Voor kwaliteitsverbetering
Deze wijziging implementeert de S4U2Self/S4U2Proxy-protocol met de API van de generieke beveiligings service (GSS) boven aan de MIT Kerberos-bibliotheek, zodat voor Kerberos beperkt delegeren (maar * niet * resource) op basis van gebonden delegering Voor deze functie is een instelling vereist geautoriseerd Active Directory (AD)-account via MSSQL-conf door het volgende uit te voeren op de SQL Server Linux-host:
sudo /opt/MSSQL/bin/MSSQL-conf set Network. privilegedadaccount MSSQL
en de beperkt delegering instellen met de SQL Server-Spn's voor elk verificatieprotocol in de advertentie controller, dat wil zeggen als u PowerShell-opdrachten gebruikt:
Set-ADAccountControl-Identity MSSQL-TrustedToAuthForDelegation $true
Set-ADUser-Identity MSSQL-add @ {' msDS-AllowedToDelegateTo ' = @ (' MSSQLSvc/netbiosnaam: 1433 ', ' MSSQLSvc/machine_fqdn: 1433 ')}
Dit moet ook worden gewijzigd de Kerberos-instellingen op de SQL Server Linux-host voor het genereren van voorwaarts standaard tickets, dat wil zeggen:
[libstandaards]
forwardable = True
Oplossing
Deze verbetering is opgenomen in de volgende cumulatieve update voor SQL Server:
Over cumulatieve updates voor SQL Server:
Elke nieuwe cumulatieve update voor SQL Server bevat alle hotfixes en alle beveiligingsoplossingen die zijn opgenomen in de vorige cumulatieve update. Bekijk de nieuwste cumulatieve updates voor SQL Server:
Verwijzingen
Lees meer over de terminologiedie door Microsoft wordt gebruikt om software-updates te beschrijven.
Derde partij informatie Disclaimer
De derde partij producten die in dit artikel worden beschreven, worden gefabriceerd door bedrijven die onafhankelijk van Microsoft. Microsoft verbiedt geen garanties, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.
