SQL Server 2022 : Windows 認証する2023/01/30 |
|
Ubuntu サーバー上で稼働する SQL Server に対して Windows 認証でログオンできるように設定します。
|
|||||||||||
| [1] |
こちらを参考に SQL Server が稼働する Ubuntu サーバーを
Active Directory ドメインに加えておきます。
当例では以下のような環境を前提に進めます。
|
||||||||||
| [2] | 事前に AD 側で SQL Server サービス用のユーザーを作成しておきます。 当例では以下のように [mssql] ユーザーを作成して進めます。 |
|
| [3] |
Powershell を管理者で起動し、SQL Server サービス用のユーザーにサービスプリンシパル名をセットしておきます。
PS > setspn -A MSSQLSvc/(SQL Server 稼働ホストの FQDN):(SQL Server 稼働ポート) (SQL Server サービス用のユーザー)PS > setspn -A MSSQLSvc/(SQL Server 稼働ホストの NetBIOS 名):(SQL Server 稼働ポート) (SQL Server サービス用のユーザー) |
|
| [4] | SQL Server が稼働する Ubuntu サーバーでの設定です。 |
|
# SQL Server サービス用の AD ユーザーで Kerberos チケット取得 root@dlp:~# kinit mssql@SRV.WORLD Password for mssql@SRV.WORLD: # Key Version Number (kvno) 確認 root@dlp:~# kvno MSSQLSvc/dlp.srv.world:1433 MSSQLSvc/dlp.srv.world:1433@SRV.WORLD: kvno = 2 # keytab ファイル作成 # addent -password -p MSSQLSvc/(SQL Server 稼働ホストの FQDN):(SQL Server 稼働ポート) -k (kvno) root@dlp:~# ktutil ktutil: addent -password -p MSSQLSvc/dlp.srv.world:1433@SRV.WORLD -k 2 -e aes256-sha1 Password for MSSQLSvc/dlp.srv.world:1433@SRV.WORLD: ktutil: addent -password -p MSSQLSvc/dlp.srv.world:1433@SRV.WORLD -k 2 -e rc4-hmac Password for MSSQLSvc/dlp.srv.world:1433@SRV.WORLD: ktutil: addent -password -p MSSQLSvc/DLP:1433@SRV.WORLD -k 2 -e aes256-sha1 Password for MSSQLSvc/dlp.srv.world:1433@SRV.WORLD: ktutil: addent -password -p MSSQLSvc/DLP:1433@SRV.WORLD -k 2 -e rc4-hmac Password for MSSQLSvc/dlp.srv.world:1433@SRV.WORLD: ktutil: wkt /var/opt/mssql/secrets/mssql.keytab ktutil: quit
root@dlp:~#
chown mssql. /var/opt/mssql/secrets/mssql.keytab root@dlp:~# chmod 400 /var/opt/mssql/secrets/mssql.keytab
# keytab ファイル設定 root@dlp:~# /opt/mssql/bin/mssql-conf set network.privilegedadaccount mssql root@dlp:~# /opt/mssql/bin/mssql-conf set network.kerberoskeytabfile /var/opt/mssql/secrets/mssql.keytab SQL Server needs to be restarted in order to apply this setting. Please run 'systemctl restart mssql-server.service'. root@dlp:~# systemctl restart mssql-server |
| [5] | 任意の AD ユーザーと紐付く SQL Server ユーザーを作成します。 |
|
# 例として [serverworld] ユーザーを作成 root@dlp:~# id FD3S01\\serverworld uid=765401103(serverworld@srv.world) gid=765400513(domain users@srv.world) groups=765400513(domain users@srv.world),765400512(domain admins@srv.world),765400572(denied rodc password replication group@srv.world)root@dlp:~# sqlcmd -S localhost -U SA Password: 1> create login [FD3S01\Serverworld] from windows; 2> go 1> select name from sys.server_principals; 2> go name ------------------------------------------------- sa public sysadmin securityadmin serveradmin setupadmin processadmin diskadmin dbcreator bulkadmin ##MS_ServerStateReader## ##MS_ServerStateManager## ##MS_DefinitionReader## ##MS_DatabaseConnector## ##MS_DatabaseManager## ##MS_LoginManager## ##MS_SecurityDefinitionReader## ##MS_PerformanceDefinitionReader## ##MS_ServerSecurityStateReader## ##MS_ServerPerformanceStateReader## ##MS_SQLResourceSigningCertificate## ##MS_SQLReplicationSigningCertificate## ##MS_SQLAuthenticatorCertificate## ##MS_PolicySigningCertificate## ##MS_SmoExtendedSigningCertificate## ##MS_PolicyEventProcessingLogin## ##MS_PolicyTsqlExecutionLogin## ##MS_AgentSigningCertificate## BUILTIN\Administrators NT AUTHORITY\SYSTEM NT AUTHORITY\NETWORK SERVICE ubuntu FD3S01\Serverworld (33 rows affected) |
| [6] | SQL Server ログインを作成した AD ユーザーで Ubuntu サーバーにログインし、SQL Server にもログイン可能か確認します。 |
|
# Kerberos チケット取得 serverworld@srv.world@dlp:~$ kinit Password for Serverworld@SRV.WORLD: serverworld@srv.world@dlp:~$ klist
Ticket cache: FILE:/tmp/krb5cc_765401103_z7AHaZ
Default principal: Serverworld@SRV.WORLD
Valid starting Expires Service principal
01/27/2023 07:47:34 01/27/2023 17:47:34 krbtgt/SRV.WORLD@SRV.WORLD
renew until 01/28/2023 07:47:30
serverworld@srv.world@dlp:~$ sqlcmd -S dlp.srv.world 1> select @@version; 2> go -------------------------------------------------------------------------- Microsoft SQL Server 2022 (RTM) - 16.0.1000.6 (X64) Oct 8 2022 05:58:25 Copyright (C) 2022 Microsoft Corporation Developer Edition (64-bit) on Linux (Ubuntu 20.04 LTS) <X64> (1 rows affected) |
| ドメイン参加した Windows クライアント上の SSMS からも [Windows 認証] でログイン可能です。 |
|
|
関連コンテンツ