Condividi tramite

Ruotare i file keytab per SQL Server su Linux

  • Articolo

Si applica a:SQL Server - Linux

In base alle procedure consigliate per la sicurezza dell'organizzazione, potrebbe essere necessario ruotare regolarmente la password per l'account di Windows Active Directory fornito come network.privilegedadaccount in mssql.confo qualsiasi altro account proprietario dei nomi dell'entità servizio (SPN) per il servizio SQL Server. Il metodo supportato per modificare la password per l'account è descritto in questo articolo. La modifica della password ha effetto senza la necessità di riavviare il servizio SQL Server in Linux.

Lo strumento adutil viene utilizzato per aggiornare il keytab. Il comando adutil deve essere eseguito da un computer aggiunto a un dominio. Per altre informazioni su adutil e su come scaricare lo strumento, vedere Introduzione all'utilità adutil - Active Directory.

È fondamentale aggiornare la nuova password nel keytab con il numero kvno successivo prima di aggiornarlo in Active Directory. L'uso del numero kvno successivo impedisce al servizio di SQL Server di essere riavviato dopo la modifica della password. Se si aggiorna prima la password in Active Directory e quindi si modifica il keytab, è necessario riavviare il servizio SQL Server per garantire che l'autenticazione di Active Directory funzioni correttamente.

Scenario per la rotazione del keytab

Di seguito è riportato un esempio. L'autenticazione di Active Directory è già abilitata per SQL Server in Linux. Nel file mssql.conf, imposti network.privilegedadaccount su sqluser. L'account sqluser@CONTOSO.COM è già stato creato in Active Directory e viene creato anche il keytab nel percorso /var/opt/mssql/secrets/mssql.keytabpredefinito . Ora è necessario modificare la password per sqluser@CONTOSO.COM. Ecco i passaggi da seguire:

  1. Installare adutil sul computer unito al dominio.

  2. Ottieni o rinnova il Kerberos TGT (ticket-granting ticket) usando il comando kinit. Usare un account con privilegi per il comando kinit. L'account deve avere l'autorizzazione per connettersi al dominio ed essere in grado di creare account e SPN nel dominio. In questo caso, viene usato l'account privilegeduser@CONTOSO.COM che dispone delle autorizzazioni per creare account e NOMI SPN nel dominio denominato CONTOSO.COM.

    kinit privilegeduser@CONTOSO.COM

  3. Dopo aver eseguito kinit per ottenere/rinnovare il TGT, interrogare il numero kvno corrente dell'oggetto network.privilegedadaccount. In questo caso, è sqluser@CONTOSO.COM.

    kvno sqluser@CONTOSO.COM

È possibile scegliere di ruotare il keytab con mssql-conf oppure di ruotare manualmente il keytab usando adutil.

Ruotare il keytab con mssql-conf

È possibile installare adutil e integrarlo con mssql-conf, il che significa che è possibile ruotare il keytab usando mssql-conf.

  1. Accedi come utente ROOT e passa all'utente mssql.

    su mssql

  2. Ottieni o rinnova il biglietto di concessione dei ticket (TGT) Kerberos utilizzando il comando kinit. Usare un account con privilegi per il comando kinit. L'account deve avere l'autorizzazione per connettersi al dominio e deve essere in grado di creare account e Nomi Principali del Servizio (SPN) nel dominio. In questo caso, viene usato l'account privilegeduser@CONTOSO.COM che dispone delle autorizzazioni per creare account e NOMI SPN nel dominio denominato CONTOSO.COM.

    kinit privilegeduser@CONTOSO.COM

  3. Eseguire il comando mssql-conf , specificando la scheda chiave di SQL Server e i network.privilegedadaccount dettagli. In questo esempio, privilegedadaccount è sqluser.

    ./mssql-conf setup-ad-keytab /var/opt/mssql/secrets/mssql.keytab sqluser --use-next-kvno'

    Quando viene richiesta una password, immetti una nuova password che intendi usare. L'opzione --use-next-kvno assegna il kvno corrente + 1.

    Facoltativo: è anche possibile usare l'opzione --kvno con il mssql-conf setup-ad-keytab comando per fornire un kvno specifico. È necessario assicurarsi di ottenere prima il kvno corrente per l'utente e quindi aggiornare il nuovo kvno di conseguenza, che sarebbe il kvno corrente + 1.

  4. È possibile elencare le chiavi del keytab usando il comando:

    klist -kte /var/opt/mssql/secrets/mssql.keytab

    Si noterà che il keytab viene aggiornato con il kvno successivo per le voci utente e SPN.

  5. Ora è necessario modificare la password per l’utente sqluser. Ecco un esempio.

    Importante

    Se durante questo passaggio viene richiesto di riavviare SQL Server, è possibile ignorarlo. Ricorda di modificare la password anche in Active Directory.

    bash-4.4$ kinit privilegedaccount@CONTOSO.COM
Password for privilegedaccount@CONTOSO.COM:

bash-4.4$ ./mssql-conf setup-ad-keytab /var/opt/mssql/secrets/mssql.keytab sqluser --use-next-kvno
sqluser@contoso.com's password:
Confirm sqluser@contoso.com's password:

SQL Server needs to be restarted in order to adopt the new AD configuration. To restart, run `systemctl restart mssql-server.service`.

bash-4.4$ klist -kte /var/opt/mssql/secrets/mssql.keytab
Keytab name: FILE:/var/opt/mssql/secrets/mssql.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   4 12/30/2021 14:02:08 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   4 12/30/2021 14:02:08 MSSQLSvc/sql1.contoso.com:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   4 12/30/2021 14:02:08 MSSQLSvc/sql1.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   4 12/30/2021 14:02:08 MSSQLSvc/sql1:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   4 12/30/2021 14:02:08 MSSQLSvc/sql1@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 MSSQLSvc/sql1.contoso.com:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 MSSQLSvc/sql1.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 MSSQLSvc/sql1:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   5 12/30/2021 20:06:34 MSSQLSvc/sql1@CONTOSO.COM (aes256-cts-hmac-sha1-96)

Ruotare manualmente il keytab con adutil

Per aggiornare manualmente il keytab usando adutil, fai riferimento ai passaggi seguenti.

L'aggiornamento del keytab tramite adutil aggiunge una voce al keytab corrente. Ad esempio, se il numero kvno del comando precedente è 2, utilizzare il numero kvno3 durante l'aggiornamento del keytab. Di seguito sono elencati i comandi adutil che è necessario eseguire.

  • Modificare il numero di porta (-p), il nome host (-H), il percorso di keytab (-k) e il numero kvno in modo che corrispondano all'ambiente.
adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mssql.contoso.com --password '<newpassword>' -s MSSQLSvc --kvno 3

adutil keytab create -k /var/opt/mssql/secrets/mssql.keytab -p sqluser --password '<newpassword>' --kvno 3

-k: è il percorso del keytab corrente usato da SQL Server e impostato usando l'opzione network.kerberoskeytabfile nel mssql.conf file.

-H: è il nome di dominio completo dell'host di SQL Server.

-p: è la porta su cui il servizio SQL Server è configurato per ascoltare nel primo comando. Nel secondo comando rappresenta -p l'oggetto network.privilegedadaccount per cui si aggiornerà la password.

kvno: il valore deve essere il kvno corrente + 1. Il valore kvno corrente si ottiene dal passaggio 3.

Dopo aver eseguito i comandi precedenti, è necessario specificare la scelta del tipo di crittografia per le voci keytab. Assicurarsi di scegliere quello adatto per l'ambiente in uso.

Controllare le voci del keytab

Dopo aver aggiornato il keytab, vengono ora visualizzate le voci nel keytab per kvno 3 (nuovo) e per kvno 2 (precedente) per lo stesso account sqluser@CONTOSO.COM e per lo stesso SPN. È possibile eseguire il comando klist seguente per verificare le voci nel keytab.

klist -kte /var/opt/mssql/secrets/mssql.keytab

Modificare la password dell'account in Active Directory

L'ultimo passaggio consiste nell'aggiornare la password dell'oggetto network.privilegedadaccount o dell'account che possiede gli SPN di SQL Server in Active Directory di Windows. Nello scenario precedente è necessario aggiornare la password per sqluser@CONTOSO.COM in Active Directory. Cambia la password alla <newpassword> che hai fornito nel passaggio 3 della sezione precedente. L'autenticazione di Active Directory deve continuare a funzionare e senza la necessità di riavviare il servizio SQL Server.

Contenuto correlato