Microsoft SQL Server 2016 administratorima nudi dva izbora za implementaciju načina na koji će korisnici autentificirati korisnike: način provjere autentičnosti sustava Windows ili način miješanja autentičnosti.
Provjera autentičnosti sustava Windows znači da SQL Server potvrđuje identitet korisnika koristeći samo svoje korisničko ime i zaporku za sustav Windows. Ako je korisnik već provjerio sustav Windows, SQL Server ne traži lozinku.
Mješoviti način rada znači da SQL Server omogućuje autentifikaciju sustava Windows i provjeru autentičnosti sustava SQL Server. Provjera autentičnosti sustava SQL Server stvara prijave korisnika nepovezane s programom Windows.
Osnove provjere autentičnosti
Autentifikacija je proces potvrde identiteta korisnika ili računala. Proces normalno sastoji se od četiri koraka:
- Korisnik podnosi zahtjev za identitetom, obično dajući korisničko ime.
- Sustav osporava korisnika kako bi dokazao svoj identitet. Najčešći izazov je zahtjev za lozinkom.
- Korisnik odgovara na izazov dajući traženi dokaz, obično lozinku.
- Sustav provjerava da je korisnik pružio prihvatljiv dokaz, na primjer, provjeru lozinke protiv lokalne baze lozinke ili korištenjem centraliziranog poslužitelja za provjeru autentičnosti.
Za raspravu o načinima provjere autentičnosti za SQL Server, kritična točka nalazi se u četvrtom koraku iznad: točka u kojoj sustav provjerava korisnikov dokaz o identitetu. Odabir načina provjere autentičnosti određuje gdje SQL Server odlazi provjeriti korisničku lozinku.
O načinu provjere autentičnosti sustava SQL Server
Idemo istražiti ova dva moda malo dalje:
Način provjere valjanosti sustava Windows zahtijeva da korisnici daju valjano korisničko ime i lozinku za sustav Windows za pristup poslužitelju baze podataka. Ako je taj način odabran, SQL Server onemogućuje funkciju prijavljivanja za SQL Server, a identitet korisnika potvrđuje isključivo njegov račun za Windows. Ovaj se način ponekad naziva integrirana sigurnost zbog ovisnosti o sustavu Windows za autentifikaciju.
Način miješanog provjere autentičnosti omogućuje korištenje vjerodajnica za Windows, ali ih nadopunjuje lokalnim korisničkim računima SQL Server-a koji administrator stvara i održava unutar sustava SQL Server. Korisničko korisničko ime i lozinka pohranjeni su u sustavu SQL Server, a korisnici moraju biti ponovno potvrđeni svaki put kada se povežu.
Odabir načina provjere autentičnosti
Microsoftova preporuka za najbolju praksu je upotreba modusa autentifikacije sustava Windows kad god je to moguće. Glavna prednost je u tome što upotreba ovog načina rada omogućuje centralizaciju administriranja računa za cijelo poduzeće na jednom mjestu: Active Directory. To dramatično smanjuje šanse za pogrešku ili nadzor. Budući da Windows potvrđuje korisnički identitet, određeni korisnički i grupni računi za Windows mogu se konfigurirati za prijavu na SQL Server. Nadalje, autentičnost sustava Windows koristi šifriranje za provjeru autentičnosti korisnika sustava SQL Server.
S druge strane, autentifikacija sustava SQL Server dopušta da se korisnička imena i lozinke šalju diljem mreže, što ih čini manje sigurnima. Ovaj način može biti dobar izbor, međutim, ako se korisnici povezuju s različitim nepovjerljivim domenama ili kada su u upotrebi manje sigurne internetske aplikacije, kao što je ASP.NET.
Na primjer, razmislite o scenariju u kojem pouzdani administrator baze podataka napušta vašu organizaciju na neprijateljske uvjete. Ako koristite način provjere autentičnosti sustava Windows, opoziv tog pristupa korisnika automatski se događa kada onemogućite ili uklonite DBA račun za Active Directory.
Ako koristite način miješanog provjere autentičnosti, ne samo da trebate onemogućiti račun za Windows DBA, već ćete također morati povezati lokalne popise korisnika na svakom poslužitelju baze podataka kako biste osigurali da nema lokalnih računa u kojima DBA može znati lozinku. To je puno posla!
Ukratko, način koji odaberete utječe i na razinu sigurnosti i jednostavnost održavanja baze podataka vaše organizacije.