Поделиться через


Типы проверки подлинности конечной точки

Процесс проверки подлинности конечной точки включает предоставление разрешений пользователям на подключение к созданным на сервере конечным точкам и определение характера выполнения проверки подлинности.

Характер выполнения проверки подлинности определяется предложением AUTHENTICATION в инструкции CREATE ENDPOINT или ALTER ENDPOINT. Предложение AUTHENTICATION обладает следующими параметрами, определяющими тип проверки подлинности:

  • BASIC

  • DIGEST

  • NTLM

  • KERBEROS

  • INTEGRATED

ПримечаниеПримечание

Анонимная проверка подлинности на конечной точке не поддерживается. Для доступа к конечной точке пользователь должен пройти проверку подлинности как пользователь Windows: или доверенный пользователь Windows, или владелец учетной записи на локальном компьютере.

Обычная проверка подлинности

Обычная проверка подлинности является одним из двух требуемых механизмов проверки подлинности в спецификации HTTP 1.1. Обычная проверка подлинности производится на основе заголовка, в котором находятся разделенные двоеточием имя пользователя и пароль, закодированные в формате base64. Дополнительные сведения см. в документе http://www.ietf.org/rfc/rfc2617.txt.

При задании обычной проверки подлинности примите во внимание следующее.

  • Свойство PORTS не может принимать значение CLEAR.

  • Отправляемые для обычной проверки подлинности HTTP учетные данные должны быть сопоставлены с действительной учетной записью Windows.

Обычная проверка подлинности должна использоваться только в крайних случаях. При использовании обычной проверки подлинности из-за того, что в ней применяется легко расшифровываемое кодирование base64, необходимо, чтобы в экземпляре SQL Server для HTTP-соединений использовался порт SSL. Обычная проверка подлинности применяется в том случае, если получившим разрешение на доступ к конечной точке пользователем является локальный пользователь компьютера сервера.

Дайджест-проверка подлинности

Дайджест-проверка подлинности является вторым необходимым для HTTP 1.1 механизмом проверки подлинности. Это проверка подлинности имени пользователя и его пароля. Эти данные хэшируются по алгоритму MD5, одностороннему алгоритму хэширования, и отправляются на сервер. У сервера есть доступ либо к паролю, либо к хранимому хэшу MD5, созданному при установке пароля. Затем сервер сравнивает хранимое вычисленное значения со значением, предоставленным клиентом. Таким образом клиент может доказать, что он знает пароль, не передавая его на сервер. Дополнительные сведения см. в документе http://www.ietf.org/rfc/rfc2617.txt.

Отправляемые по HTTP в качестве части дайджест-проверки подлинности учетные данные должны быть сопоставлены с действительной учетной записью домена Windows. Учетные записи локальных пользователей дайджест-проверкой подлинности Windows не поддерживаются.

ПримечаниеПримечание

В целях безопасности дайджест-проверка подлинности Windows поддерживает кодирование MD5 только на контроллерах домена, работающих под управлением Windows Server 2003.

Проверка подлинности NTLM

NTLM – механизм проверки подлинности, поддерживаемый системами Windows 95, Windows 95 и Windows NT 4.0 (клиентской и серверной версиями). Данный механизм проверки подлинности является протоколом ответов на вызовы, обеспечивающим большую безопасность, чем обычная или краткая проверка подлинности. NTLM поддерживается в Windows 2000, а также в более поздних версиях благодаря интерфейсу службы поддержки безопасности (SSPI). Дополнительные сведения см. на веб-узле Microsoft NTLM.

Проверка подлинности Kerberos

Проверка подлинности Kerberos является стандартным механизмом проверки подлинности в Интернете. Проверка подлинности Kerberos поддерживается в Windows 2000 и в более поздних версиях благодаря интерфейсу SSPI.

При использовании проверки подлинности Kerberos экземпляр SQL Server должен связать имя участника-службы (SPN) с учетной записью, в которой он запущен. Дополнительные сведения см. в разделе Регистрация имен участников службы Kerberos в файле Http.sys.

Дополнительные сведения о проверке подлинности Kerberos см. на веб-узле Microsoft Kerberos.

Встроенная проверка подлинности

Поддерживающие встроенную проверку подлинности конечные точки могут при ответе использовать в качестве части процедуры следующие типы проверок подлинности: Kerberos или NTLM.

При такой конфигурации сервер будет пытаться произвести проверку подлинности клиента тем методом, который использует клиент.

ПримечаниеПримечание

Если этот процесс прервется на одном встроенном типе проверки подлинности, то сервер оборвет соединение с клиентом. Сервер не попытается повторить попытку подключения при помощи другого типа проверки подлинности.