Menyambungkan Azure Data Studio ke SQL Server menggunakan Kerberos

Azure Data Studio mendukung menyambungkan ke SQL Server dengan menggunakan Kerberos.

Untuk menggunakan autentikasi terintegrasi (Autentikasi Windows) di macOS atau Linux, Anda perlu menyiapkan tiket Kerberos yang menautkan pengguna Anda saat ini ke akun domain Windows.

Prasyarat

Untuk memulai, Anda memerlukan:

• Akses ke komputer yang bergabung dengan domain Windows untuk mengkueri pengontrol domain Kerberos Anda.

• SQL Server harus dikonfigurasi untuk mengizinkan autentikasi Kerberos. Untuk driver klien yang berjalan di Unix, autentikasi terintegrasi hanya didukung dengan menggunakan Kerberos. Untuk informasi selengkapnya, lihat Menggunakan autentikasi terintegrasi Kerberos untuk menyambungkan ke SQL Server. Harus ada nama perwakilan layanan (SPN) yang terdaftar untuk setiap instans SQL Server yang coba Anda sambungkan. Untuk informasi selengkapnya, lihat Mendaftarkan Nama Perwakilan Layanan untuk Koneksi Kerberos.

Periksa apakah SQL Server memiliki penyiapan Kerberos

Masuk ke komputer host SQL Server. Dari prompt perintah Windows, gunakan setspn -L %COMPUTERNAME% untuk mencantumkan semua SPN untuk host. Verifikasi ada entri yang dimulai dengan MSSQLSvc/HostName.contoso.com. Entri ini berarti bahwa SQL Server telah mendaftarkan SPN dan siap untuk menerima autentikasi Kerberos.

Jika Anda tidak memiliki akses ke host instans SQL Server, maka dari OS Windows lain yang bergabung ke Direktori Aktif yang sama, Anda dapat menggunakan perintah setspn -L <SQLSERVER_NETBIOS>, di mana <SQLSERVER_NETBIOS> adalah nama komputer host instans SQL Server.

Dapatkan Pusat Distribusi Kunci Kerberos

Temukan nilai konfigurasi Kerberos Key Distribution Center (KDC). Jalankan perintah berikut pada komputer Windows yang bergabung ke domain Direktori Aktif Anda.

Jalankan nltest dari baris perintah, dan ganti "DOMAIN.CONTOSO.COM" dengan nama domain Anda.

nltest /dsgetdc:DOMAIN.CONTOSO.COM

Output mirip dengan sampel berikut:

DC: \\dc-33.domain.contoso.com
Address: \\2111:4444:2111:33:1111:ecff:ffff:3333
...
The command completed successfully

Salin nama DC yang menjadi nilai konfigurasi KDC yang diperlukan. Dalam hal ini, itu dc-33.domain.contoso.com.

Menggabungkan OS Anda ke pengendali domain Direktori Aktif

sudo apt-get install realmd krb5-user software-properties-common python-software-properties packagekit

<...>
# The primary network interface

[!INCLUDE [azure-data-studio-deprecation](includes/azure-data-studio-deprecation.md)]
auto eth0
iface eth0 inet dhcp
dns-nameservers **<AD domain controller IP address>**
dns-search **<AD domain name>**

sudo ifdown eth0 && sudo ifup eth0

nameserver **<AD domain controller IP address>**

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

<...>
* Success

sudo yum install realmd krb5-workstation

<...>
PEERDNS=no
DNS1=**<AD domain controller IP address>**

sudo systemctl restart network

nameserver **<AD domain controller IP address>**

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

<...>
* Success

sudo vi /etc/krb5.conf

[libdefaults]
  default_realm = DOMAIN.CONTOSO.COM

[realms]
DOMAIN.CONTOSO.COM = {
   kdc = dc-33.domain.contoso.com
}

Menguji pengambilan tiket yang memberikan tiket

Dapatkan Tiket Pemberian Tiket (TGT) dari KDC.

kinit username@DOMAIN.CONTOSO.COM

Lihat tiket yang tersedia dengan menggunakan klist. kinit Jika berhasil, Anda akan melihat tiket.

klist

Berikut adalah output yang diharapkan:

krbtgt/DOMAIN.CONTOSO.COM@ DOMAIN.CONTOSO.COM.

Menyambungkan dengan menggunakan Azure Data Studio

1. Buat profil koneksi baru.

2. Pilih Autentikasi Windows sebagai jenis autentikasi.

3. Untuk Server, masukkan nama host yang sepenuhnya memenuhi syarat, dalam format hostname.DOMAIN.CONTOSO.COM.

4. Selesaikan profil koneksi, dan pilih Sambungkan.

Setelah berhasil menyambungkan, server Anda muncul di bilah sisi SERVERS .