提高
此更改实现 在 MIT Kerberos 库顶部使用常规安全服务(GSS) API 的 S4U2Self/S4U2Proxy 协议,以允许 对于 Kerberos 约束委派(但 * 不是 * 资源 基于限制的委派)。 此功能需要设置 通过在 SQL 中执行以下操作,通过 mssql 会议授予特权 Active Directory (AD)帐户 服务器 Linux 主机:
sudo /opt/mssql/bin/mssql-conf set network privilegedadaccount mssql
和设置受限制的委派 针对 AD 上的任何身份验证协议的 SQL Server Spn 控制器,即,如果使用 Powershell 命令:
ADAccountControl-Identity mssql-TrustedToAuthForDelegation $true
ADUser-Identity mssql-Add @ {"AllowedToDelegateTo" = @ ("MSSQLSvc/netbiosname: 1433","MSSQLSvc/machine_fqdn: 1433")}
它还需要更改 SQL Server Linux 主机上的 Kerberos 设置以生成 forwardable 默认情况下,例如/etc/krb5.conf 中的票证应显示:
[libdefaults]
forwardable = true
解决方案
此改进包括在 SQL Server 的以下累积更新中:
关于 SQL Server 的累积更新:
SQL Server 的每个新的累积更新均包含以前的累积更新中包含的所有修补程序和所有安全修补程序。 查看 SQL Server 的最新累积更新:
参考
了解Microsoft 用于描述软件更新的术语。
第三方 信息免责声明
第三方 本文讨论的产品是由以下公司生产的 独立于 Microsoft。 Microsoft 不作任何默示或其他保证, 了解这些产品的性能或可靠性。