Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 поведение при windows authentication mode  [new]
17dufa
Member

Откуда:
Сообщений: 65
Добрый день,
до этого работал в ситуации, когда приложение и БД находились на одной машине. Теперь возникает необходимость доступа к сторонней БД, находящейся на другой машине. Сейчас эта БД выглядит так:MS SQL 2005, работающий в windows authentication mode и с единственным разрешенным протоколом shared memory. Хватит ли разрешить TCP/IP? Если да, то под каким пользователем будет проходить соединение? Что прописывать в connection string в качестве пользователя? Если необходимо перевести в mixed mode, то как это отразиться на внешнем приложении, которое работает в текущий момент с этой БД локально?
26 сен 12, 20:43    [13228389]     Ответить | Цитировать Сообщить модератору
 Re: поведение при windows authentication mode  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
автор
Хватит ли разрешить TCP/IP?


Со стороны сервера - да. Но между серером и клиентом могут быть друие препятствия, которые не позволят соединиться, например, файрвол.

автор
Если да, то под каким пользователем будет проходить соединение?


Под доменной учетной записью пользователя, запустившего клиентское приложение, которое подключается к бд.

автор
Что прописывать в connection string в качестве пользователя?


Ничего. В строке подключения должен быть указан следующий параметр: Integrated Security=SSPI

автор
Если необходимо перевести в mixed mode, то как это отразиться на внешнем приложении, которое работает в текущий момент с этой БД локально?


Никак. За исключением того, что смена режима аутенфикации сервера требует рестарта службы MS SQL Server.
26 сен 12, 22:04    [13228634]     Ответить | Цитировать Сообщить модератору
 Re: поведение при windows authentication mode  [new]
17dufa
Member

Откуда:
Сообщений: 65
итого, при наличии домена все в шоколаде.
а если домена нет?
26 сен 12, 22:36    [13228751]     Ответить | Цитировать Сообщить модератору
 Re: поведение при windows authentication mode  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
17dufa,

Тогда о какой windows authentication может идти речь? С какой целью?
26 сен 12, 22:45    [13228787]     Ответить | Цитировать Сообщить модератору
 Re: поведение при windows authentication mode  [new]
invm
Member

Откуда: Москва
Сообщений: 9825
17dufa
а если домена нет?
Заводите на сервере и на клиентской машине пользователей с одинаковыми логином и паролем. Машины включаете в одну рабочую группу.
26 сен 12, 23:20    [13228882]     Ответить | Цитировать Сообщить модератору
 Re: поведение при windows authentication mode  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
invm,

И ничего не выйдет при коннекте по TCP\IP...
26 сен 12, 23:22    [13228886]     Ответить | Цитировать Сообщить модератору
 Re: поведение при windows authentication mode  [new]
invm
Member

Откуда: Москва
Сообщений: 9825
pkarklin,

Выйдет. SSPI работает как с Kerberos, так и с NTLM. В случае рабочей группы, будет использован NTLM.
Подробнее тут -- http://technet.microsoft.com/en-us/library/bb457114.aspx

ЗЫ: У меня на тестовой машине живет 8 виртуалок с различными сиквелами, в том числе и с поднятыми репликациями. Доменного окружения нет. Все это хозяйство замечательно общается со мной и друг с другом по TCP, аутентификация везде Windows.
26 сен 12, 23:52    [13229001]     Ответить | Цитировать Сообщить модератору
 Re: поведение при windows authentication mode  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
invm,

Всю жизнь считал TCP/IP подключения как non-authenticated protocol, в отличие от Named Pipes. Если Вам когда-нибудь будет не трудно процитируйте из приведенной Вами ссылки "ключевые слова". Было бы так же здОрово увидеть данные net_transport из sys.dm_exec_connections с Ваших "8 виртуалок с различными сиквелами".

Заранее благодарен!
27 сен 12, 00:18    [13229077]     Ответить | Цитировать Сообщить модератору
 Re: поведение при windows authentication mode  [new]
invm
Member

Откуда: Москва
Сообщений: 9825
pkarklin
Всю жизнь считал TCP/IP подключения как non-authenticated protocol, в отличие от Named Pipes
Так оно и было до Win2000 и появления SSPI.
pkarklin
Если Вам когда-нибудь будет не трудно процитируйте из приведенной Вами ссылки "ключевые слова".
Пожалуйста:
http://technet.microsoft.com/en-us/library/bb457114.aspx
The following processes determine whether the Kerberos or NTLM protocol is used to complete the network authentication process:

1. After the user name and password are entered, the LSA passes this information to the Security Support Provider Interface (SSPI), an interface that communicates with both the Kerberos and NTLM services.

Tip SSPI also allows developers to write “security-aware” applications whether the Kerberos or NTLM protocol is used.

2. SSPI passes the user name and password to the Kerberos Security Support Provider (SSP), which exchanges messages directly with the domain’s Kerberos Key Distribution Center (KDC). The Kerberos SSP determines whether the target computer name is the local computer or the domain name.

3. If the domain name is referenced and the KDC recognizes the user name, the Kerberos authentication process proceeds.

4. If the user name is not recognized, the KDC passes an internal error message to the SSPI. If a KDC cannot be found, the following message (transparent to the user) is passed back to the LSA:

“No logon server available.”

5. The internal error message triggers the process to start over again. MSGINA passes the information to LSA again, and then LSA passes the information back to SSPI.

6. SSPI then passes the user name and password to the NTLM driver, MSV1_0 SSP. MSV1_0 then uses the Net Logon service to complete the NTLM authentication process.

pkarklin
Было бы так же здОрово увидеть данные net_transport из sys.dm_exec_connections
select
 net_transport, auth_scheme 
from
 sys.dm_exec_connections
where
 session_id = @@spid;
net_transportauth_scheme
TCPNTLMMicrosoft SQL Server 2008 R2 (SP2) - 10.50.4263.0 (X64) Aug 23 2012 15:56:56 Copyright (c) Microsoft Corporation Developer Edition (64-bit) on Windows NT 6.1 <X64> (Build 7601: Service Pack 1)
27 сен 12, 01:05    [13229203]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить