:quality(80)/p7i.vogel.de/wcms/08/c4/08c4c1acaf47f600691dd605db5cd35b/0114958433.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/32/af/32af68c76bfa25c440c69253ca98ce41/0114109630.jpeg "Storage-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/af/3d/af3de6ad104f6e703fa211f6487e6595/0107845077.jpeg "Im Rahmen einer festlichen Abendgala wurden am 20. Oktober 2022 die Gewinner der diesjährigen IT-Awards gekürt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626dac9b4d82bb34d1c5700378bb35e/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6d/6c/6d6c8b2495d63e97034d38d7013c5641/0115502712.jpeg "Commvault hat seine Cloud mit KI-gestützten Funktionen ausgestattet. (Bild: ©Just_Super, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/9f/50/9f50450053b9299006535757db4bc1f2/0115455615.jpeg "Backup-Risiken auf dem Radar: NovaStor will Potentiale zur Verbesserung aufzeigen. (Bild: ©Petrovich9, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/d0/6b/d06bf2782c5dd258595ff4784cb74289/0115364251.jpeg "Storage-Insider befragte den neuen Geschäftsführer der Synology GmbH Chad Chiang zu seinen ersten Maßnahmen. (Bild: Synology)")
:quality(80)/p7i.vogel.de/wcms/38/0e/380e7046fb967565b96a391b0954de25/0115206887.jpeg "Das kostenlose und portable Tool Macroit Disk Scanner findet defekte Sektoren auf Hard Disks. (Bild: ©Nastasic, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/56/c156324750f322441f874f59f3b2661d/0115441750.jpeg "Die NVMe SSD 990 von Samsung kommt nun in einer Variante mit 4 TB Speicherkapazität und massivem Kühlkörper. (Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/5a/d3/5ad3f1f7f8b365374305dc8be779bcac/0115058690.jpeg "Eine große Menge an Daten kann schnell für Chaos sorgen. Datenmanagement hilft. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/1b/39/1b3971271ef27421143467f1c108f071/0115120954.jpeg "Morgenröte für Qumulo in der Cloud: Die neueste Version von Azure Native Qumulo soll besser skalierbar und um 80 Prozent günstiger sein als vergleichbare Storage-Services für große Datenmengen. Die Untergrenze liegt bei 100 TB. (Bild: Marco Attano - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/4b/164bd3bd83c8acd66837402a78d850fe/0115441221.jpeg "Mit Mediaflux Universal Data System will Arcitecta den Kunden ein Datenmanagement ohne Standortbeschränkungen und Hardware-Vorgaben ermöglichen. (Bild: ©Rick_Jo, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b4/70/b470cac74125bad3f3dbbe396090c277/0113763718.jpeg "Durch den umfangreichen Einsatz hybrider Clouds werden vermehrt Faktoren wie einfaches und einheitliches Management für die Entscheidung zwischen verschiedenen Produkten, Diensten und Anbietern herangezogen. (Bild: Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/e6/7fe679fdfdcefc82a736920346c6bb85/0115294007.jpeg "Kasten K10 V6.5 bietet zahlreiche Verbesserungen in Sachen Cyberresilienz. (Bild: Kasten by Veeam)")
:quality(80)/p7i.vogel.de/wcms/ef/5c/ef5cfb3e00f62689b75c8e2126986381/0115312702.jpeg "HCI-Systeme führen die verfügbaren Ressourcen unter einer Abstraktionsschicht zusammen und verhindern Datensilos. (Bild: ©Funtap, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/34/31/343110642f327d2532ac73b95e10d9bd/0115403611.jpeg "Essenziell für Archivierungslösungen sind ein effizientes Datenmanagement und Funktionen zur Einhaltung der gültigen juristischen Vorschriften. (Bild: ©abluecup, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/38/86/388656d1f4dda41f12259d5e87aa5a48/0115097220.jpeg "Proxess will sensible Unterlagen mit seinem digitalen Geschäftsleitungsarchiv vor unberechtigten Zugriffen und Manipulationen schützen. (Bild: PROXESS)")
:quality(80)/p7i.vogel.de/wcms/51/d8/51d89a398907e76b88353ac1e3bf86e0/0114542268.jpeg "Die Kuppel des Bundestages. (© su)")
:quality(80)/p7i.vogel.de/wcms/47/0a/470a487b3589a3275af115ba115fc400/0114411900.jpeg "Frauen stoßen auf ihrer Karriereleiter immer noch auf zahlreiche Hindernisse und Widerstände. (Bild: Nastudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/92/a09283877f03731321c73ae7058b46e9/0114141508.jpeg "Forscher des Fraunhofer IPA und Fraunhofer IME wollen einen biologischen Binder entwickeln, mit dem Holzreste mittels 3D-Druck zu neuen Naturstoffkomposit-Produkten verarbeitet werden können. (Bild: Fraunhofer IPA)")
:quality(80)/p7i.vogel.de/wcms/26/fc/26fc875f8f9c3fc15d80759c1b0c78ea/0115100533.jpeg "Nutanix hat mittels neuer Funktionen die Cyberresilienz seiner Cloud Platform erhöht. (Bild: Nutanix)")
:quality(80)/p7i.vogel.de/wcms/de/16/de16e2b16bd87ee1f6790d8a47162222/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/30/f6/30f6c028ac6242df263aa7a7717da994/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/92/5c/925ca2061478637c55d098d48a279132/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/ed/ee/edee6fd952b666892bd772e7161f7c52/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/9a/ce/9ace4c7a23938049d1b1fc92f846c3b9/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
SQL-Benutzer auf Linux-Servern authentifizieren Microsoft SQL Server 2019/2022 auf Linux-Servern mit Active Directory
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/82900/82937/65.jpg "PointLogo4Cabgeschnitten.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133400/133405/65.png "DataCore Logo.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/8f/608fcb6868b2f/logonew.png "Logonew.png (Scality Art of Scale)")
Microsoft SQL Server 2019/2022 kann auch auf Linux und innerhalb von Docker-Containern installiert werden. Hier gibt es die Möglichkeit zur Anbindung an Active Directory. Dieser Beitrag zeigt die Vorgehensweise.
Wenn Microsoft SQL Server 2019/2022 in Windows zum Einsatz kommt, können Admins auf die „integrierte“ Authentifizierung setzen. Hier kann der SQL-Server die Anmeldung am Windows-PC oder generell an Active Directory nutzen, um Benutzer zu authentifizieren. Die Vorteile dabei sind, dass auf dem SQL-Server keine Anmeldedaten gespeichert werden müssen und keine externe Benutzerverwaltung notwendig ist. Dazu kommt, dass Unternehmen ihr Active Directory noch umfassender nutzen können, auch für Datenbankserver.
:quality(80)/p7i.vogel.de/wcms/d5/5e/d55ec6f853ab24f7b0181d3cb561658f/0106196455.jpeg "Erstellen eines neuen Benutzers und eines neuen SPN für die Registrierung von Microsoft SQL-Server auf einem Linux-Server.")
:quality(80)/p7i.vogel.de/wcms/61/1e/611ef0c87ae06652c5004a972ecc4428/0106196454.jpeg "Anzeigen der Key Version Number für einen SQL-Server auf Basis von Linux.")
SQL-Server auf Linux-Servern mit Active Directory verbinden
Damit auf SQL-Servern eine Authentifizierung über Active Directory durchgeführt werden kann, muss der Datenbankserver natürlich zunächst mit Active Directory verknüpft werden. Sinnvoll ist an dieser Stelle das Anlegen eines neuen Benutzerkontos in Active Directory, das für die Verbindung zwischen dem SQL-Server und dem AD zum Einsatz kommt. Microsoft empfiehlt die Verwendung eines Benutzerkontos, dessen Kennwort nicht abläuft. Das Anlegen kann über die GUI mit „dsa.msc“ erfolgen oder in der PowerShell mit:
New-ADUser sqlsvc -AccountPassword (Read-Host -AsSecureString "Enter Password") -PasswordNeverExpires $true -Enabled $trueDieses Konto sollte idealerweise nur für diesen Zweck zum Einsatz kommen und aus Sicherheitsgründen nicht für andere Dienste genutzt werden. Das Konto kann zum Beispiel die Bezeichnung „sqlsvc“ erhalten. Im Anschluss kann der Dienstprinzipalnamen (Service Principle Name, SPN) für den Datenbankserver angelegt werden. Dazu kommt das Befehlszeilentool „setspn.exe“ zum Einsatz. Wichtig ist an dieser Stelle, dass der komplette FQDN des Servers genutzt wird. Der Befehl sieht folgendermaßen aus:
setspn -A MSSQLSvc/<FQDN des SQL-Servers>:1433 sqlsvcsetspn -A MSSQLSvc/<NetBIOS-Name des SQL-Servers>:1433 sqlsvcWenn das Benutzerkonto und der SPN für den SQL-Server bereitstehen, kann im Anschluss die Keytab-Datei erstellt werden. Sie brauchen dazu die Schlüsselversionsnummer (Key Version Number, KVNO) des erstellten Benutzers. Diese Nummer lässt sich zum Beispiel in der PowerShell mit dem folgenden Befehl anzeigen:
get-adcomputer <Hostname> -property msDS-KeyVersionNumberIn den meisten Fällen ist bei „msDS-KeyVersionNumber“ die Nummer 2 zu sehen. Die Nummer wird benötigt, um auf dem Linux-Server mit „ktpass“ für jede SPN einen KEYTAB-Eintrag zu erstellen.
Linux-Server für Active-Directory-Verbindung vorbereiten
Auf dem Linux-Server erfolgt die Verbindung mit dem Benutzer, der für SQL-Server zum Einsatz kommen soll. Dazu werden folgende Befehle verwenden:
kinit sqlsvc@joos.intkvno sqlsvc@joos.intkvno MSSQLSvc/sql.joos.int:1433@joos.intDie Namen des Benutzers, des Servers und der Domäne müssen natürlich an die jeweilige Umgebung angepasst werden. Der Vorgang dauert einige Zeit. Der Befehl muss ohne Fehlermeldung abgeschlossen werden. Danach werden über „ktpass“ für die SPN, die im Vorfeld angelegt wurde, KEYTAB-Einträge erstellt. Hier spielt auch die KVNO eine Rolle, die im Vorfeld ausgelesen wurde:
ktpass /princ MSSQLSvc/<fully qualified domain name of host machine>:<tcp port>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto aes256-sha1 /mapuser <DomainName>\<UserName> /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ MSSQLSvc/<fully qualified domain name of host machine>:<tcp port>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto rc4-hmac-nt /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ MSSQLSvc/<netbios name of the host machine>:<tcp port>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto aes256-sha1 /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ MSSQLSvc/<netbios name of the host machine>:<tcp port>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto rc4-hmac-nt /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ <UserName>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto aes256-sha1 /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ <UserName>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto rc4-hmac-nt /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>Wenn alles richtig abgelaufen ist, sollte es jetzt die Datei „mssql.keytab“ geben. Diese Datei muss auf dem SQL-Server in das Verzeichnis „/var/opt/mssql/secrets“ kopiert werden. Um die Sicherheit zu optimieren, kann die Datei vor Zugriffen geschützt werden:
sudo chown mssql:mssql /var/opt/mssql/secrets/mssql.keytabsudo chmod 400 /var/opt/mssql/secrets/mssql.keytabIm Anschluss kann mit der „mssql-conf“ festgelegt werden, dass der SQL-Server in Zukunft die erstellte Keytab-Datei für die Authentifizierung nutzen soll:
sudo mssql-conf set network.privilegedadaccount <Benutzer>sudo mssql-conf set network.kerberoskeytabfile /var/opt/mssql/secrets/mssql.keytabsudo systemctl restart mssql-server Anmeldungen für Active Directory als SQL-Abfrage erstellen
Ob die Konfiguration bis an diese Stelle funktioniert hat, lässt sich durch eine T-SQL-Abfrage überprüfen, in der eine neue Anmeldung an der Domäne durchgeführt wird. Dazu kann zum Beispiel folgende Abfrage verwendet werden:
CREATE LOGIN [CONTOSO\user] FROM WINDOWS;SELECT name FROM sys.server_principals;Auch hier muss auf den richtigen Benutzer geachtet werden. Wenn sich Benutzer an einem Clientcomputer anmelden, können sie auf die SQL-Datenbanken zugreifen, für die sie berechtigt sind, ohne weitere Anmeldungen durchführen zu müssen.
(ID:48521283)
:quality(80)/p7i.vogel.de/wcms/5f/c0/5fc0b2d4dcee80345bd243294ee8918d/0110800987.jpeg "Welche Dateien sind auf Windows-PCs geöffnet? So findet man sie. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/76/25/76255d55c94bf90e6c4c679be8f3a3d2/0113629721.jpeg "Über entsprechende Cmdlets können Windows-Berechtigungen detailliert in der PowerShell gesteuert werden. (Bild: frei lizenziert)")