Kerberos - разница между соединением JAAS с сервером и надежным соединением SQL Server

Question

Насколько я понимаю, JAAS и SQL Server можно настроить для использования kerberos в доменной среде с активным сервером каталогов.

Насколько я понимаю, JAAS получает учетные данные пользователя от пользователя или из файла во время соединения, запрашивает билет на сервере каталогов и представляет его серверу.

Откуда драйвер SQL Server получает свой билет Kerberos? (поскольку, кажется, можно получить кредитные данные от пользователей, существующих логин). Получает ли он входной билет пользователя или извлекает учетные данные из сеанса пользователя, вошедшего в систему?

Answer 1

Драйвер SQL Server получает билеты Kerberos от TGT (билет для выдачи билетов).Этот TGT является билетом, который является частью сеанса входа пользователя в систему и может использоваться для получения краткосрочных билетов для аутентификации в других службах (например, SQL Server).

Вы можете использовать утилиту "Kerbtrey" из набора ресурсов Windows Serverизучить такие билеты.

JAAS также использует те же тикеты, но ему нужно указать, чтобы получить тикеты + конфигурацию (например, имя сервера Kerberos) из файла, и этот путь несколько зависит от версии ОС.

SQL ServerДрайверы используют Wind32 API для получения токенов.