Microsoft SQL Server 2016 bied administrateurs twee keuses om te implementeer hoe die stelsel gebruikers sal verifieer: Windows-verifikasie modus of gemengde verifikasie modus.
Windows-verifikasie beteken dat SQL Server 'n gebruiker se identiteit bevestig deur slegs sy Windows gebruikersnaam en wagwoord te gebruik. As die gebruiker reeds deur die Windows-stelsel geverifieer is, vra SQL Server nie vir 'n wagwoord nie.
Gemengde modus beteken dat SQL Server beide Windows-verifikasie en SQL Server-verifikasie moontlik maak. SQL Server-verifikasie skep gebruikerslogins wat nie verband hou met Windows nie.
Verifikasie Basics
Verifikasie is die proses om 'n gebruiker of rekenaar se identiteit te bevestig. Die proses bestaan gewoonlik uit vier stappe:
- Die gebruiker maak 'n eis van identiteit, gewoonlik deur 'n gebruikersnaam te verskaf.
- Die stelsel daag die gebruiker uit om sy of haar identiteit te bewys. Die mees algemene uitdaging is 'n versoek vir 'n wagwoord.
- Die gebruiker reageer op die uitdaging deur die gevraagde bewys, gewoonlik 'n wagwoord, te verskaf.
- Die stelsel verifieer dat die gebruiker aanvaarbare bewys verskaf het deur byvoorbeeld die wagwoord na 'n plaaslike wagwoorddatabasis te kontroleer of 'n sentrale verifikasie bediener te gebruik.
Vir ons bespreking van die SQL Server-verifikasie modusse, is die kritieke punt in die vierde stap hierbo: die punt waar die stelsel die identiteitsbewys van die gebruiker bevestig. Die keuse van 'n verifikasie af bepaal waar SQL Server gaan om die gebruiker se wagwoord te verifieer.
Oor die verifikasie moduss van SQL Server
Kom ons ondersoek hierdie twee vorme 'n bietjie verder:
Windows-verifikasie af vereis dat gebruikers 'n geldige Windows gebruikersnaam en wagwoord moet verskaf om toegang tot die databasis bediener te verkry. As hierdie modus gekies word, skakel SQL Server die SQL Server-spesifieke aanmeldfunksie uit, en die gebruiker se identiteit word slegs bevestig deur sy Windows-rekening. Hierdie modus word soms na verwys as geïntegreerde sekuriteit as gevolg van SQL Server se afhanklikheid van Windows vir verifikasie.
Gemengde verifikasie af laat die gebruik van Windows-credentials toe, maar aanvul hulle met plaaslike SQL Server-gebruikersrekeninge wat die administrateur in SQL Server skep en onderhou. Die gebruikers se gebruikersnaam en wagwoord is albei gestoor in SQL Server, en gebruikers moet heraangesifiseer word elke keer as hulle verbind word.
Kies 'n verifikasie af
Microsoft se beste praktyk aanbeveling is om, wanneer moontlik, Windows-verifikasie modus te gebruik. Die belangrikste voordeel is dat die gebruik van hierdie modus u toelaat om rekeningadministrasie vir u hele onderneming op 'n enkele plek te sentraliseer: Active Directory. Dit verminder die kanse van fout of toesig dramaties. Omdat die gebruiker se identiteit deur Windows bevestig is, kan spesifieke Windows-gebruikers- en groeprekeninge gekonfigureer word om aan te meld by SQL Server. Voorts gebruik Windows-verifikasie enkripsie om SQL Server-gebruikers te verifieer.
SQL Server-verifikasie, aan die ander kant, laat gebruikersname en wagwoorde deur die netwerk geslaag word, wat hulle minder veilige maak. Hierdie modus kan egter 'n goeie keuse wees, maar as gebruikers van verskillende nie-betroubare domeine verbind of wanneer moontlik minder veilige internetprogramme gebruik word, soos ASP.NET.
Byvoorbeeld, oorweeg die scenario waarin 'n betroubare databasisadministrateur jou organisasie onvriendelike terme verlaat. As u Windows-verifikasie af gebruik, word die toegang van daardie gebruiker outomaties ingetree wanneer u die DBA se Active Directory-rekening deaktiveer of verwyder.
As jy gemengde verifikasie modus gebruik, moet jy nie net die DBA se Windows-rekening deaktiveer nie, maar jy moet ook deur die plaaslike gebruikerslys op elke databasis bediener kam om te verseker dat daar geen plaaslike rekeninge bestaan waarin die DBA die wagwoord kan ken nie. Dit is baie werk!
Samevattend beïnvloed die modus wat u kies, beide die vlak van sekuriteit en die gemak van instandhouding van u organisasie se databasisse.