Ökning
Den här ändringen implementerar S4U2Self/S4U2Proxy-protokoll som använder det allmänna säkerhets tjänst (GSS) API över MIT Kerberos-biblioteket för att tillåta för Kerberos begränsad delegering (men * inte * resurs baserad begränsad delegering). Den här funktionen kräver att en privilegie rad Active Directory (AD)-konto via MSSQL-conf genom att köra följande i SQL Server Linux-värd:
sudo /opt/MSSQL/bin/MSSQL-conf set Network. privilegedadaccount MSSQL
och ställa in begränsad delegering mot SQL Server-SPN för alla autentiseringsprotokoll i ANNONSen en styrenhet som använder PowerShell-kommandon:
Set-ADAccountControl-Identity MSSQL-TrustedToAuthForDelegation $true
Set-ADUser-Identity MSSQL-Add @ {' msDS-AllowedToDelegateTo ' = @ (' MSSQLSvc/NetbiosName: 1433 ', ' MSSQLSvc/machine_fqdn: 1433 ')}
Det måste också ändras Kerberos-inställningarna på SQL Server Linux-värden för att generera vidarebefordrade biljetter som standard, dvs. i/etc/krb5.conf ser du:
[libstandards]
forwardable = True
Lösning
Den här förbättringen ingår i följande kumulativa uppdatering för SQL Server:
Om kumulativa uppdateringar för SQL Server:
Varje ny kumulativ uppdatering för SQL Server innehåller alla snabb korrigeringar och alla säkerhets korrigeringar som ingick i den föregående kumulativa uppdateringen. Kolla in de senaste kumulativa uppdateringarna för SQL Server:
Referenser
Lär dig mer om terminologinsom Microsoft använder för att beskriva program varu uppdateringar.
Tredje part information om fri skrivning
Tredje part produkter som diskuteras i den här artikeln tillverkas av företag som är oberoende av Microsoft. Microsoft ger ingen garanti, underförstådda eller på annat sätt om dessa produkters prestanda eller pålitlighet.