizierungsmechanismus. Die Kerberos-Authentifizierung wird unter und höheren Versionen durch eine SSPI unterstützt.
Wenn die Kerberos-Authentifizierung verwendet wird, muss die Instanz von SQL Server dem Konto, auf dem sie ausgeführt wird, einen Dienstprinzipalnamen (Service Principal Name, SPN) zuweisen. Weitere Informationen finden Sie unter Registrieren von Kerberos-Dienstprinzipalnamen (Service Principal Names, SPNs) mithilfe von Http.sys.
Weitere Informationen zur Kerberos-Authentifizierung finden Sie auf dieser Microsoft-Website.
Integrierte Authentifizierung
Endpunkte, die für die Unterstützung der integrierten Authentifizierung konfiguriert sind, können mit einem der folgenden Authentifizierungstypen als Teil der Authentifizierungsabfrage antworten: Kerberos oder NTLM.
Unter dieser Konfiguration versucht der Server den Client mit dem Typ zu authentifizieren, den der Client verwendet, um die Authentifizierung anzufordern.
Hinweis: |
---|
Falls dieser Prozess bei einem integrierten Authentifizierungstyp zu einem Fehler führt, beendet der Server die Verbindung für den Client. Der Server greift nicht darauf zurück, wieder den anderen Authentifizierungstyp zu versuchen. |
Siehe auch
Verweis
Festlegen, dass der Server Anforderungen systemeigener XML-Webdienste überwacht
SQL Server-Authentifizierung über SOAP