Microsoft SQL Server 2016 erbjuder administratörer två val för att implementera hur systemet ska autentisera användare: Windows autentiseringsläge eller blandat autentiseringsläge.
Windows-autentisering betyder att SQL Server validerar en användares identitet med endast sitt användarnamn och lösenord för Windows. Om användaren redan har verifierats av Windows-systemet begär SQL Server inte ett lösenord.
Blandat läge innebär att SQL Server möjliggör både Windows-autentisering och SQL Server-autentisering. SQL Server-autentisering skapar användarinloggningar som inte är relaterade till Windows.
Grunder för autentisering
Autentisering är processen att bekräfta användarens eller datorns identitet. Processen består normalt av fyra steg:
-
Användaren gör anspråk på identitet, oftast genom att ange ett användarnamn.
-
Systemet utmanar användaren att bevisa sin identitet. Den vanligaste utmaningen är en begäran om ett lösenord.
-
Användaren svarar på utmaningen genom att tillhandahålla det begärda beviset, vanligtvis ett lösenord.
-
Systemet verifierar att användaren har tillhandahållit acceptabelt bevis genom att t ex kontrollera lösenordet mot en lokal lösenordsdatabas eller använda en centraliserad autentiseringsserver.
För vår diskussion av SQL Server-autentiseringslägen ligger den kritiska punkten i det fjärde steget ovan: den punkt där systemet verifierar användarens identitetsbevis. Valet av ett autentiseringsläge bestämmer var SQL Server går för att verifiera användarens lösenord.
Om SQL Server Authentication Modes
Låt oss utforska dessa två lägen lite längre:
Windows autentiseringsläge kräver att användarna tillhandahåller ett giltigt användarnamn och lösenord för Windows för att komma åt databasservern. Om det här läget är valt, avaktiverar SQL Server den SQL Server-specifika inloggningsfunktionen, och användarens identitet bekräftas enbart genom sitt Windows-konto. Detta läge kallas ibland som integrerad säkerhet på grund av SQL Server beroende av Windows för autentisering.
Blandat autentiseringsläge tillåter användningen av Windows-referenser, men kompletterar dem med lokala SQL Server-användarkonton som administratören skapar och underhåller inom SQL Server. Användarens användarnamn och lösenord lagras båda i SQL Server, och användarna måste autentiseras varje gång de ansluter.
Väljer ett autentiseringsläge
Microsofts bästa praxis rekommendation är att använda Windows autentiseringsläge när det är möjligt. Den största fördelen är att användningen av det här läget gör att du kan centralisera kontoadministration för hela företaget på ett enda ställe: Active Directory. Detta minskar dramatiskt risken för fel eller övervakning. Eftersom användarens identitet är bekräftad av Windows kan särskilda Windows-användar- och gruppkonton konfigureras för att logga in på SQL Server. Vidare använder Windows-autentisering kryptering för att verifiera SQL Server-användare.
SQL Server-autentisering tillåter å andra sidan användarnamn och lösenord att skickas över hela nätverket, vilket gör dem mindre säkra. Det här läget kan vara ett bra val, men om användare ansluter från olika otillförlitliga domäner eller när det är möjligt, är mindre säkra Internet-applikationer som används, till exempel ASP.NET.Tänk exempelvis på det scenario där en betrodd databasadministratör lämnar din organisation på ovänliga villkor. Om du använder Windows-autentiseringsläget återkallas den användarens åtkomst automatiskt när du inaktiverar eller tar bort DBA: s Active Directory-konto. Om du använder blandat autentiseringsläge behöver du inte bara avaktivera DBA: s Windows-konto, men du måste också kamma igenom de lokala användarlistorna på varje databasserver för att säkerställa att inga lokala konton finns där DBA kan känna till lösenordet. Det är mycket jobb! Sammanfattningsvis påverkar det läge du väljer, både nivån på säkerheten och det enkla underhållet av organisationens databaser.
