:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/1c/21/1c217e175ccf86245c86b48a7a70f930/0114270577.jpeg "Sysdig und Checkmarx führen Cloud- und Anwendungssicherheit auf einer Plattform zusammen. (Bild: William)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/6e/a8/6ea8547b0fb110921fb8b4b40e9c7eb9/0114132511.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
SQL-Benutzer auf Linux-Servern authentifizieren SQL Server auf Linux-Servern mit Active Directory
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Microsoft SQL Server 2019/2022 kann auch auf Linux und innerhalb von Docker-Containern installiert werden. Hier gibt es die Möglichkeit zur Anbindung an Active Directory. Dieser Beitrag zeigt die Vorgehensweise.
Wenn Microsoft SQL Server 2019/2022 in Windows zum Einsatz kommt, können Admins auf die „integrierte“ Authentifizierung setzen. Hier kann der SQL-Server die Anmeldung am Windows-PC oder generell an Active Directory nutzen, um Benutzer zu authentifizieren. Die Vorteile dabei sind, dass auf dem SQL-Server keine Anmeldedaten gespeichert werden müssen und keine externe Benutzerverwaltung notwendig ist. Dazu kommt, dass Unternehmen ihr Active Directory noch umfassender nutzen können, auch für Datenbankserver.
:quality(80)/p7i.vogel.de/wcms/8f/59/8f59484549ead15ef1c797cbc341a1ae/0106196455.jpeg "Erstellen eines neuen Benutzers und eines neuen SPN für die Registrierung von Microsoft SQL-Server auf einem Linux-Server.")
:quality(80)/p7i.vogel.de/wcms/66/27/6627d64b763f041ea0f2ea4c45e67a9c/0106196454.jpeg "Anzeigen der Key Version Number für einen SQL-Server auf Basis von Linux.")
SQL-Server auf Linux-Servern mit Active Directory verbinden
Damit auf SQL-Servern eine Authentifizierung über Active Directory durchgeführt werden kann, muss der Datenbankserver natürlich zunächst mit Active Directory verknüpft werden. Sinnvoll ist an dieser Stelle das Anlegen eines neuen Benutzerkontos in Active Directory, das für die Verbindung zwischen dem SQL-Server und dem AD zum Einsatz kommt. Microsoft empfiehlt die Verwendung eines Benutzerkontos, dessen Kennwort nicht abläuft. Das Anlegen kann über die GUI mit „dsa.msc“ erfolgen oder in der PowerShell mit:
New-ADUser sqlsvc -AccountPassword (Read-Host -AsSecureString "Enter Password") -PasswordNeverExpires $true -Enabled $trueDieses Konto sollte idealerweise nur für diesen Zweck zum Einsatz kommen und aus Sicherheitsgründen nicht für andere Dienste genutzt werden. Das Konto kann zum Beispiel die Bezeichnung „sqlsvc“ erhalten. Im Anschluss kann der Dienstprinzipalnamen (Service Principle Name, SPN) für den Datenbankserver angelegt werden. Dazu kommt das Befehlszeilentool „setspn.exe“ zum Einsatz. Wichtig ist an dieser Stelle, dass der komplette FQDN des Servers genutzt wird. Der Befehl sieht folgendermaßen aus:
setspn -A MSSQLSvc/<FQDN des SQL-Servers>:1433 sqlsvcsetspn -A MSSQLSvc/<NetBIOS-Name des SQL-Servers>:1433 sqlsvcWenn das Benutzerkonto und der SPN für den SQL-Server bereitstehen, kann im Anschluss die Keytab-Datei erstellt werden. Sie brauchen dazu die Schlüsselversionsnummer (Key Version Number, KVNO) des erstellten Benutzers. Diese Nummer lässt sich zum Beispiel in der PowerShell mit dem folgenden Befehl anzeigen:
get-adcomputer <Hostname> -property msDS-KeyVersionNumberIn den meisten Fällen ist bei „msDS-KeyVersionNumber“ die Nummer 2 zu sehen. Die Nummer wird benötigt, um auf dem Linux-Server mit „ktpass“ für jede SPN einen KEYTAB-Eintrag zu erstellen.
Linux-Server für Active-Directory-Verbindung vorbereiten
Auf dem Linux-Server erfolgt die Verbindung mit dem Benutzer, der für SQL-Server zum Einsatz kommen soll. Dazu werden folgende Befehle verwenden:
kinit sqlsvc@joos.intkvno sqlsvc@joos.intkvno MSSQLSvc/sql.joos.int:1433@joos.intDie Namen des Benutzers, des Servers und der Domäne müssen natürlich an die jeweilige Umgebung angepasst werden. Der Vorgang dauert einige Zeit. Der Befehl muss ohne Fehlermeldung abgeschlossen werden. Danach werden über „ktpass“ für die SPN, die im Vorfeld angelegt wurde, KEYTAB-Einträge erstellt. Hier spielt auch die KVNO eine Rolle, die im Vorfeld ausgelesen wurde:
ktpass /princ MSSQLSvc/<fully qualified domain name of host machine>:<tcp port>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto aes256-sha1 /mapuser <DomainName>\<UserName> /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ MSSQLSvc/<fully qualified domain name of host machine>:<tcp port>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto rc4-hmac-nt /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ MSSQLSvc/<netbios name of the host machine>:<tcp port>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto aes256-sha1 /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ MSSQLSvc/<netbios name of the host machine>:<tcp port>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto rc4-hmac-nt /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ <UserName>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto aes256-sha1 /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>ktpass /princ <UserName>@CONTOSO.COM /ptype KRB5_NT_PRINCIPAL /crypto rc4-hmac-nt /mapuser <DomainName>\<UserName> /in mssql.keytab /out mssql.keytab -setpass -setupn /kvno <#> /pass <StrongPassword>Wenn alles richtig abgelaufen ist, sollte es jetzt die Datei „mssql.keytab“ geben. Diese Datei muss auf dem SQL-Server in das Verzeichnis „/var/opt/mssql/secrets“ kopiert werden. Um die Sicherheit zu optimieren, kann die Datei vor Zugriffen geschützt werden:
sudo chown mssql:mssql /var/opt/mssql/secrets/mssql.keytabsudo chmod 400 /var/opt/mssql/secrets/mssql.keytabIm Anschluss kann mit der „mssql-conf“ festgelegt werden, dass der SQL-Server in Zukunft die erstellte Keytab-Datei für die Authentifizierung nutzen soll:
sudo mssql-conf set network.privilegedadaccount <Benutzer>sudo mssql-conf set network.kerberoskeytabfile /var/opt/mssql/secrets/mssql.keytabsudo systemctl restart mssql-server Anmeldungen für Active Directory als SQL-Abfrage erstellen
Ob die Konfiguration bis an diese Stelle funktioniert hat, lässt sich durch eine T-SQL-Abfrage überprüfen, in der eine neue Anmeldung an der Domäne durchgeführt wird. Dazu kann zum Beispiel folgende Abfrage verwendet werden:
CREATE LOGIN [CONTOSO\user] FROM WINDOWS;SELECT name FROM sys.server_principals;Auch hier muss auf den richtigen Benutzer geachtet werden. Wenn sich Benutzer an einem Clientcomputer anmelden, können sie auf die SQL-Datenbanken zugreifen, für die sie berechtigt sind, ohne weitere Anmeldungen durchführen zu müssen.
(ID:48565068)
:quality(80)/p7i.vogel.de/wcms/30/2b/302b15535728845092f765665bb3557d/0112265753.jpeg "Mit der Tool-Sammlung FreeIPA können AD-Verzeichnisstrukturen und Trusts aufgebaut werden – inklusive Kerberos und LDAP. Die Verwaltung erfolgt über das Web-Frontend oder das Terminal. (Bild: Joos - FreeIPA)")
:quality(80)/p7i.vogel.de/wcms/a1/a1/a1a1226969ef2cc99dd422bf969c83a7/0104957008.jpeg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (Bild: ra2 studio - stock.adobe.com)")