Kerberos を使用して SQL Server に Azure Data Studio を接続する

Azure Data Studio では、Kerberos を使用した SQL Server への接続がサポートされています。

macOS または Linux で統合認証 (Windows 認証) を使用するには、現在のユーザーを Windows ドメイン アカウントにリンクする "Kerberos チケット" を設定する必要があります。

前提条件

開始するには、以下が必要です。

• Kerberos ドメイン コントローラーのクエリを実行するための、Windows ドメインに参加しているマシンへのアクセス権。

• SQL Server は、Kerberos 認証を許可するように構成する必要があります。 UNIX で実行されているクライアント ドライバーでは、統合認証は Kerberos を使用する場合にのみサポートされます。 詳細については、「Kerberos 統合認証による SQL Server への接続」を参照してください。 接続しようとしている SQL Server のインスタンスごとに、サービスプリンシパル名 (SPN) が登録されている必要があります。 詳細については、「 Kerberos 接続用のサービス プリンシパル名の登録」を参照してください。

SQL Server に Kerberos のセットアップがあるかどうかを確認する

SQL Server のホスト マシンにサインインします。 Windows のコマンド プロンプトから、setspn -L %COMPUTERNAME% を使用してホストのすべての SPN を一覧表示します。 MSSQLSvc/HostName.contoso.com で始まるエントリが存在することを確認します。 これらのエントリは、SQL Server に SPN が登録され、Kerberos 認証を受け入れる準備ができていることを意味します。

SQL Server インスタンスのホストにアクセスできない場合は、同じ Active Directory に参加している他の Windows OS から、コマンド setspn -L <SQLSERVER_NETBIOS> を使用できます。ここで "<SQLSERVER_NETBIOS>" は、SQL Server インスタンスのホストのコンピューター名です。

Kerberos キー配布センターを取得する

Kerberos キー配布センター (KDC) の構成値を見つけます。 Active Directory ドメインに参加している Windows コンピューターで、次のコマンドを実行します。

コマンド ラインから nltest を実行し、"DOMAIN.CONTOSO.COM" をドメインの名前に置き換えます。

nltest /dsgetdc:DOMAIN.CONTOSO.COM

出力は次の例のようになります。

DC: \\dc-33.domain.contoso.com
Address: \\2111:4444:2111:33:1111:ecff:ffff:3333
...
The command completed successfully

必要な KDC 構成値である DC 名をコピーします。 この例では、dc-33.domain.contoso.com です。

ご利用の OS を Active Directory ドメイン コントローラーに参加させる

Ubuntu

sudo apt-get install realmd krb5-user software-properties-common python-software-properties packagekit

Active Directory ドメイン コントローラーの IP アドレスが dns-nameserver として記載されるように、/etc/network/interfaces ファイルを編集します。 次に例を示します。

<...>
# The primary network interface
auto eth0
iface eth0 inet dhcp
dns-nameservers **<AD domain controller IP address>**
dns-search **<AD domain name>**

注意

ネットワーク インターフェイス (eth0) は、コンピューターによって異なる場合があります。 使用しているものを確認するには、ifconfig を実行し、IP アドレスと送受信されたバイトが含まれるインターフェイスをコピーします。

このファイルを編集した後、ネットワーク サービスを再起動します。

sudo ifdown eth0 && sudo ifup eth0

次のような行が /etc/resolv.conf ファイルに含まれていることを確認します。

nameserver **<AD domain controller IP address>**

Active Directory ドメインに参加します。

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

予想される出力を次に示します。

<...>
* Success

Red Hat Enterprise Linux

sudo yum install realmd krb5-workstation

Active Directory ドメイン コントローラーの IP アドレスが DNS サーバーとして一覧表示されるように、/etc/sysconfig/network-scripts/ifcfg-eth0 ファイル (または、必要に応じてその他のインターフェイス構成ファイル) を編集します。

<...>
PEERDNS=no
DNS1=**<AD domain controller IP address>**

このファイルを編集した後、ネットワーク サービスを再起動します。

sudo systemctl restart network

次のような行が /etc/resolv.conf ファイルに含まれていることを確認します。

nameserver **<AD domain controller IP address>**

Active Directory ドメインに参加します。

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

予想される出力を次に示します。

<...>
* Success

macOS の krb5.conf で KDC を構成する

このセクションでは、Kerberos の構成ファイルについて説明します。

任意のエディターで /etc/krb5.conf ファイルを編集します。 次のキーを構成します。

sudo vi /etc/krb5.conf

[libdefaults]
  default_realm = DOMAIN.CONTOSO.COM

[realms]
DOMAIN.CONTOSO.COM = {
   kdc = dc-33.domain.contoso.com
}

次に、krb5.conf ファイルを保存して終了します。

Note

ドメインはすべて大文字にする必要があります。

チケット保証チケットの取得をテストする

KDC からチケット保証チケット (TGT) を取得します。

kinit username@DOMAIN.CONTOSO.COM

klist を使って使用可能なチケットを表示します。 kinit が正常に実行された場合は、チケットが表示されます。

klist

予想される出力を次に示します。

krbtgt/DOMAIN.CONTOSO.COM@ DOMAIN.CONTOSO.COM.

Azure Data Studio を使用して接続する

1. 新しい接続プロファイルを作成します。

2. 認証の種類に [Windows 認証] を選択します。

3. [サーバー] には、完全修飾ホスト名を hostname.DOMAIN.CONTOSO.COM という形式で入力します。

4. 接続プロファイルを完了し、 [接続] をクリックします。

接続が正常に行われると、ご利用のサーバーが [サーバー] サイドバーに表示されます。