Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.
SQL Anywhere 12.0.0 (Deutsch) » SQL Anywhere Server - Datenbankadministration » Datenbank starten und Verbindung mit ihr herstellen » SQL Anywhere-Datenbankverbindungen

 

Kerberos-Authentifizierung

Mit dem Kerberos-Login können Sie für die Anmeldung im Betriebssystem, für das Netzwerk und für Verbindungen zur Datenbank dieselbe Benutzer-ID und dasselbe Kennwort verwenden. Die Arbeit mit Kerberos-Logins ist einfacher für den Benutzer und ermöglicht die Einrichtung eines einzigen Sicherheitssystems für die Datenbanken und die Netzwerke. Dabei gibt es folgende Vorteile:

  • Der Benutzer muss Benutzer-ID bzw. Kennwort nicht angeben, um sich mit der Datenbank zu verbinden.

  • Mehrere Benutzer können einer einzigen Datenbankbenutzer-ID zugeordnet werden.

  • Name und Kennwort für die Anmeldung bei Kerberos müssen nicht mit der Datenbankbenutzer-Benutzerkennung und dem Datenbankkennwort übereinstimmen.

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das eine starke Authentifizierung und Verschlüsselung unter Verwendung einer Geheimschlüssel-Chiffrierung zur Verfügung stellt. Benutzer, die bereits bei Kerberos angemeldet sind, können sich mit einer Datenbank ohne Angabe einer Benutzer-ID bzw. eines Kennworts verbinden.

Kerberos kann für die Authentifizierung verwendet werden. Folgende Voraussetzungen müssen für die Delegierung der Authentifizierung an Kerberos gegeben sein:

  • Sie müssen den Server und die Datenbank für die Verwendung von Kerberos-Login konfigurieren.

  • Sie müssen die ID des Benutzers, der sich am Computer oder im Netzwerk anmeldet, der ID des Datenbankbenutzers zuordnen.

Achtung

Im Zusammenhang mit der Verwendung von Kerberos-Logins als einzige Sicherheitsfunktion sind einige wichtige Sicherheitsüberlegungen anzustellen. Siehe Sicherheitsprobleme: Kopierte Datenbankdateien.

SQL Anywhere wird ohne Kerberos-Software geliefert. Sie muss getrennt erworben werden. Nachstehende Komponenten werden mit der Kerberos-Software mitgeliefert:

  • Kerberos-Bibliotheken   Diese werden die Kerberos Client oder GSS (Generic Security Services)-API Laufzeitbibliotheken genannt. Diese Kerberos-Bibliotheken implementieren die genau definierte GSS-API. Die Bibliotheken müssen auf allen Client- und Servercomputern vorhanden sein, die Kerberos verwenden sollen. Die integrierte Windows SSPI-Schnittstelle kann statt einer Kerberos-Clientbibliothek von Drittherstellern verwendet werden, wenn Sie Active Directory als Ihr Schlüsselverteilungszentrum (KDC) verwenden.

    SSPI kann nur von SQL Anywhere-Clients im Kerberos-Verbindungsparameter verwendet werden. SQL Anywhere-Datenbankserver können SSPI nicht verwenden - sie benötigen einen anderen unterstützten Kerberos-Client als SSPI.

  • Ein Kerberos-KDC-Server   Das Key Distribution Center (KDC, Schlüsselverteilungszentrum) von Kerberos dient als Speicher für Benutzer und Server. Es verifiziert auch die Identifizierung von Benutzern und Servern. Das KDC wird üblicherweise auf einem Servercomputer installiert, der nicht für Anwendungen oder Benutzerlogins bestimmt ist.

SQL Anywhere unterstützt Kerberos-Authentifizierungen von DBLib-, ODBC-, OLE DB- und ADO.NET-Clients sowie von Sybase Open Client- und jConnect-Clients. Kerberos-Authentifizierungen können mit der Transportschichtsicherheit-Verschlüsselung von SQL Anywhere verwendet werden, aber SQL Anywhere unterstützt keine Kerberos-Verschlüsselung bei der Netzwerkkommunikation.

Windows verwendet Kerberos für Windows-Domänen und Domänenkonten. Active Directory Windows Domain Controllers implementieren ein Kerberos-KDC. Ein Kerberos-Client bzw. eine Laufzeitbibliothek von Drittanbietern ist in dieser Umgebung dennoch auf dem Datenbankserver-Computer zur Authentifizierung erforderlich, aber die Windows-Clientcomputer können die integrierte Windows SSPI-Schnittstelle statt eines Kerberos-Clients bzw. einer Laufzeitbibliothek von Drittanbietern verwenden. Siehe SSPI bei Kerberos-Logins unter Windows verwenden.

Kerberos-Clients
Kerberos-Authentifizierung einrichten
SQL Anywhere für die Verwendung mit Kerberos einrichten
Von einer Sybase Open Client- oder jConnect-Anwendung aus verbinden
Kerberos-Login-Zuordnungen erstellen
Kerberos-Login-Berechtigung entziehen
SSPI bei Kerberos-Logins unter Windows verwenden
Fehlerbehandlung bei Kerberos-Verbindungen
Sicherheitsprobleme: Öffentliche Optionen als zusätzliche Sicherheitsmaßnahmen temporär einstellen
Sicherheitsprobleme: Kopierte Datenbankdateien

Copyright © 2010, iAnywhere Solutions, Inc. - SQL Anywhere 12.0.0