Типы проверки подлинности конечной точки

Статья
12/15/2008

В процесс проверки подлинности конечной точки входит предоставление разрешений пользователям на подключение к созданным на сервере конечным точкам и определение характера выполнения проверки подлинности. Дополнительные сведения о предоставлении разрешений на подключение к конечным точкам см. в разделе GRANT, предоставление разрешений на конечные точки (Transact-SQL).

Характер выполнения проверки подлинности определяется предложением AUTHENTICATION в инструкции CREATE ENDPOINT или ALTER ENDPOINT. Предложение AUTHENTICATION обладает следующими параметрами, определяющими тип проверки подлинности:

BASIC
DIGEST
NTLM
KERBEROS
INTEGRATED

Примечание.
Анонимная проверка подлинности на конечной точке не поддерживается. Для доступа к конечной точке пользователь должен пройти проверку подлинности как пользователь Windows: или доверенный пользователь Windows, или владелец учетной записи на локальном компьютере.

Анонимная проверка подлинности на конечной точке не поддерживается. Для доступа к конечной точке пользователь должен пройти проверку подлинности как пользователь Windows: или доверенный пользователь Windows, или владелец учетной записи на локальном компьютере.

Обычная проверка подлинности

Обычная проверка подлинности является одним из двух требуемых механизмов проверки подлинности в спецификации HTTP 1.1. Обычная проверка подлинности производится на основе заголовка, в котором находятся разделенные двоеточием имя пользователя и пароль, закодированные в формате base64. Дополнительные сведения см. в документе http://www.ietf.org/rfc/rfc2617.txt.

При задании обычной проверки подлинности примите во внимание следующее:

Свойство PORTS не может принимать значение CLEAR.
Посылаемые для обычной проверки подлинности HTTP учетные данные должны быть сопоставлены с действительной учетной записью Windows.

Обычная проверка подлинности должна использоваться только в крайних случаях. При использовании обычной проверки подлинности из-за того, что в ней применяется легко расшифровываемое кодирование base64, необходимо, чтобы в экземпляре SQL Server для HTTP-соединений использовался порт SSL. Обычная проверка подлинности применяется в том случае, если получившим разрешение на доступ к конечной точке пользователем является локальный пользователь компьютера сервера.

Дайджест-проверка подлинности

Дайджест-проверка подлинности является вторым необходимым для HTTP 1.1 механизмом проверки подлинности. Это проверка подлинности имени пользователя и его пароля. Эти данные хэшируются по алгоритму MD5, одностороннему алгоритму хэширования, и отправляются на сервер. У сервера есть доступ либо к паролю, либо к хранимому хэшу MD5, созданному при установке пароля. Затем сервер сравнивает хранимое вычисленное значения со значением, предоставленным клиентом. Таким образом клиент может доказать, что он знает пароль, не передавая его на сервер. Дополнительные сведения см. в документе http://www.ietf.org/rfc/rfc2617.txt.

Посылаемые по HTTP в качестве части дайджест-проверки подлинности учетные данные должны быть сопоставлены с действительной учетной записью домена Windows. Учетные записи локальных пользователей дайджест-проверкой подлинности Windows не поддерживаются.

Примечание.
В целях безопасности дайджест-проверка подлинности Windows поддерживает кодирование MD5 только на контроллерах домена, работающих под управлением .

Проверка подлинности NTLM

NTLM — это механизм проверки подлинности, поддерживаемый , и (клиентом и сервером). Данный механизм проверки подлинности является протоколом ответов на вызовы, обеспечивающим большую безопасность, чем обычная или краткая проверка подлинности. NTLM поддерживается в и более поздних версиях благодаря интерфейсу службы поддержки безопасности (SSPI). Дополнительные сведения см. на веб-узле Майкрософт.

Проверка подлинности Kerberos

Проверка подлинности Kerberos является стандартным механизмом проверки подлинности в Интернете. Проверка подлинности Kerberos поддерживается в и более поздних версиях благодаря интерфейсу SSPI.

При использовании проверки подлинности Kerberos экземпляр SQL Server должен связать имя участника-службы (SPN) с учетной записью, в которой он запущен. Дополнительные сведения см. в разделе Регистрация имен участников службы Kerberos в файле Http.sys.

Дополнительные сведения о проверке подлинности Kerberos см. также на веб-узле Майкрософт.

Встроенная проверка подлинности

Поддерживающие встроенную проверку подлинности конечные точки могут при ответе использовать в качестве части процедуры следующие типы проверок подлинности: Kerberos или NTLM.

При такой конфигурации сервер будет пытаться произвести проверку подлинности клиента тем методом, который использует клиент.

Примечание.
Если этот процесс прервется на одном встроенном типе проверки подлинности, то сервер оборвет соединение с клиентом. Сервер не попытается повторить попытку подключения при помощи другого типа проверки подлинности.

См. также

Справочник

Настройка сервера на прослушивание запросов собственных веб-служб с поддержкой XML
Проверка подлинности SQL Server по протоколу SOAP

Справка и поддержка

Получение помощи по SQL Server 2005