Melhoria
Esta mudança implementa o Protocolo S4U2Self/S4U2Proxy que utiliza a API do Serviço de Segurança Genérico (GSS) em cima da biblioteca MIT Kerberos para permitir para Kerberos delegação restrita (mas *não* recurso delegação restrita baseada). Esta funcionalidade requer a definição de um conta ative de diretório ativo privilegiada (AD) através de mssql-conf executando o seguinte no SQL Anfitrião do Servidor Linux:
sudo /opt/mssql/bin/mssql-conf set network.privilegedadaccount mssql
e a criação de uma delegação restrita contra o SQL Server SPNs para qualquer protocolo de autenticação no AD Controlador, isto é, se utilizar comandos Powershell:
Set-ADAccountControl -Identidade mssql -TrustedToAuthForDelegation $true
Set-ADUser -Identidade mssql -Add @{'msDS-AllowedToDeegateTo'=@'MSSQLSvc/netbiosname:1433', 'MSSQLSvc/machine_fqdn:1433')}
Também requer mudanças as definições de Kerberos no anfitrião SQL Server Linux para gerar reencaminhados os bilhetes por defeito, ou seja, em /etc/krb5.conf devem ver:
[libdefaults]
reencável = verdadeiro
Resolução
Esta melhoria está incluída na seguinte atualização cumulativa para o SQL Server:
Sobre as atualizações cumulativas para o SQL Server:
Cada nova atualização cumulativa do SQL Server contém todos os hotfixes e todas as correções de segurança que foram incluídas com a atualização cumulativa anterior. Confira as últimas atualizações cumulativas do SQL Server:
Referências
Conheça a terminologiaque a Microsoft utiliza para descrever atualizações de software.
Terceiros isenção de informação
O terceiro produtos que este artigo discute são fabricados por empresas que são independente da Microsoft. A Microsoft não faz qualquer garantia, implícita ou não, sobre o desempenho ou fiabilidade destes produtos.
