Après l'effort d'authentification concernant à la fois le client et le service SQL Server, SQL Server reçoit la même information à propos du client qu'il obtient pour les logins Win2K/NT qui n'utilisent pas Kerberos. Quel que soit le procédé par lequel l'utilisateur s'authentifie, l'OS crée un jeton d'accès qui contient
Résultat final
le SID de l’utilisateur et les
SID de tous les groupes locaux et de
domaines auxquels l’utilisateur appartient.
Ensuite, SQL Server examine la
liste des SID pour voir si l’un d’eux correspond
à une entrée dans la table
sysxlogins de la base de données maîtresse.
S’il existe une correspondance,
SQL Server donne accès à ses bases de
données.
Les permissions dans les bases de
données fonctionnent aussi indépendamment
du protocole d’authentification
que le client utilise pour se
connecter. Pour les comptes domaine
Win2K, vous attribuez encore les permissions
et les membres de rôles
d’après le SID du compte ; donc, une
fois qu’un utilisateur est connecté, rien
ne change dans la structure d’autorisation
interne de SQL Server 2000.
Le seul changement par rapport à
SQL Server 7.0 est que, dans tous les
cas, un client XP/Win2K se connectant
à un serveur XP/Win2K tente de s’authentifier
en utilisant Kerberos. Si cette
authentification échoue, XP/Win2K revient
au protocole NTLM que NT et
Windows Me/9x utilisent. Comme SQL
Server 2000, 7.0 et 6.5 confient tous
l’authentification des comptes domaine à l’OS, vous pouvez profiter
de Kerberos simplement en exécutant
SQL Server sur Win2K. Rappelons que,
par défaut, toutes les connexions de
confiance s’authentifieront auprès de
l’OS avant que SQL Server ne voie la
demande de connexion. Bien que les
utilisateurs de SQL Server 7.0 et 6.5 ne
puissent pas utiliser un SPN pour authentifier
leurs identités ou utiliser la
délégation pour se connecter à des serveurs
à distance, ils peuvent bénéficier
de la sécurité accrue du protocole
Kerberos sur NTLM et des meilleurs
outils d’administration qu’offre Win2K.
IPSec est également plus facile à configurer
avec Win2K qu’avec NT, donc,
même si vous ne passez à SQL Server
2000, songez à passer de NT à Win2K.
L’utilisation de SQL Server 2000 sur
Win2K offre une grande souplesse
dans le mode de gestion des logins, la
façon de sécuriser le processus d’authentification,
et le canal entre le client
et le serveur, et la manière dont vous limitez
l’accès aux services de toute l’entreprise.
Une grande partie de ce que
j’ai expliqué dans cet article survient
automatiquement quand vous avez un
domaine AD et Win2K sur le client et
les serveurs, donc les DBA (database
administrators) SQL Server n’auront
aucun mal à utiliser Kerberos. Et vous
serez plus serein en sachant que
Kerberos garde les portes conduisant à
vos données.
Téléchargez cette ressource
Digitaliser vos processus sur la voie de la facturation électronique
Particulièrement structurant, le chantier de dématérialisation des factures doit être anticipé par les DSI et DAF. Découvrez, dans ce Special Report, les stratégies et solutions pour éviter les contraintes et saisir toutes les opportunités de ce futur chantier réglementaire
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- 7 conseils pour anticiper la cryptographie post-quantique
- Le DevSecOps, un passage obligé pour la sécurité des identités
- Soirée 10 ans du Club des Décideurs Informatique Côte-Basque
- Les décideurs informatiques français s’inquiètent de la conformité de leurs données
- L’IA ouvre la voie à une nouvelle ère de la robotique avec la sophistication de ses robots marcheurs
