Microsoft SQL Server 2016 cung cấp cho quản trị viên hai lựa chọn để thực hiện cách hệ thống sẽ xác thực người dùng: chế độ xác thực Windows hoặc chế độ xác thực hỗn hợp.
Xác thực Windows nghĩa là SQL Server xác nhận tính hợp lệ của người dùng chỉ sử dụng tên người dùng và mật khẩu Windows của họ. Nếu người dùng đã được xác thực bởi hệ thống Windows, SQL Server không yêu cầu mật khẩu.
Chế độ hỗn hợp có nghĩa là SQL Server cho phép xác thực Windows và xác thực máy chủ SQL. Xác thực SQL Server tạo đăng nhập người dùng không liên quan đến Windows.
Khái niệm cơ bản về xác thực
Xác thực là quá trình xác nhận danh tính của người dùng hoặc máy tính. Quy trình này thường bao gồm bốn bước:
- Người dùng đưa ra khiếu nại về danh tính, thường bằng cách cung cấp tên người dùng.
- Hệ thống này thách thức người dùng chứng minh danh tính của họ. Thách thức phổ biến nhất là yêu cầu mật khẩu.
- Người dùng phản hồi thử thách bằng cách cung cấp bằng chứng được yêu cầu, thường là mật khẩu.
- Hệ thống xác minh rằng người dùng đã cung cấp bằng chứng chấp nhận được, ví dụ, kiểm tra mật khẩu đối với cơ sở dữ liệu mật khẩu cục bộ hoặc sử dụng máy chủ xác thực tập trung.
Để thảo luận về các chế độ xác thực SQL Server, điểm quan trọng là ở bước thứ tư ở trên: điểm mà tại đó hệ thống xác minh bằng chứng nhận dạng của người dùng. Sự lựa chọn của một chế độ xác thực xác định nơi SQL Server đi để xác minh mật khẩu của người dùng.
Giới thiệu về chế độ xác thực máy chủ SQL
Hãy cùng khám phá hai chế độ này thêm một chút nữa:
Chế độ xác thực Windows yêu cầu người dùng cung cấp tên người dùng và mật khẩu Windows hợp lệ để truy cập vào máy chủ cơ sở dữ liệu. Nếu chế độ này được chọn, SQL Server vô hiệu hóa chức năng đăng nhập SQL Server cụ thể, và danh tính của người dùng được xác nhận chỉ thông qua tài khoản Windows của mình. Chế độ này đôi khi được gọi là bảo mật tích hợp do sự phụ thuộc của SQL Server trên Windows để xác thực.
Chế độ xác thực hỗn hợp cho phép sử dụng thông tin đăng nhập Windows nhưng bổ sung chúng với tài khoản người dùng SQL Server cục bộ mà quản trị viên tạo và duy trì trong SQL Server. Tên người dùng và mật khẩu của người dùng đều được lưu trữ trong SQL Server và người dùng phải được xác thực lại mỗi khi họ kết nối.
Chọn chế độ xác thực
Khuyến nghị thực hành tốt nhất của Microsoft là sử dụng chế độ xác thực của Windows bất cứ khi nào có thể. Lợi ích chính là việc sử dụng chế độ này cho phép bạn tập trung quản trị tài khoản cho toàn bộ doanh nghiệp của bạn ở một nơi duy nhất: Active Directory. Điều này làm giảm đáng kể nguy cơ lỗi hoặc giám sát. Bởi vì danh tính của người dùng được xác nhận bởi Windows, tài khoản người dùng và nhóm Windows cụ thể có thể được cấu hình để đăng nhập vào SQL Server. Hơn nữa, xác thực Windows sử dụng mã hóa để xác thực người dùng SQL Server.
Mặt khác, xác thực SQL Server cho phép tên người dùng và mật khẩu được truyền qua mạng, khiến chúng kém an toàn hơn. Chế độ này có thể là một lựa chọn tốt, tuy nhiên, nếu người dùng đang kết nối từ các miền không đáng tin cậy khác nhau hoặc khi các ứng dụng Internet có thể kém an toàn hơn đang được sử dụng, chẳng hạn như ASP.NET.
Ví dụ, hãy xem xét kịch bản trong đó một quản trị viên cơ sở dữ liệu tin cậy rời khỏi tổ chức của bạn với các điều khoản không thân thiện. Nếu bạn sử dụng chế độ xác thực Windows, hãy thu hồi quyền truy cập của người dùng đó sẽ tự động diễn ra khi bạn vô hiệu hóa hoặc xóa tài khoản Thư mục Họat động của DBA.
Nếu bạn sử dụng chế độ xác thực hỗn hợp, bạn không chỉ cần vô hiệu hóa tài khoản Windows của DBA, nhưng bạn cũng cần phải lược bỏ danh sách người dùng cục bộ trên mỗi máy chủ cơ sở dữ liệu để đảm bảo rằng không có tài khoản cục bộ nào tồn tại trong đó DBA có thể biết mật khẩu. Đó là rất nhiều công việc!
Tóm lại, chế độ bạn chọn ảnh hưởng đến cả mức độ bảo mật và dễ bảo trì cơ sở dữ liệu của tổ chức bạn.