Занятие 1

Проверка подпйнности

Проверка подлинности средствами SQL Server 2000

Если подключающийся пользователь не прошел проверку подлинности в домене

Windows или подключается при помощи регистрационной записи SQL Server 2000, он может предложить SQL Server 2000 проверить его подлинность средствами SQL Server на основе указанных имени и пароля (если SQL Server 2000 допускает такой

вид проверки подлинности). При проверке подлинности собственными средствами SQL Server 2000 сравнивает переданное имя пользователя со списком зарегистрированных пользователей. Если SQL Server находит имя пользователя в таблице sysxlogins, он зашифровывает пароль и сравнивает его с зашифрованным паролем в таблице. По результатам проверки SQL Server 2000 предоставляет доступ или отказывает в нем,

Примечание Если клиентские и серверные сетевые библиотеки не используют для всего сеанса имя и пароль пользователя передаются SQL Server 2000

открытым текстом.

Сравнение типов проверки подлинности

В табл. 10-1 перечислены различные возможности зашиты, предоставляемые при проверке подлинности средствами Windows и средствами SQL Server 2000.

Табл. 10-1. Возможности защитри проверке подлинности средствами Windows и SQL Server 2000

Проверка подлинности средствами Windows

Проверка подлинности средствами SQL Server 2000

Имя и пароль, указываемые пользователем для входа в домен, передаются контроллеру домена Windows в зашифрованном виде

Когда пользователь, прошедший проверку подлинности, передает имя и пароль SQL Server 2000, билет или маркер

доступа зашифровываются

В Windows NT 4.0/2000 действует политика паролей (требуется сложный пароль, срок действия пароля ограничен)

В Windows NT 4.0/2000 действует политика блокировки учетных записей (при нескольких попытках ввода неправильного пароля)

Windows не проверяет подлинность пользователя

Имя и пароль, которые вводит пользователь, передаются в незашифрованном виде (если не включен протокол SSL)

Политики пароля нет: он может быть любой длины и сложности, его время действия не ограничено

SQL Server 2000 не блокирует учетные записи: пароль можно вводить сколько угодно раз

Клиентские сетевые библиотеки и проверка подлинности

Чтобы подключиться к серверное блиотеке, клиенты SQL Server 2000 используют аналогичную клиентскую библиотеку. Для поддержки нужного протокола пара сетевых библиотек должна быть активна на клиенте

и на сервере. На компьютерах с Windows NT 4.0/2000 клиентскими библиотеками по умолчанию являются TCP/IP Sockets и Named Pipes; они используются в той очередности, в какой перечислены здесь. В большинстве случаев вам не придется изменять настройки сетевых библиотек. Однако если возникают проблемы с подключением к SQL Server 2000, необходимо проверить настройки сетевых библиотек. Подключить

Управление ом к SOnrer 2000

Глава

новые сетевые библиотеки, задать для них нестандартные параметры соединения и определить очередность библиотек на клиентском компьютере мож-

но с помощью утилиты SQL Server Client Network Utility.

Запустить утилиту SQL Server Client Network Utility можно из меню Start\Prog-rams\ Microsoft SQL Server.

Рис. 10-1. Утилита SQL Server Client Network UtUity

Примечание Можно реализовать принудительное SSL-шифрование. Если вы пометите соответствующий флажок, система SQL Server 2000, к которой вы подключаетесь, также должна будет использовать шифрование. С помощью SQL Server Client Network Utility вы можете установить шифрование в сервернхх библиотеках Net-Libraries.

При использовании сетевых библиотек Named Pipes и Multiprotocol требуется, чтобы прошел проверку подлинности в домене Windows, и только потом он может подключиться к SQL Server 2000, используя средства проверки подлинности Windows или SQL Server 2000. Это не создает проблем, если вы используете Windows-клиент и уже зарегистрировались в том же самом домене (или доверенном домене), к которому принадлежит компьютер с SQL Server 2000. Если же вы пытаетесь подключиться к SQL Server 2000 с компьютера, не имеющего доверенного соединения с доменом, то при использовании библиотек Named Pipes и Multiprotocol вы не сможете этого сделать (однако, используя библиотеку TCP/IP Sockets, вы можете подключиться, если введете правильное имя и пароль).

Примечание Легче всег нтифицированное соединение (не входя в домен), подключившись к домена, к которому открыт доступ.

Ни библиотека TCP/I kels, ни любая другая не требует начальной проверки подлинности в домене Windows. Пользователь (или приложение) может попытаться подключиться к SQL Server 2000, используя сетевой протокол TCP/IP и библиотеку TCP/IP Sockets, с любого компьютера, который может установить соединение с SQL Server 2000. Поэтому вам необходимо знать, как обезопасить домен Windows и свой экземпляр SQL Server 2000, чтобы защитить данные.

Занятие 1 Проверка подпинносте 21113

Выбор режима проверки подлинности для SQL Server 2000

При установке SQL Server 2000 вы выбираете режим проверки подлинности, который будет использовать ваша система: режим проверки подлинности Windows или смешанный

Примечание Если ваш экземпляр SQL Server 2000 работает под управлением Windows вы можете использовать только проверку подлинности средствами SQL Server

2000.

Проверка подлинности Windows

Еслиустановлен/ежмл проверки подлинности Hnrfow9(Windows Autlientication Mode), пользователь может подключиться к SQL Server 2000 только с помощью средств проверки подлинности Windows (такое соединение называется доверенным). Windows NT 4.0/2000 обеспечивает различные методы для зашиты среды Windows, которые невозможно перечислить в этой книге, но которые очень важны для зашиты вашего экземпляра SQL Server 2000. К ним относятся политики учетнгх записей и групп, прокси-серверы, брандмауэры, маршрутизаторы и протокол FPSec (Internet Protocol Security). Благодаря этим механизмам использование режима проверки подлинности Windows

(доверенного соединения) обеспечивает лучшую защиту, чем проверка подлинности средствами SQL Server 2000.

Смешанный режим проверки подлинности

При смешанном режиме проверки подлинности (Mixed Authentication Mode) пользователь может подключиться к SQL Server 2000 с помощью средств проверки подлинности Windows или SQL Server 2000. Этот режим необходим для прямого подключения к SQL Server 2000 клиентов Novell NetWare, Apple Macintosh, Banyan Vines, UNIX и Linux. Однако при использовании этого режима данные защищены меньше, чем при режиме проверки подлинности Windows, и поэтому его следует использовать только

в случае крайней необходимости. Смена режимов проверки подлинности

Для смены режимов после установки используйте SQL Server Enterprise Manager.

В дереве консоли щелкните правой кнопкой свой экземпляр сервера и выберите Properties. На вкладке Security диалогового окна SQL Server Properties установите переключатель SQL Server And Windows или Windows Only, чтобы изменить режим проверка тности, и щелкните ис. 10-2).

Теперь выйдите из системы и перезапустите SQL Server, чтобы установить новый режим проверки. SQL Server Enterprise Manager запросит, нужно ли перезагрузить

сервер сейчас (рис. 10-3).

Примечание Если запушена служба SQL Server Agent, SQL Server Enterprise Manager выдаст сообщение с вопросом, следует ли остановить и перезапустить также и ее, однако сам не выполнит перезапуск. Вам придется сделать это вручную.