Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SAP Sybase SQL Anywhere 16.0 (Deutsch) » SQL Anywhere Server - Datenbankadministration » SQL Anywhere-Datenbankverbindungen » Datenbankverbindungen

 

Kerberos-Authentifizierung

Mit dem Kerberos-Login können Sie für die Anmeldung im Betriebssystem, für das Netzwerk und für Verbindungen zur Datenbank dieselbe Benutzer-ID und dasselbe Kennwort verwenden. Die Arbeit mit Kerberos-Logins ist einfacher für den Benutzer und ermöglicht die Einrichtung eines einzigen Sicherheitssystems für die Datenbank- und Netzwerksicherheit. Dabei gibt es folgende Vorteile:

  • Der Benutzer muss keine Benutzer-ID bzw. ein Kennwort liefern, um sich mit der Datenbank zu verbinden.

  • Mehrere Benutzer können einer einzigen Datenbankbenutzer-ID zugeordnet werden.

  • Name und Kennwort für die Anmeldung bei Kerberos müssen nicht mit der Datenbankbenutzer-Benutzerkennung und dem Datenbankkennwort übereinstimmen.

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das eine starke Authentifizierung und Verschlüsselung unter Verwendung einer Geheimschlüssel-Chiffrierung zur Verfügung stellt. Benutzer, die bereits bei Kerberos angemeldet sind, können sich mit einer Datenbank ohne Angabe einer Benutzer-ID bzw. eines Kennworts verbinden.

Kerberos kann für die Authentifizierung verwendet werden. Folgende Voraussetzungen müssen für die Delegierung der Authentifizierung an Kerberos gegeben sein:

  • Sie müssen den Server und die Datenbank für die Verwendung von Kerberos-Login konfigurieren.

  • Sie müssen die ID des Benutzers, der sich am Computer oder im Netzwerk anmeldet, der ID des Datenbankbenutzers zuordnen.

Vorsicht

Im Zusammenhang mit der Verwendung von Kerberos-Logins als einzige Sicherheitsfunktion sind einige wichtige Sicherheitsüberlegungen anzustellen. Siehe Sicherheitsprobleme: Kopierte Datenbankdateien.

SQL Anywhere wird ohne Kerberos-Software geliefert. Sie muss getrennt erworben werden. Nachstehende Komponenten werden mit der Kerberos-Software mitgeliefert:

  • Kerberos-Bibliotheken   Diese werden als Kerberos Client- oder GSS-API-Laufzeitbibliotheken (Generic Security Services-Bibliotheken) bezeichnet. Diese Kerberos-Bibliotheken implementieren die wohldefinierte GSS-API. Die Bibliotheken müssen auf allen Client- und Servercomputern vorhanden sein, die Kerberos verwenden sollen. Die integrierte Windows SSPI-Schnittstelle kann statt einer Kerberos-Clientbibliothek von Drittherstellern verwendet werden, wenn Sie Active Directory als Ihr Schlüsselverteilungszentrum (KDC, Key Distribution Center) verwenden.

    SSPI kann nur von SQL Anywhere-Clients im Kerberos-Verbindungsparameter verwendet werden. SQL Anywhere-Datenbankserver können SSPI nicht verwenden - sie benötigen einen anderen unterstützten Kerberos-Client als SSPI.

  • Ein Kerberos-KDC-Server   Das KDC (Key Distribution Center, Schlüsselverteilungszentrum) von Kerberos dient als Speicher für Benutzer und Server. Es verifiziert auch die Identifizierung von Benutzern und Servern. Das KDC wird üblicherweise auf einem Servercomputer installiert, der nicht für Anwendungen oder Benutzerlogins bestimmt ist.

SQL Anywhere unterstützt Kerberos-Authentifizierungen von DBLib-, ODBC-, OLE DB- und ADO.NET-Clients sowie von Sybase Open Client- und jConnect-Clients. Kerberos-Authentifizierungen können mit der Transportschichtsicherheit-Verschlüsselung von SQL Anywhere verwendet werden, aber SQL Anywhere unterstützt keine Kerberos-Verschlüsselung bei der Netzwerkkommunikation.

Windows verwendet Kerberos für Windows-Domänen und Domänenkonten. Active Directory Windows Domain Controller implementieren ein Kerberos-KDC. Ein Kerberos-Client bzw. eine Laufzeitbibliothek von Drittanbietern ist in dieser Umgebung dennoch auf dem Datenbankservercomputer zur Authentifizierung erforderlich, aber die Windows-Clientcomputer können die integrierte Windows SSPI-Schnittstelle statt eines Kerberos-Clients bzw. einer Laufzeitbibliothek von Drittanbietern verwenden.

 Siehe auch

Kerberos-Clients
Kerberos-Systeme für die Verwendung mit SQL Anywhere einrichten
SQL Anywhere-Datenbanken für die Verwendung von Kerberos konfigurieren
Verbindungen aus Sybase Open Client- oder jConnect-Anwendungen
Kerberos-Login-Zuordnungen erstellen
Kerberos-Login-Zuordnungen entziehen
SSPI für Kerberos-Logins unter Windows verwenden
Fehlerbehandlung: Kerberos-Verbindungen
Sicherheitsprobleme: Temporäre öffentliche Optionen als zusätzliche Sicherheitsmaßnahmen
Sicherheitsprobleme: Kopierte Datenbankdateien