Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SQL Anywhere 11.0.1 (Deutsch) » SQL Anywhere Server - Datenbankadministration » Datenbank starten und Verbindung mit ihr herstellen » SQL Anywhere-Datenbankverbindungen » Kerberos-Authentifizierung

 

SSPI bei Kerberos-Logins unter Windows verwenden

In einer Windows-Domäne kann SSPI auf Windows-Computern ohne installierten Kerberos-Client verwendet werden. Windows-Domänenkonten haben bereits zugeordnete Kerberos-Prinzipale.

♦  So stellen Sie eine Verbindung mit SSPI her
  1. Richten Sie die Kerberos-Authentifizierung ein. Weitere Hinweise finden Sie unter Kerberos-Authentifizierung einrichten.

  2. Starten Sie den SQL Anywhere-Server mit der Option -krb, um die Kerberos-Authentifizierung zu aktivieren. Zum Beispiel:

    dbeng11 -krb -n my_server_princ C:\kerberos.db
  3. Ändern Sie die öffentliche oder temporäre Option login_mode auf einen Wert, der Kerberos umfasst. Sie müssen über DBA-Berechtigung verfügen, um diese Option setzen zu können. Zum Beispiel:

    SET OPTION PUBLIC.login_mode = 'Kerberos';
  4. Erstellen Sie eine Datenbankbenutzer-ID für den Client. Sie können eine bestehende Datenbankbenutzer-ID für das Kerberos-Login verwenden, sofern dieser Benutzer die passenden Berechtigungen hat. Zum Beispiel:

    CREATE USER kerberos_user
    IDENTIFIED BY abc123;
  5. Erstellen Sie eine Zuordnung des Kerberos-Prinzipals des Clients zu einer bestehenden Datenbankbenutzer-ID, indem Sie eine Anweisung GRANT KERBEROS LOGIN TO ausführen. Diese Anweisung erfordert DBA-Berechtigung. Zum Beispiel:

    GRANT KERBEROS LOGIN TO "pchin@MYREALM.COM" 
    AS USER "kerberos-user";
  6. Verbinden Sie sich mit der Datenbank vom Clientcomputer aus. Zum Beispiel:

    dbisql -c "KERBEROS=SSPI;ENG=my_server_princ"

    Wenn "Kerberos=SSPI" in der Verbindungszeichenfolge angegeben ist, wird ein Kerberos-Login versucht.

    Ein Verbindungsversuch mit der folgenden Interactive SQL-Anweisung ist auch erfolgreich, wenn sich der Benutzer mit einem Benutzerprofil anmeldet, das einem Kerberos-Login in der Standarddatenbank eines Servers entspricht:

    CONNECT USING 'KERBEROS=SSPI';