Início / server / Perguntas / 1160719
Accepted
SHR
Asked: 2024-06-11 00:02:48 +0800 CST

Posso usar o Kerberos para conectar-me do Linux a outro domínio?

  • 772

Estou tentando conectar-me de uma máquina Linux ao SQL Server com um usuário de domínio.

Encontrei algumas soluções para fazer isso no Windows em outro domínio. Por exemplo este

Quando o Linux está no domínio, posso me conectar ao domínio usando kinito usuário do domínio e depois acessar o banco de dados, mas kinitfalha quando meu Linux não está no domínio (talvez eu precise fornecer parâmetros extras?)

Posso me conectar com êxito como usuário de domínio usando o Samba, a um diretório compartilhado, mesmo que meu Linux não esteja no domínio, usando um nome de usuário, senha e nome de domínio. Isso me dá a ideia de que deveria ser possível.

Então, minha pergunta é: pode ser configurado sem adicionar a máquina Linux ao domínio do SQL Server?

linux

1 respostas

  1. Best Answer

    Sim, é possível conectar-se ao SQL Server a partir de uma máquina Linux sem associar a máquina ao domínio, aproveitando a autenticação Kerberos.

    Certifique-se de ter as ferramentas de cliente Kerberos necessárias instaladas. Nas distribuições Ubuntu Linux, você pode instalá-los executando:

    curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key -
sudo add-apt-repository "$(wget -qO- https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/prod.list)"
sudo apt-get update
sudo apt-get install mssql-tools unixodbc-dev

    Atualize sua configuração Kerberos (/etc/krb5.conf) para incluir as informações do domínio. Exemplo:

    [libdefaults]
   default_realm = YOUR.DOMAIN.COM
   dns_lookup_realm = true
   dns_lookup_kdc = true

[realms]<br>
   YOUR.DOMAIN.COM = {
   kdc = your.kdc.server
   admin_server = your.admin.server
 }

[domain_realm]
   .your.domain.com = YOUR.DOMAIN.COM
   your.domain.com = YOUR.DOMAIN.COM
    • Conectar

    Obtenha um Ticket Granting Ticket (TGT) com o kinit:

    kinit [email protected]

    Você será solicitado a inserir a senha do usuário do domínio. Se for bem-sucedido, este comando armazenará em cache seu ticket Kerberos localmente. Em seguida, verifique o tíquete Kerberos:

    klist

    Isso mostrará o ticket em cache, confirmando que você obteve um TGT com sucesso.

    Conecte-se ao servidor SQL usando autenticação Kerberos:

    sqlcmd -S your_sql_server -d your_database -U [email protected] -P your_password

    se você tiver o Kerberos configurado corretamente, poderá omitir a senha:

    sqlcmd -S your_sql_server -d your_database -K -E

    A opção -K indica o uso da autenticação Kerberos e -E usa a conexão confiável (que aproveita o ticket Kerberos).

    Configuração adicional (às vezes necessária) Certifique-se de que o SQL Server tenha o nome principal de serviço (SPN) correto configurado. Normalmente, isso precisa ser feito no controlador de domínio. Exemplo:

    setspn -A MSSQLSvc/your.sql.server:1433 your_domain_user

    Se o cache de credenciais do Kerberos não estiver no local padrão, talvez seja necessário definir a variável de ambiente KRB5CCNAME:

    export KRB5CCNAME=/tmp/krb5cc_$(id -u)

    Isso deve resolver!

    Você pode encontrar ajuda para conectar outras versões do Linux na documentação da minha universidade https://www.pdc.kth.se/support/documents/login/linux_login.html , você encontrará muitos documentos úteis lá, KTH e MIT são os Mantenedores do Kerberos.

    Boa sorte!

    • 2

relate perguntas