Windows認證模式
Windows認證模式是默認的認證模式,也是推薦使用的認證模式。這種認證模式巧妙地利用了活動目錄(Active Directory)用戶帳號或用戶組來設置SQL Server的訪問權限。在這個模式下,數據庫管理員就能夠設置域或本地服務器用戶訪問數據庫服務器的權限,而不需要創建和管理一個獨立的SQL Server帳號。而且,Windows認證模式下的用戶域遵循活動目錄域所實施的企業范圍管理策略,例如復雜的密碼、密碼史、帳號鎖定、最小密碼長度、最大密碼長度和Kerberos協議等。
混合認證模式
當設置SQL Server的訪問認證時,在混合認證模式下,活動目錄帳戶和SQL Server帳戶都是可用的。SQL Server 2005在使用SQL Server認證時為SQL Server登錄帳號引入了一種方法可以加強密碼和鎖定策略。而在SQL Server 2008中繼續沿用。這些SQL Server策略能夠通過復雜密碼設置、密碼失效和用戶鎖定等進行實施。SQL Server 2000並不具備這一備受眾多企業和數據庫管理員關注的安全設置功能。而正因為如此,使得Windows認證模式一直以來都是大家首選的管理認證模式。現在有了這些策略,混合認證模式也許能夠和Windows認證模式一較高下了。
應當選擇哪種模式來加強認證?
數據庫管理員了解了各種認證方法的細節以後,就需要從中選擇一種認證模式來管理 SQL Server的安全了。雖然,SQL Server 2008現在具備了實施策略的能力,但仍然推薦使用Windows認證模式來控制對SQL Server的訪問,因為這種模式具備更多額外的優點。活動目錄通過Kerberos協議提供了多一層面的保護。因此,改認證機制更加成熟穩健,而且使用活動用戶組來對基於角色的訪問權限設置時,能夠簡化管理工作。簡而言之,由於Windows中使用了用戶組,我們需要把單個用戶歸入到一定的用戶組中,對用戶組的數據庫訪問權限設置時,可以把這種權限設置傳遞到組內的單一用戶;對於總是要歸入到某一用戶組的新增用戶,就不需要再逐一為這些用戶進行數據庫訪問權限的設置了。
不過,這種模式並不總是適用於任何情況。如果需要支持原有應用或從一個平台而不是Windows進入的客戶,或者需要分離用戶職責,那麼還是需要用到混合認證模式。在企業裡往往會出現SQL Server團隊和Windows團隊相互不信任的情況。因此,當SQL Server帳戶不是通過活動目錄進行管理的時候,就需要清晰地區分好各自的職責。
Windows認證模式是一個更安全的選擇;不過,在需要用到混合模式的情況下,要確保設置復雜的密碼和SQL Server 2008密碼並利用鎖定策略來進一步加強系統安全性。
