Share via

Registrar um nome de entidade de serviço para conexões de Kerberos

  • Artigo

Para usar a autenticação Kerberos com o SQL Server, é preciso satisfazer estas duas condições:

  • Os computadores cliente e servidor devem fazer parte do mesmo domínio do Windows ou de domínios confiáveis.

  • Um SPN (Nome da Entidade de Serviço) deve ser registrado no Active Directory, o qual assume a função do Centro de Distribuição de Chaves em um domínio Windows. O SPN, depois de registrado, é mapeado para a conta do Windows que iniciou o serviço da instância do SQL Server. Se o registro do SPN não foi realizado ou falhou, a camada de segurança do Windows não poderá determinar a conta associada ao SPN e a autenticação Kerberos não será utilizada.

    ObservaçãoObservação

    Se o servidor não puder registrar automaticamente o SPN, será necessário registrá-lo manualmente. Consulte Registro manual de SPN.

É possível verificar se uma conexão está usando Kerberos consultando a exibição de gerenciamento dinâmico sys.dm_exec_connections. Execute a consulta a seguir e verifique o valor da coluna auth_scheme, que será "KERBEROS" se Kerberos estiver habilitado.

SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid ;
DicaDica

O MicrosoftKerberos Configuration Manager for SQL Server é uma ferramenta de diagnóstico que ajuda a solucionar problemas de Kerberos relativos à conectividade com SQL Server. Para obter mais informações, consulte Microsoft Kerberos Configuration Manager for SQL Server.

Neste tópico

Este tópico tem as seguintes seções:

  • A função do SPN na autenticação

  • Permissões

  • Formatos de SPN

  • Registro automático de SPN

  • Registro manual de SPN

  • Conexões cliente

  • Padrões de autenticação

  • Comentários

A função do SPN na autenticação

Quando um aplicativo abre uma conexão e usa a Autenticação do Windows, o SQL Server Native Client passa o nome do computador, o nome da instância e, opcionalmente, um SPN do SQL Server. Se a conexão passar um SPN, ele será usado sem qualquer alteração.

Se a conexão não passar um SPN, um SPN padrão será construído a partir do protocolo usado, do nome do servidor e do nome da instância.

Em ambos os casos, o SPN é enviado ao centro de distribuição de chave para obter um token de segurança para autenticar a conexão. Se não for possível obter um token de segurança, a autenticação usará o NTLM.

Um SPN (nome da entidade de serviço) é o nome pelo qual um cliente identifica exclusivamente uma instância de um serviço. O serviço de autenticação Kerberos pode usar um SPN para autenticar um serviço. Quando um cliente deseja se conectar a um serviço, ele localiza uma instância do serviço, compõe um SPN para essa instância, conecta-se ao serviço e apresenta o SPN para autenticação do serviço.

ObservaçãoObservação

As informações fornecidas neste tópico também se aplicam a configurações do SQL Server que usam clustering.

A Autenticação do Windows é o método preferencial de os usuários se autenticarem no SQL Server. Os clientes que usam a Autenticação do Windows são autenticados usando NTLM ou Kerberos. Em um ambiente do Active Directory, a autenticação Kerberos é sempre tentada primeiro. A autenticação Kerberos não está disponível para clientes do SQL Server 2005 que usam pipes nomeados.

Permissões

Quando o serviço do Mecanismo de Banco de Dados é iniciado, ele tenta registrar o SPN (Nome da Entidade de Serviço). Se a conta que estiver iniciando o SQL Server não tiver permissão para registrar um SPN nos Serviços de Domínio Active Directory, ocorrerá uma falha nessa chamada e uma mensagem de aviso será registrada no log de eventos do aplicativo, bem como no log de erros do SQL Server. Para registrar o SPN, é necessário que o Mecanismo de Banco de Dados esteja em execução em uma conta interna, como Sistema Local (não recomendado) ou SERVIÇO DE REDE, ou uma conta com permissão para registrar um SPN, como a conta do administrador de domínio. Quando o SQL Server estiver sendo executado no sistema operacional Windows 7 ou Windows Server 2008 R2, você poderá executar o SQL Server usando uma conta virtual ou uma conta de serviço gerenciada (MSA). Tanto contas virtuais quanto MSAs podem registrar um SPN. Se o SQL Server não estiver em execução em uma dessas contas, o SPN não será registrado na inicialização e o administrador do domínio deverá registrar o SPN manualmente.

ObservaçãoObservação

Quando o domínio do Windows é configurado para execução em um nível inferior ao nível funcional do Windows Server 2008 R2 Windows Server 2008 R2, a Conta de Serviço Gerenciada não tem as permissões necessárias para registrar os SPNs do serviço Mecanismo de Banco de Dados do SQL Server. Se a autenticação Kerberos for necessária, o Administrador de Domínio deverá registrar manualmente os SPNs do SQL Server na Conta de Serviço Gerenciada.

O artigo da Base de Dados de Conhecimento sobre como usar a autenticação Kerberos no SQL Server contém informações sobre como conceder permissões de leitura e gravação a um SPN de uma conta que não seja um Administrador de Domínio.

Informações adicionais estão disponíveis em Como implementar a delegação restrita de Kerberos com o SQL Server 2008

Formatos de SPN

Começando pelo SQL Server 2008, o formato de SPN é alterado para dar suporte à autenticação Kerberos em TCP/IP, pipes nomeados e memória compartilhada. Os formatos de SPN com suporte para instâncias padrão e nomeadas são os seguintes:

Instância nomeada

  • MSSQLSvc/FQDN:[porta | nome_instância], onde:

    • MSSQLSvc é o serviço que está sendo registrado.

    • FQDN é o nome de domínio completamente qualificado do servidor.

    • porta é o número da porta de TCP.

    • nome_da_instância é o nome da instância do SQL Server.

Instância padrão

  • MSSQLSvc/FQDN:porta | MSSQLSvc/FQDN, onde:

    • MSSQLSvc é o serviço que está sendo registrado.

    • FQDN é o nome de domínio completamente qualificado do servidor.

    • porta é o número da porta de TCP.

O formato de SPN novo não requer um número de porta. Isso significa que um servidor de várias portas ou um protocolo que não usa números de porta pode usar a autenticação Kerberos.

ObservaçãoObservação

No caso de uma conexão TCP/IP, na qual a porta TCP é incluída no SPN, é necessário que o SQL Server habilite o protocolo TCP a um usuário para que ele se conecte usando a autenticação Kerberos.

MSSQLSvc/fqdn:porta

O SPN padrão gerado pelo provedor quando o protocolo TCP é usado. porta é um número da porta de TCP.

MSSQLSvc/fqdn

O SPN padrão gerado pelo provedor para uma instância padrão quando um protocolo diferente de TCP é usado. fqdn é um nome de domínio totalmente qualificado.

MSSQLSvc/fqdn:InstanceName

O SPN padrão gerado pelo provedor para uma instância nomeada quando um protocolo diferente de TCP é usado. InstanceName é o nome de uma instância do SQL Server.

Registro automático de SPN

Quando uma instância do Mecanismo de Banco de Dados do SQL Server é iniciada, o SQL Server tenta registrar o SPN para o serviço do SQL Server. Quando a instância é interrompida, o SQL Server tenta cancelar o SPN. Para uma conexão TCP/IP, o SPN é registrado no formato MSSQLSvc/<FQDN>:<tcpporta>. Tanto as instâncias nomeadas quanto as instâncias padrão são registradas como MSSQLSvc, dependendo do valor <tcpport> para fazer a diferenciação entre as instâncias.

Para outras conexões que oferecem suporte a Kerberos, o SPN é registrado no formato MSSQLSvc/<FQDN>:<nome_da_instância> para uma instância nomeada. O formato para registrar uma instância padrão é MSSQLSvc/<FQDN>.

Talvez seja necessária a intervenção manual para registrar ou cancelar o SPN se a conta do serviço não tiver as permissões necessárias para essas ações.

Registro manual de SPN

Para registrar um SPN manualmente, é necessário que o administrador use a ferramenta Setspn.exe fornecida com as Ferramentas de Suporte Windows Server 2003 da Microsoft. Para obter mais informações, consulte o artigo da Base de Dados de Conhecimento sobre Ferramentas de suporte do Windows Server 2003 Service Pack 1.

O Setspn.exe é uma ferramenta de linha de comando que permite ao usuário ler, modificar e excluir a propriedade de diretório SPN (Nome da Entidade de Serviço). Essa ferramenta também permite ao usuário exibir os SPNs atuais, redefinir SPNs padrão da conta e adicionar ou excluir SPNs complementares.

O exemplo a seguir ilustra a sintaxe usada para registrar manualmente um SPN para uma conexão TCP/IP.

setspn -A MSSQLSvc/myhost.redmond.microsoft.com:1433 accountname

Observação   Se já houver um SPN, ele deverá ser excluído antes de registrá-lo. É possível fazer isso usando o comando setspn juntamente com a opção -D. Os exemplos a seguir ilustram como registrar manualmente um novo SPN com base em instância. Para uma instância padrão, use:

setspn -A MSSQLSvc/myhost.redmond.microsoft.com accountname

Para uma instância nomeada, use:

setspn -A MSSQLSvc/myhost.redmond.microsoft.com:instancename accountname

Conexões cliente

Há suporte para SPNs especificados pelo usuário nos drivers cliente. Entretanto, se um SPN não for fornecido, será gerado automaticamente com base no tipo de conexão cliente. Para uma conexão TCP, um SPN no formato MSSQLSvc/FQDN: [porta] é usado tanto para instâncias nomeadas quanto para instâncias padrão.

Para pipes nomeados e conexões de memória compartilhada, um SPN no formato MSSQLSvc/FQDN:nome_da_instância é usado para uma instância nomeada e MSSQLSvc/FQDN é usado para a instância padrão.

Usando uma conta de serviço como um SPN

Contas de serviço podem ser usadas como um SPN. Elas são especificadas pelo atributo de conexão para autenticação de Kerberos e têm os seguintes formatos:

  • nome_do_usuário@domínio ou domínio\nome_do_usuário para uma conta de usuário de domínio

  • machine$@domain ou host\FQDN para uma conta de domínio de computador, como Sistema Local ou SERVIÇOS DE REDE.

Para determinar o método de autenticação de uma conexão, execute a seguinte consulta.

SELECT net_transport, auth_scheme 
FROM sys.dm_exec_connections 
WHERE session_id = @@SPID;

Padrões de autenticação

A tabela a seguir descreve os padrões de autenticação usados com base em cenários de registro de SPN.

Cenário

Método de autenticação

O SPN faz o mapeamento para a conta de domínio correta, conta virtual, MSA ou conta interna. Por exemplo, Sistema Local ou SERVIÇO DE REDE.

ObservaçãoObservação

Correto significa que a conta mapeada pelo SPN registrado é a conta na qual o serviço do SQL Server está em execução.

Conexões locais usam NTLM, conexões remotas usam Kerberos.

O SPN faz o mapeamento para a conta de domínio correta, conta virtual, MSA ou conta interna.

ObservaçãoObservação

Correto significa que a conta mapeada pelo SPN registrado é a conta na qual o serviço do SQL Server está em execução.

Conexões locais usam NTLM, conexões remotas usam Kerberos.

O SPN faz o mapeamento para a conta de domínio incorreta, conta virtual, MSA ou conta interna.

A autenticação falha.

A pesquisa de SPN falha ou não faz o mapeamento para uma conta de domínio correta, conta virtual, MSA ou conta interna ou não é uma conta de domínio correta, conta virtual, MSA ou conta interna.

Conexões locais e remotas usam NTLM.

Comentários

A DAC (Conexão de Administrador Dedicada) usa um SPN com base no nome da instância. A autenticação Kerberos poderá ser usada com DAC se o SPN tiver sido registrado com êxito. Como alternativa, um usuário poderá especificar o nome de conta como um SPN.

Se o registro de SPN falhar durante a inicialização, essa falha será registrada no log de erros do SQL Server e a inicialização continuará.

Se o cancelamento do SPN falhar durante o desligamento, essa falha será registrada no log de erros do SQL Server e o desligamento prosseguirá.

Consulte também

Conceitos

Suporte a SPN (Nome da entidade de serviço) em conexões com o cliente

SPNs (Nomes da Entidade de Serviço) em conexões de cliente (OLE DB)

SPNs (Nomes da Entidade de Serviço) em conexões de cliente (ODBC)

Outros recursos

Recursos do SQL Server Native Client

Gerencie problemas de autenticação Kerberos em um ambiente do Reporting Services