SQL Server配置delegation实现double-hop

本文涉及的产品
云数据库 RDS SQL Server,基础系列 2核4GB
RDS SQL Server Serverless,2-4RCU 50GB 3个月
推荐场景:
简介:

参考文献

SQL Kerberos的原理及实验

SQL Server native client与sqlcmd单独安装

前言

在上一篇博客SQL Kerberos的原理及实验中讲到了windows验证的两种模式分别是NTLM和Kerberos,那么他们有何区别,在功能上又有何不同。

NTLM是一种比较简单的方法,能够在大部分情况下完成任务。但是它只能完成单跃点认证(只有一个客户端和一个SQL Server服务器)。有些情况下有双跃点(double hop)甚至多跃点的认证需求,这时候就需要用到Kerberos技术。例如,一个用户利用IE浏览器访问有数据库连接脚本的网页,连接配置为使用它自己的Windows账号建立。这时候就需要IIS对这个用户运行IE浏览器的安全上下文(Security Context)首先做认证。通过认证后,再将它传递到SQL Server服务上,SQL Server服务再次认证,确认它有访问SQL Server数据库的权力。这个在IIS服务上完成的身份传递,我们称为双跃点,或者是Delegation(委托)(由客户端委托IIS做身份的传递)。还有一种常见的情况,就是在SQL Server上建立一个链接服务器(Linked Server),当配制安全的时候,选择的是使用当前用户的安全上下文登录目标链接服务器(Be made using the login's current security context)(见图5-24)。在这种选择下,本地的SQL Server也会做一次双跃点,把客户端的安全上下文传递到远端的SQL Server服务器上。

正文

本文主要讲解如何配置delegation,delegation的前提条件就是已经配置好了Kerberos验证,具体方法参考前一篇博客SQL Kerberos的原理及实验

实验环境还是前面的提到的三台机器,分别是DC->SANZ-W7(做跃迁节点)->WUW-W7。其中SANZ-W7使用local system启动sql server服务,而WUW-W7使用域账户wuwang启动sql server服务。之所以提到这一点,是因为我们在后面会看到使用WUW-W7做跃迁节点的时候,在DC上做delegation查询时会报错,而使用SANZ-W7做跃迁节点却成功,具体报错内容如下:

Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.

下面我们讲解如何配置delegation,kerberos配置省略。

步骤1:

首先在DC中的computer找到DC,SANZ-W7和WUW-W7,将其配置成“Trust this computer for delegation to any service (Kerberos only)”,如下图所示:

步骤2:

将DC上用户进行delegation查询的域账户administrator的“Account is sensitive and cannot be delegated”属性关闭,也就是不选,如下图所示:

步骤3:

回到DC上,验证SPN已经在了,我的域名是msft,我们在命令行中执行如下命令:

ldifde -d "CN=Users,DC=toppest,DC=com" -l servicePrincipalName -F output.txt

执行结果如下图所示:

然后我们可以在C:\Users\Administrator下找到这个output.txt文件。然后确认SQL Server的启动账号wuwang下,有两个SQL Server的SPN,并且没有其他账户注册相同的SPN

dn: CN=Wu Wang,CN=Users,DC=msft,DC=com
changetype: add
servicePrincipalName: MSSQLSvc/WUW-W7.msft.com:1433
servicePrincipalName: MSSQLSvc/WUW-W7.msft.com

我在自己的output.txt文件中确实找到了如下信息,但是没有找到sanzhang这个域账户的信息,只有如下所示的spn信息

dn: CN=San Zhang,CN=Users,DC=msft,DC=com
changetype: add

这可能就是使用域账户启动服务和使用local system启动sql server的区别吧。也真是因为在output.txt中没有sanzhang的spn注册信息,所以才有前面提到的不能使用WUW-W7作为跃迁节点。因为DC在进行delegation的时候,最后一个节点必须是域账户注册spn的,也就是能够在output.txt上找到spn信息的节点。

步骤4

在DC的找到wuwang和sanzhang账号,确认它在Delegation这个选项卡里,选择了“Trust this user for delegation to any service (Kerberos only)”,我发现我这里只有wuwang账户有delegation选项,如下图所示:

步骤5

我们在跃迁节点SANZ-W7上建立一个连接服务器Linked Server,用来连接WUW-W7这个服务器,创建连接服务器的sql代码如下所示:

复制代码
--删除服务器
Exec sp_dropserver WANGWU

--创建链接服务器
EXEC  sp_addlinkedserver
      @server='WANGWU',--被访问的服务器别名 
      @srvproduct='',
      @provider='SQLOLEDB',
      @datasrc='WUW-W7'   --要访问的服务器

--测试查询
select * from WANGWU.InsideTSQL2008.HR.Employees
select * from WANGWU.InsideTSQL2008.Sales.Orders
复制代码

步骤6

我们要进行delegation,相当于是DC通过SANZ-W7来访问WUW-W7,所以我们必须在WUW-W7中将DC的用户administrator添加到windows验证的login中,并且赋予查询测试数据库InsideTSQL2008的权限。

如果你的DC没有安装sql server,你只需要安装sql server native client和sqlcmd就可以连接数据库了,具体方法参考博客:SQL Server native client与sqlcmd单独安装 。

在DC中使用sqlcmd连接跃迁节点SANZ-W7,连接代码如下:

sqlcmd -S SANZ-W7 -E

此时我们去查看SANZ-W7的安全日志(Event View->Windows log->Security),我们会发现有一个从DC\Administrator的访问,并且使用Kerberos验证,如下图所示:

接着我们通过链接服务器连接WUW-W7这个数据库,代码如下图所示:

运行完上述命令以后会得到查询结果,彼此我们去查看WUW-W7的安全日志,会发现多了一条从administrator过来的kerberos验证登陆,跟前面的安全日志一样。

综上,我们就完整了delegation的完整配置。

 

 

 本文转自xwdreamer博客园博客,原文链接:http://www.cnblogs.com/xwdreamer/archive/2012/08/12/2634184.html,如需转载请自行联系原作者

相关实践学习
使用SQL语句管理索引
本次实验主要介绍如何在RDS-SQLServer数据库中,使用SQL语句管理索引。
SQL Server on Linux入门教程
SQL Server数据库一直只提供Windows下的版本。2016年微软宣布推出可运行在Linux系统下的SQL Server数据库,该版本目前还是早期预览版本。本课程主要介绍SQLServer On Linux的基本知识。 相关的阿里云产品:云数据库RDS SQL Server版 RDS SQL Server不仅拥有高可用架构和任意时间点的数据恢复功能,强力支撑各种企业应用,同时也包含了微软的License费用,减少额外支出。 了解产品详情: https://www.aliyun.com/product/rds/sqlserver
目录
相关文章
|
3月前
|
SQL BI 网络安全
SQL Server2014的安装与配置
SQL Server2014的安装与配置
198 0
|
4月前
|
SQL XML Java
mybatis :sqlmapconfig.xml配置 ++++Mapper XML 文件(sql/insert/delete/update/select)(增删改查)用法
当然,这些仅是MyBatis功能的初步介绍。MyBatis还提供了高级特性,如动态SQL、类型处理器、插件等,可以进一步提供对数据库交互的强大支持和灵活性。希望上述内容对您理解MyBatis的基本操作有所帮助。在实际使用中,您可能还需要根据具体的业务要求调整和优化SQL语句和配置。
78 1
|
4月前
|
关系型数据库 MySQL 网络安全
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
|
6月前
|
SQL 存储 监控
SQL Server的并行实施如何优化?
【7月更文挑战第23天】SQL Server的并行实施如何优化?
152 13
|
6月前
|
SQL
解锁 SQL Server 2022的时间序列数据功能
【7月更文挑战第14天】要解锁SQL Server 2022的时间序列数据功能,可使用`generate_series`函数生成整数序列,例如:`SELECT value FROM generate_series(1, 10)。此外,`date_bucket`函数能按指定间隔(如周)对日期时间值分组,这些工具结合窗口函数和其他时间日期函数,能高效处理和分析时间序列数据。更多信息请参考官方文档和技术资料。
|
6月前
|
SQL 存储 网络安全
关系数据库SQLserver 安装 SQL Server
【7月更文挑战第26天】
84 6
|
6月前
|
SQL Java 数据库连接
idea中配置mybatis 映射文件模版及 mybatis plus 自定义sql
idea中配置mybatis 映射文件模版及 mybatis plus 自定义sql
136 3
|
6月前
|
存储 SQL C++
对比 SQL Server中的VARCHAR(max) 与VARCHAR(n) 数据类型
【7月更文挑战7天】SQL Server 中的 VARCHAR(max) vs VARCHAR(n): - VARCHAR(n) 存储最多 n 个字符(1-8000),适合短文本。 - VARCHAR(max) 可存储约 21 亿个字符,适合大量文本。 - VARCHAR(n) 在处理小数据时性能更好,空间固定。 - VARCHAR(max) 对于大文本更合适,但可能影响性能。 - 选择取决于数据长度预期和业务需求。
514 1
|
5月前
|
SQL 安全 Java
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol version TLS10 is not accepted by client
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol version TLS10 is not accepted by client
569 0
|
6月前
|
SQL 存储 关系型数据库
SQL安装实战:从零开始,一步步掌握SQL数据库的安装与配置
配置SQL数据库以优化性能 安装完成后,接下来的任务是对SQL数据库进行必要的配置,以确保其能够顺利运行并满足你的性能需求。以下是一些关键的配置步骤: