Mae Microsoft SQL Server 2016 yn cynnig dau ddewis i weinyddwyr ar gyfer gweithredu sut y bydd y system yn dilysu defnyddwyr: modd dilysu Windows neu ddull dilysu cymysg.
Mae dilysu Windows yn golygu bod SQL Server yn dilysu hunaniaeth defnyddiwr gan ddefnyddio ei enw defnyddiwr a chyfrinair yn unig. Os yw'r defnyddiwr eisoes wedi'i ddilysu gan y system Windows, nid yw SQL Server yn gofyn am gyfrinair.
Mae modd cymysg yn golygu bod SQL Server yn galluogi dilysu Windows a dilysu SQL Server. Mae dilysu Gweinyddwr SQL yn creu logins defnyddiwr nad yw'n gysylltiedig â Windows.
Sylfaenion Dilysu
Dilysu yw'r broses o gadarnhau hunaniaeth defnyddiwr neu gyfrifiadur. Fel arfer mae'r broses yn cynnwys pedair cam:
- Mae'r defnyddiwr yn gwneud hawliad o hunaniaeth, fel arfer trwy ddarparu enw defnyddiwr.
- Mae'r system yn herio'r defnyddiwr i brofi ei hunaniaeth. Yr her fwyaf cyffredin yw cais am gyfrinair.
- Mae'r defnyddiwr yn ymateb i'r her trwy ddarparu'r prawf gofynnol, fel arfer cyfrinair.
- Mae'r system yn gwirio bod y defnyddiwr wedi darparu prawf derbyniol trwy, er enghraifft, gwirio'r cyfrinair yn erbyn cronfa ddata cyfrinair lleol neu ddefnyddio gweinydd dilysu canolog.
Ar gyfer ein trafodaeth ar ddulliau dilysu Gweinyddwr SQL, mae'r pwynt critigol yn y pedwerydd cam uchod: y pwynt y mae'r system yn gwirio prawf hunaniaeth y defnyddiwr. Mae'r dewis o ddull dilysu yn pennu lle mae SQL Server yn mynd i wirio cyfrinair y defnyddiwr.
Am Ddulliau Dilysu Gweinyddwr SQL
Gadewch i ni archwilio'r ddau ddull hyn ychydig yn fwy:
Mae modd dilysu Windows yn gofyn i ddefnyddwyr roi enw defnyddiwr a chyfrinair dilys Windows i gael mynediad at y gweinydd cronfa ddata. Os dewisir y dull hwn, mae SQL Server yn analluogi ymarferoldeb mewngofnodi SQL Server-benodol, ac mae hunaniaeth y defnyddiwr yn cael ei gadarnhau yn unig trwy ei gyfrif Windows. Cyfeirir at y dull hwn weithiau fel diogelwch integredig oherwydd dibyniaeth SQL Server ar Windows ar gyfer dilysu.
Mae modd dilysu cymysg yn caniatáu defnyddio cyfrifiaduron Windows ond yn eu hatgyfnerthu â chyfrifon defnyddwyr SQL Server y mae'r gweinyddwr yn eu creu ac yn eu cynnal o fewn SQL Server. Mae enw defnyddiwr a chyfrinair y defnyddiwr yn cael eu storio yn SQL Server, a rhaid i ddefnyddwyr gael eu hail-ddilysu bob tro y maent yn cysylltu.
Dewis Modd Dilysu
Argymhelliad arfer gorau Microsoft yw defnyddio modd dilysu Windows pryd bynnag y bo modd. Y prif fantais yw bod y defnydd o'r modd hwn yn caniatáu i chi ganoli gweinyddiaeth cyfrif ar gyfer eich menter gyfan mewn un lle: Active Directory. Mae hyn yn lleihau'r siawns o gamgymeriad neu oruchwyliaeth. Oherwydd bod hunaniaeth y defnyddiwr yn cael ei gadarnhau gan Windows, gellir cyfrifo cyfrifon grŵp penodol o ddefnyddwyr Windows i logio i mewn i'r Gweinyddwr SQL. Ymhellach, mae dilysu Windows'n defnyddio amgryptio i ddilysu defnyddwyr y Gweinyddwr SQL.
Mae dilysu Gweinyddwr SQL, ar y llaw arall, yn caniatáu i enwau a chyfrineiriau gael eu pasio trwy'r rhwydwaith, gan eu gwneud yn llai diogel. Gall y dull hwn fod yn ddewis da, fodd bynnag, os yw defnyddwyr yn cysylltu o wahanol feysydd nad ydynt yn ymddiried ynddynt neu pan fydd ceisiadau Rhyngrwyd llai diogel o bosibl yn cael eu defnyddio, fel ASP.NET.
Er enghraifft, ystyriwch y senario lle mae gweinyddwr cronfa ddata ddibynadwy yn gadael eich sefydliad ar delerau anghyfeillgar. Os ydych chi'n defnyddio modd dilysu Windows, diddymu mynediad y defnyddiwr hwnnw'n digwydd yn awtomatig pan fyddwch yn analluoga neu yn dileu cyfrif Active Directory DBA.
Os ydych chi'n defnyddio modd dilysu cymysg, nid yn unig y mae angen i chi analluogi cyfrif Windows'r DBA, ond mae angen i chi hefyd guro drwy'r rhestrau defnyddwyr lleol ar bob gweinydd cronfa ddata i sicrhau nad oes cyfrifon lleol yn bodoli lle gall y DBA wybod y cyfrinair. Dyna lawer o waith!
I grynhoi, mae'r dull a ddewiswch yn effeithio ar lefel diogelwch a pha mor hawdd yw cynnal cronfeydd data eich sefydliad.