Izbor režima autentičnosti SQL Servera

Microsoft SQL Server 2016 nudi administratorima dva izbora za primenu načina na koji će sistem autentifikovati korisnike: Windows način provjere autentičnosti ili mješoviti način provjere autentičnosti.

Autentifikacija za Windows znači da SQL Server potvrđuje identitet korisnika koristeći samo njegovo Windows korisničko ime i lozinku. Ako je korisnik već bio autentifikovan od strane Windows sistema, SQL Server ne traži lozinku.

Mješoviti režim znači da SQL Server omogućava autentifikaciju Windowsa i autentifikaciju SQL Servera. Provera identiteta SQL Servera stvara korisničke prijave koje nisu povezane sa Windows-om.

Osnove autentičnosti

Autentifikacija je proces potvrđivanja identiteta korisnika ili računara. Proces se obično sastoji od četiri koraka:

  1. Korisnik podnosi zahtev za identitet, obično pružanjem korisničkog imena.
  2. Sistem osporava korisnika da dokaže svoj identitet. Najčešći izazov je zahtev za lozinku.
  3. Korisnik odgovara na izazov pružanjem traženog dokaza, obično lozinkom.
  4. Sistem proverava da li je korisnik pružio prihvatljive dokaze, na primer, proverom lozinke protiv lokalne baze lozinki ili korišćenjem centralizovanog servera za potvrđivanje identiteta.

Za našu diskusiju o režimima za potvrđivanje SQL Servera, kritična tačka je u četvrtom koraku iznad: tačka na kojoj sistem potvrđuje identitet korisnika. Izbor načina provjere autentičnosti određuje gdje SQL Server ide kako bi potvrdio korisničku lozinku.

O SQL Server autentikacijskim režimima

Hajde da istražimo ova dva načina malo dalje:

Režim provjere autentičnosti Windowsa zahtijeva da korisnici daju važeću Windows korisničko ime i lozinku za pristup serveru baze podataka. Ako je odabran ovaj režim, SQL Server onemogućava funkciju prijavljivanja za određeni SQL Server, a identitet korisnika potvrđuje isključivo preko njegovog Windows naloga. Ovaj mod se ponekad naziva integrisanom sigurnosnom zaštitom zbog zavisnosti SQL Servera na Windows-u radi provjere autentičnosti.

Režim mješovite autentifikacije dozvoljava korištenje Windows akreditacija, ali ih dopunjava lokalnim SQL Server korisničkim nalozima koje administrator kreira i održava unutar SQL Servera. Korisničko korisničko ime i lozinka su sačuvane u SQL Serveru, a korisnici moraju ponovo biti autentifikovani svaki put kada se povežu.

Izbor režima autentičnosti

Preporuka Microsoftove najbolje prakse je da koristite Windows Autentication mod kad god je to moguće. Glavna prednost je što korišćenje ovog režima omogućava vam da centralizujete administraciju naloga za celokupno preduzeće na jednom mestu: Active Directory. Ovo dramatično smanjuje šanse greške ili nadzora. S obzirom na to da je identitet korisnika potvrđen od strane Windows-a, određeni korisnici Windows i korisničke grupe mogu biti konfigurisani da se prijavljuju na SQL Server. Dalje, Windows autentikacija koristi šifrovanje za autentifikaciju korisnika SQL Servera.

S druge strane, potvrđivanje identiteta SQL Servera dozvoljava korisnička imena i lozinke u celoj mreži, čineći ih manje sigurnim. Ovaj način može biti dobar izbor, međutim, ako se korisnici povezuju iz različitih domena bez poverenja ili kada se koriste manje bezbedne Internet aplikacije, kao što je ASP.NET.

Na primer, razmotrite scenario u kojem administrator pouzdane baze podataka ostavlja vašu organizaciju neprijateljskim terminima. Ako koristite režim provjere autentičnosti za Windows, oduzimanje pristupa tog korisnika se odvija automatski kada onemogućite ili uklonite DBA račun Active Directory.

Ako koristite mešovitu režim autentičnosti, ne morate samo da onemogućite Windows račun DBA-a, ali takođe morate pročistiti lokalne popise korisnika na svakom serveru baze podataka kako biste bili sigurni da ne postoje lokalni nalozi u kojima DBA može znati lozinku. To je puno posla!

Ukratko, način koji izaberete utiče na nivo sigurnosti i lakoću održavanja baze podataka vaše organizacije.