24.8. 配置 SQL Server 以使用活动目录 (AD)服务器进行身份验证

以下流程演示了如何配置 SQL Server 以使用活动目录(AD)服务器进行身份验证。

先决条件

  • 已在您的网络上配置了一个活动目录域控制器。
  • 对于域控制器和将运行 SQL Server 的 Linux 机器的 IP 地址,存在一个适用的 RDNS (Reverse DNS)区域。
  • 存在一个指向您的域控制器的 PTR 记录。
  • SQL Server 主机将相对域名、完全限定域名和域控制器的 IP 解析为域控制器的完全限定域名。

流程

  1. 通过 Web UI 登录到您的 AD 服务器。
  2. 导航到 Tools > Active Directory Users and Computers > domain.com > Users > sqluser > Account
  3. Account options 列表中,选择 This account supports Kerberos AES 128 bit encryptionThis account supports Kerberos AES 256 bit encryption
  4. 应用

验证

  1. 使用 ssh 登录到 client.domain.com 机器:

    # ssh -l <sqluser>@<domain.com> <client.domain.com>
  2. 获取管理员用户的 Kerberos 票据:

    # kinit Administrator@<domain.com>
  3. 使用 sqlcmd 工具登录到 SQL Server,例如,运行以下查询来查看当前用户:

    # /opt/mssql-tools/bin/sqlcmd -S. -Q 'SELECT SYSTEM_USER'