Microsoft SQL Server 2016 предлагает администраторам два варианта реализации способа аутентификации пользователей в системе: режим аутентификации Windows или смешанный режим аутентификации.
Проверка подлинности Windows означает, что SQL Server проверяет личность пользователя, используя только его имя пользователя и пароль Windows. Если пользователь уже прошел проверку подлинности в системе Windows, SQL Server не запрашивает пароль.
Смешанный режим означает, что SQL Server включает как аутентификацию Windows, так и аутентификацию SQL Server. Аутентификация SQL Server создает логины пользователей, не связанные с Windows.
Основы аутентификации
Аутентификация – это процесс подтверждения личности пользователя или компьютера. Процесс обычно состоит из четырех этапов:
-
Пользователь предъявляет личность, обычно предоставляя имя пользователя.
-
Система бросает вызов пользователю, чтобы подтвердить свою личность. Самым распространенным вызовом является запрос пароля.
-
Пользователь отвечает на вызов, предоставляя запрошенное доказательство, обычно пароль.
-
Система проверяет, что пользователь предоставил приемлемое доказательство, например, проверяя пароль по локальной базе паролей или используя централизованный сервер аутентификации.
Для нашего обсуждения режимов аутентификации SQL Server критический момент находится на четвертом шаге выше: момент, когда система проверяет личность пользователя. Выбор режима аутентификации определяет куда SQL Server отправляется для проверки пароля пользователя.
О режимах аутентификации SQL Server
Давайте рассмотрим эти два режима немного дальше:
Режим аутентификации Windows требует, чтобы пользователи указывали действительное имя пользователя и пароль Windows для доступа к серверу базы данных. Если выбран этот режим, SQL Server отключает функции входа в систему для SQL Server, и личность пользователя подтверждается только через его учетную запись Windows. Этот режим иногда называют встроенной защитой из-за зависимости SQL Server от Windows для проверки подлинности.
Смешанный режим аутентификации позволяет использовать учетные данные Windows, но дополняет их локальными учетными записями пользователей SQL Server, которые администратор создает и поддерживает в SQL Server. Имя пользователя и пароль пользователя хранятся в SQL Server, и пользователи должны проходить повторную проверку подлинности при каждом подключении.
Выбор режима аутентификации
Лучшая рекомендация Microsoft – по возможности использовать режим проверки подлинности Windows. Основное преимущество заключается в том, что использование этого режима позволяет централизовать администрирование учетных записей для всего предприятия в одном месте: Active Directory. Это значительно снижает вероятность ошибки или недосмотра. Поскольку личность пользователя подтверждается Windows, для входа в SQL Server можно настроить определенные учетные записи пользователей и групп Windows. Кроме того, проверка подлинности Windows использует шифрование для проверки подлинности пользователей SQL Server.
Аутентификация SQL Server, с другой стороны, позволяет передавать имена пользователей и пароли по всей сети, делая их менее безопасными. Однако этот режим может быть хорошим выбором, если пользователи подключаются из разных ненадежных доменов или когда, возможно, используются менее безопасные интернет-приложения, такие как ASP.net.
Например, рассмотрим сценарий, в котором доверенный администратор базы данных покидает вашу организацию на недружественных условиях. Если вы используете режим аутентификации Windows, отзыв доступа этого пользователя происходит автоматически, когда вы отключаете или удаляете учетную запись Active Directory администратора баз данных.
Если вы используете смешанный режим проверки подлинности, вам нужно не только отключить учетную запись Windows администратора БД, но и прочесать списки локальных пользователей на каждом сервере базы данных , чтобы убедиться в отсутствии локальных учетных записей, в которых Администратор базы данных может знать пароль. Это много работы!
Итак, выбранный вами режим влияет как на уровень безопасности, так и на простоту обслуживания баз данных вашей организации.
