Configure a confiança de delegação para o usuário do domínio

1

Eu tenho uma conta de usuário de domínio (em meudominio.com, digamos) que está configurada para ser a conta de logon para várias instâncias do SQL Server 2005 em várias máquinas. Eu quero ter essa conta de domínio (não as contas de máquina) confiável para delegação, principalmente para fazer autenticação de 2 hop entre os servidores SQL através de servidores vinculados. A segurança do servidor vinculado seria configurada para usar o contexto da conexão existente e todas as instâncias do SQL Server estão sendo executadas no contexto da referida conta de domínio.

Para o argumento sake, estes serão os nomes das instâncias do SQL: svra (instância padrão do sql) svra \ inst2 (chamada instância do sql) svrb (instância padrão do sql)

Acho que, então, os SPNs que desejo registrar no Active Directory seriam MSSQLSvc / svra.mydomain.com: 1433 MSSQLSvc / svrb.mydomain.com: 1433

Eu não preciso de um terceiro para a instância nomeada no svra, não é?

Alguém pode confirmar que esse é o formato correto para o SPN? Além disso, isso permitiria que o IIS em execução na mesma conta de domínio fizesse autenticação de 2 saltos para as instâncias de SQL, correto?

    
por squillman 04.05.2009 / 20:02

3 respostas

1

Geralmente você precisa registrar o SPN do FQDN e o nome SPN do NetBI: MSSQLSvc / svra.mydomain.com: 1433 E MSSQLSvc / svra: 1433

Para a instância secundária (inst2), é necessário um SPN para a porta TCP dessa instância MSSQLSvc / svra: 1500 (por exemplo)

Além disso, se o processo de serviço do SQL Server for executado em uma conta de domínio, você precisará especificá-lo também, por exemplo,

MSSQLSvc / svra.mydomain.com: 1433

Observe que, se você executar o processo de serviço do SQL Server como LOCALSYSTEM, esses SPNs serão criados automaticamente.

Finalmente, você precisa definir o sinalizador "Confiável para delegação" na conta de computador do servidor IIS no domínio.

    
por 04.05.2009 / 20:35
1

Isso não cobre a parte da delegação, mas abrange a configuração da autenticação e a obtenção correta dos SPNs:

Configurando a autenticação Kerberos

    
por 04.05.2009 / 21:45
1

Você precisa de um SPN por instância, e a porta no final do SPN designa a instância em máquinas de várias instâncias. Em alguns ambientes, talvez seja necessário ter um SPN para o netbios e o FQDN. O SPN deve pertencer à conta de serviço atual e não a qualquer outra conta. Consulte o KB 811889 Como solucionar a mensagem de erro "Não é possível gerar o contexto SSPI"

Além disso, é contra as práticas recomendadas de segurança usar a mesma conta para mais de um serviço.

    
por 02.06.2009 / 08:14