Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
!!! Конспект ББД 2.docx
Скачиваний:
0
Добавлен:
01.04.2025
Размер:
60.61 Кб
Скачать

Аутентификация и интеграция с доменом Windows

SQL Server может работать в двух режимах аутентификации пользователей, используя либо режим аутентификации Windows, либо смешанный режим аутентификации.

Смешанный режим позволяет пользователям регистрироваться как средствами Windows так и средствами SQL Server. При этом речь идёт только о праве подключения пользователя к серверу баз данных. После регистрации пользователя в SQL Server способ проверки прав доступа к конкретной базе данных одинаков для обоих режимов аутентификации.

При выборе режима аутентификации следует исходить как из требований обеспечения наибольшей безопасности, так и из соображений простоты администрирования. Если организация небольшая и должности администратора сети и администратора баз данных совмещает один и тот же человек, то удобнее использовать аутентификацию Windows. Если в организации сотни пользователей и функции системного администратора и администратора баз данных выполняют разные люди, то удобнее использовать аутентификацию средствами SQL Server. В противном случае человеку, занимающемуся администрированием баз данных, придётся постоянно обращаться к системному администратору для создания нового пользователя, смены пароля, или для перевода пользователя из одной группы в другую. К тому же, системный администратор будет иметь возможность назначать права доступа по своему усмотрению, что приведёт к тому, что пользователи смогут получить слишком много, или, наоборот, слишком мало прав для работы с базой данных.

Режим аутентификации Wondows

Когда пользователь подключается с использованием учетной записи Windows, SQL Server должен только удостовериться, что пользователь был успешно аутентифицирован доменом Windows, так как он вводил своё имя и пароль для входа в домен. Этот метод подключения называется установлением доверительного соединения.

Можно быть уверенным в защищённости системы, поскольку серверная версия операционной системы Windows соответствует стандартам безопасности министерства обороны США.

Отдельным преимуществом использования подобного режима аутентификации является организация интегрированной системы безопасности. Если в сети имеется множество ресурсов, гораздо удобнее использовать единый пароль для доступа ко всем нужным ресурсам. Пользователь вводит пароль только один раз при входе в домен. После регистрации в домене пользователь получает набор атрибутов безопасности Access Control List. Разрешение на доступ к ресурсу домена происходит только на основании этих атрибутов. Благодаря этому не требуется вводить лишний раз пароль. Аналогичным образом и SQL Server предоставляет или запрещает доступ, основываясь только на этих атрибутах.

Для обеспечения защищённости при регистрации применяется шифрование паролей, которое работает при использовании любого сетевого протокола. Использование режима аутентификации Windows позволяет интегрировать в SQL Server дополнительные средства поддержки безопасности Windows такие, как ограничение минимальной длины пароля, ограничение срока действия пароля, запрещение повторного использования паролей и временная блокировка учётных записей при определённом количестве неудавшихся попыток регистрации.

Поскольку информация о пользователях и группах Windows управляется операционной системой, то SQL Server считывает информацию о принадлежности пользователей группе при их подключении. При модификации пользователей или группы изменения будут учтены только при следующей регистрации в SQL Server или в домене Windows в зависимости от категорий изменений.

Режим аутентификации Windows позволяет пользователю, зарегистрированному на SQL Server выполнять удалённый процедуры и получать доступ к объектам на другом сервере, используя механизмы удалённого вызова процедур. При этом используется учётная запись пользователя в домене, а не отображение логина пользователя на первом SQL сервере в пользователя второго сервера. Это позволяет упростить систему безопасности и администрирования связанных серверов. Если пользователь пытается подключиться к серверу в другом домене, не имеющем доверительных отношений с доменом, в котором он зарегистрирован, ему будет необходимо пройти процедуру аутентификации другого сервера.

Если пользователь пытается подключиться к серверу баз данных, используя пустое имя, автоматически реализуется режим аутентификации Windows. Кроме того, если установлен смешанный режим аутентификации и пользователь домена вводит имя и пароль для доступа, так же будет использован режим аутентификации Windows.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]