Udostępnij za pośrednictwem

  • Artykuł

Using Kerberos Authentication with SQL Server

Aby użyć uwierzytelnianie protokołu Kerberos za pomocą SQL Server wymaga, aby mogła być prawdziwa oba następujące warunki:

  • Na komputerach klienckich, jak i serwer muszą być częścią tej samej domenie systemu Windows lub w domenach zaufanych.

  • Głównej nazwy usługa (główna nazwa usługa) musi być zarejestrowany w usłudze Active Directory, odpowiadające przyjmuje rolę rozkładu klucz Center domena systemu Windows.Nazwę główna nazwa usługi po jest zarejestrowany, jest mapowany na konto systemu Windows, na którym uruchomiono SQL Server wystąpienie usługa. Jeśli rejestrację nazwy główna nazwa usługi nie zostało wykonane lub kończy się niepowodzeniem, warstwa zabezpieczeń systemu Windows nie może określić konta skojarzonego z tej nazwy główna nazwa usługi, a uwierzytelnianie Kerberos nie będą używane.

    Uwaga

    Jeśli serwer nie może automatycznie rejestrować nazwy główna nazwa usługi, nazwy główna nazwa usługi należy zarejestrować ręcznie.

Aby sprawdzić, czy połączenie używa protokołu Kerberos za pomocą kwerend wysyłanych do widoku sys.dm_exec_connections dynamicznego zarządzania.Uruchom następującą kwerendę i sprawdź wartości kolumna auth_scheme, które będą "KERBEROS", jeżeli protokół Kerberos jest włączony.

SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid ;

Rola nazwy główna nazwa usługi w uwierzytelnianie

Gdy aplikacja otwiera połączenie i korzysta z uwierzytelnianie systemu Windows SQL Server Przechodzi do trybu macierzystego klient SQL Server Nazwa serwera, wystąpienie nazwy i, opcjonalnie, an główna nazwa usługi. Jeżeli połączenie przechodzi główna nazwa usługi jest używany bez żadnych zmian.

Jeśli połączenie nie przejdzie pomyślnie główna nazwa usługi, domyślnej nazwy główna nazwa usługi jest konstruowana oparte na używany protokół, nazwa serwera i nazwa obiektu.

W obu poprzednich sytuacjach nazwy główna nazwa usługi jest wysyłany do Centrum dystrybucji kluczy otrzymać token zabezpieczeń do uwierzytelniania połączenia.Jeśli nie można uzyskać tokenu zabezpieczeń, korzysta z uwierzytelnianie NTLM.