原文:Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38332605,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

前一篇:http://blog.csdn.net/dba_huangzj/article/details/38263043

前言:

在活动目录(Active Directory)中,有两种身份验证机制:NTLM和Kerberos。其中NTLM(NT LAN Manager)是基于旧版加密方式的授权协议,微软不建议再使用。详情可见:http://msdn.microsoft.com/en-us/library/cc236715.aspx

Kerberos是一个免费的软件协议,有MIT(麻省理工)首先开发出来,并从Windows 2000开始引入。通过secured tickets(暂时未发现专业术语)的转换对客户端和服务器进行安全识别。相对于使用哈希密码,Kerberos通过共享安全加密密钥来管理身份验证。客户端和验证服务器共享一个对称密钥,。其中验证服务器成为KDC(Key Distributor Center,密钥分发中心),并且作为域控制器的服务运行。

在登录时,客户端会从KDC中请求一个Ticket Grant Ticket (TGT) ,然后KDC创建一个包含客户端标识的TGT,并连同把带有密钥的会话返回给客户端。TGT的寿命不长,通常只有8~10小时。过时之后,客户端不能在访问资源。

服务标签(Service ticket)必须包含目标资源(如SQL Server实例)的Service Principal Name(SPN,服务主体名称)。当KDC接收到请求,会回送服务标签。这个标签会在后续用于客户端请求访问服务器之用。更多信息可以访问:http://technet.microsoft.com/en-us/library/cc772815.aspx

实现:

使用Kerberos,需要在域环境中,并且服务器的SPN必须已经注册到Active Directory。如果满足这些条件,那么Kerberos应该默认已经使用,可以在SQL Server中检查:

SELECT auth_scheme, net_transport, client_net_address FROM sys.dm_exec_connections;

如果连接是来自同一个域或者使用NTLM授权的可信任域,需要研究为什么没有使用Kerberos。当SQL Server启动时,会尝试自动注册自己的SPN到Active Directory中,如果SQL Server服务帐号没有权限,那么SPN就不能创建,并且Kerberos授权也将不能使用。

检查SPN是否已经注册,可以在cmd或者PowerShell中输入下面的命令:

setspn.exe -L DOMAIN\<SQL service Account>

本人环境下如图:

应该要看到其中一个信息:

MSSQLSvc/SQL-A.Contoso.com:1433  --格式为:MSSQLSvc/<SQL Server机器名>.<域名>.com:<端口号>

检查上图可见没有这个信息,证明没有成功,所以再上一个图的结果周鞥只有NTLM授权。通常是因为这个帐号没有"write public information"  权限。默认情况下,SQL Server服务帐号如果是一个域用户安装的,将没有这个权限。

现在把SQL Server服务帐号换成域管理员,再次检查可见已经得到期待结果了:

如果发现没有注册SPN,可以使用下面步骤实现:

1. 在域控制器的【管理工具】中,选择【ADSI 编辑器】:

2.连接到【默认命名上下文】,查找服务帐号并且右键【属性】,然后选择【安全】页:

3. 对SELF授予【写入 公共 信息】,并重启SQL Server服务:

注意,本机是用contoso\mirroradmin安装和运行的,所以这里选择这个帐号授权。授权完毕之后,再次查询,可以见到已经有Kerberos连进了了。

原理:

SPN是实例的唯一标识,没有合适的SPN,Kerberos不能验证一个服务并提供服务标签来允许客户端访问。所以如果没有SPN,客户端唯一能用的验证方式是NTLM,而SPN必须安装在活动目录,并且有KDC角色。

SPN的固定格式:<service>/<host>:<port/name>。其中host是完全合格域名(Fully Qualified Domain Name  ,FQDN)。

更多信息:

如果不想授予【写入公共信息】到AD上,或者某些原因SPN不能注册,可以手动执行下面语句创建:

setspn.exe -A MSSQLSvc/SQL-A.Contoso.com:<port> Contoso\SQL-A  --其中SQL-A是机器名,contoso是域名

对于Kerberos问题侦测可以阅读下面文章:

http://blogs.technet.com/b/askds/archive/2008/05/14/troubleshooting-kerberos-authentication-problems-name-resolution-issues.aspx

下一篇:http://blog.csdn.net/dba_huangzj/article/details/38368737

Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证的更多相关文章

  1. Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击

    原文:Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击 原文出处:http://blog.csdn.net/dba_huang ...

  2. Chapter 1 Securing Your Server and Network(8):停止未使用的服务

    原文:Chapter 1 Securing Your Server and Network(8):停止未使用的服务 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  3. Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse

    原文:Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse 原文出处:http://blog.csdn.net/dba_h ...

  4. Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

    原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_hu ...

  5. Chapter 1 Securing Your Server and Network(5):使用SSL加密会话

    原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/art ...

  6. Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号

    原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  7. Chapter 1 Securing Your Server and Network(3):使用托管服务帐号

    原文:Chapter 1 Securing Your Server and Network(3):使用托管服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  8. Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号

    原文:Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_huan ...

  9. Chapter 1 Securing Your Server and Network(12):保护链接server

    原文出处:http://blog.csdn.net/dba_huangzj/article/details/38438363.专题文件夹:http://blog.csdn.net/dba_huangz ...

随机推荐

  1. NGUI研究之在Unity中使用贝塞尔曲线

    鼎鼎大名的贝塞尔曲线相信大家都耳熟能详.这两天由于工作的原因须要将贝塞尔曲线加在project中.那么我迅速的研究了一下成果就分享给大家了哦.贝塞尔曲线的原理是由两个点构成的随意角度的曲线,这两个点一 ...

  2. cocos2d-x ios游戏开发初认识(五) CCsprite精灵类

    这次写一下精灵创建的几种类型: 一.通过文件创建: 在原有的基础上加入例如以下代码: //一.通过文件创建精灵 CCSprite *bg =CCSprite::create("map.png ...

  3. Effective C++ 条款24

    若全部參数皆需类型转换,请为此採用non-member函数 我们直奔主题 假设你定义一个有理数类例如以下 class Rational{ public: Rational(int numerator= ...

  4. (适合入门)JVM堆内存相关的启动参数:年轻一代、岁和永久代内存分配

    假设你要观察JVM进程消耗的堆内存,通过命令工具jmap或可视化工具jvisualvm.exe.JVM这些参数的默认启动值.假设你想知道JVM内存分配策略,最开始手动设置这些参数.通过JDK统计结果, ...

  5. Maven插件之buildnumber-maven-plugin

    某些情况下(这种情况一般很少见),使用maven构建项目时,需要一个不重复的序列号,比如说,打包时,包名称以当前构建时间结尾,或者每次生成的jar包中包含唯一的序列号,等等; 这个时候,就用到了bui ...

  6. C++用于修饰的keyword

    1.const修饰指针 (1)const int *p=&x:不可改动*p的内容,但能够让指针p指向还有一个地址,和int const *p一样 (2)int *const p=&x: ...

  7. UVa 884 - Factorial Factors

    题目:输出n!中素数因数的个数. 分析:数论.这里使用欧拉筛法计算素数,在计算过程中求解就可以. 传统筛法是利用每一个素数,筛掉自己的整数倍: 欧拉筛法是利用当前计算出的全部素数,乘以当前数字筛数: ...

  8. 【OC加强】NSDate的使用方法——日期时间在实际开发中比較有用

    (1)日期的最主要知识点就是日期转换成字符串格式化输出,相反就是依照某个格式把字符串转换成日期. (2)一般关于时区的设置非常少用到,仅仅要了解就可以. #import <Foundation/ ...

  9. 八月份 CUGBACM_Summer_Tranning 题解

    CUGBACM_Summer_Tranning4 比赛链接:http://vjudge.net/contest/view.action?cid=52230#overview 题解链接: F . HDU ...

  10. 用python调用R做数据分析-准备工作

    0.R的介绍 R是自由软件,不带不论什么担保.在某些条件下你能够将其自由散布,用'license()'或'licence()'来看散布的具体条件. R是个合作计划.有很多人为之做出了贡献,用'cont ...