Проверка подлинности сертификата x.509 на основе PKI с SQL Server?

Question

В двухуровневом клиент-серверном приложении (SQL Server 2008 R2), где используется AD , а не , я хотел бы добавить аутентификацию и авторизацию пользователя на основе сертификатов PKI x.509 без необходимости использованияIPSec или аналогичный.

Клиент может использовать существующую службу доверия STS / WS для получения подписанного SAML-токена до обращения к SQL Server.

Опция SSL SQL Server делает,Из того, что я нашел до сих пор, не поддерживается взаимная (2-сторонняя) аутентификация.Одна мысль заключалась в том, чтобы создать пользовательскую хранимую процедуру .NET, выполняющую аутентификацию (или проверку токена SAML), после чего текущая учетная запись пользователя SQL Server «включена», но, безусловно, должны быть лучшие варианты.

Что быбыть хорошим подходом для достижения этой цели?

Answer 1

Можно использовать stunnel для создания конечной точки SSL с проверкой подлинности с помощью сертификата, а затем использовать проверку подлинности Windows или встроенную проверку подлинности SQL Server по протоколу SSL.

Answer 2

Я видел несколько проектов, пытающихся преобразовать сертификаты в устаревший клиент / сервер.Один из способов сделать это - иметь службу на сервере, отвечающую за аутентификацию SSL (связь между этой службой и SQL Server не зашифрована).

В зависимости от того, сколько у вас времени, это решение имеетextremes.

В простейшем случае служба SSL проверяет только то, что сертификат клиента действителен и выдан доверенным центром сертификации.В более сложной ситуации служба SSL также сопоставляет сертификат клиента с учетной записью и инициирует вход в систему SQL на SQL Server (необязательно с периодически меняющимися паролями).