לשיפור
שינוי זה מיישם את S4U2Self/S4U2Proxy protocol המשתמש בממשק האבטחה הכללי של שירות האבטחה (השב כ) בחלק העליון של ספריית Kerberos של MIT כדי לאפשר עבור Kerberos הקצאה מוגבלת (אך * לא * משאב הקצאה מוגבלת מבוססת). פונקציונליות זו דורשת הגדרה של חשבון Active Directory (AD) מורשה באמצעות mssql-conf על-ידי ביצוע הפעולות הבאות ב-SQL מארח Server Linux:
sudo /opt/mssql/bin/mssql-conf set network. privilegedadaccount mssql
והגדרת הקצאה מוגבלת כנגד שמות Spn של SQL Server עבור כל פרוטוקול אימות במודעה קונטרולר, כלומר אם נעשה שימוש בפקודות Powershell:
Set-ADAccountControl-Identity mssql-TrustedToAuthForDelegation $true
Set-ADUser-Identity mssql-הוסף @ {' msDS-AllowedToDelegateTo ' = @ (' MSSQLSvc/netbiosname ': 1433 ', ' MSSQLSvc/1433 ': ', '/machine_fqdn: ')}
כמו כן, נדרשת שינוי הגדרות Kerberos במארח SQL Server Linux ליצירת העברה כרטיסים כברירת מחדל, כלומר ב-/etc/krb5.conf אחד אמור לראות:
[libdefaults]
העברה = true
פתרון
שיפור זה כלול בעדכון המצטבר הבא עבור SQL Server:
אודות עדכונים מצטברים עבור SQL Server:
כל עדכון מצטבר חדש עבור SQL Server מכיל את כל התיקונים החמים ואת כל תיקוני האבטחה שנכללו בעדכון המצטבר הקודם. עיין בעדכונים המצטברים האחרונים עבור SQL Server:
הפניות
קבל מידע על המינוחשבו Microsoft משתמשת כדי לתאר עדכוני תוכנה.
צד שלישי כתב ויתור על מידע
צד שלישי מוצרים העוסקים במאמר זה מיוצרים על-ידי חברות הנמצאות ללא תלות במיקרוסופט. Microsoft אינה מחייבת אחריות, משתמעת או אחרת, אודות הביצועים או המהימנות של מוצרים אלה.