• Artikel

Endpunktauthentifizierungs-Typen

Der Prozess für die Endpunktauthentifizierung umfasst das Erteilen von Berechtigungen, über die Benutzer Verbindungen mit Endpunkten auf dem Server herstellen können, sowie die Angabe des Authentifizierungstyps.

Wie die Authentifizierung ausgeführt wird, wird mithilfe der AUTHENTICATION-Klausel der CREATE ENDPOINT-Anweisung oder der ALTER ENDPOINT-Anweisung angegeben. Die AUTHENTICATION-Klausel bietet folgende Optionen für die Angabe des Authentifizierungstyps:

  • BASIC

  • DIGEST

  • NTLM

  • KERBEROS

  • INTEGRATED

HinweisHinweis

Die Anonyme Authentifizierung an einem Endpunkt wird nicht unterstützt. Für den Benutzerzugriff auf einen Endpunkt muss der Benutzer ein gültiger authentifizierter Windows-Benutzer sein, d. h. entweder ein vertrauenswürdiger Windows-Benutzer oder ein Mitgliedskonto auf dem lokalen Computer.

Standardauthentifizierung

Die Standardauthentifizierung stellt einen der beiden erforderlichen Authentifizierungsmechanismen in der HTTP 1.1-Spezifikation dar. Die Standardauthentifizierung besteht aus einem Authentifizierungsheader, der den base64-verschlüsselten Benutzernamen und das Kennwort (getrennt durch einen Doppelpunkt) enthält. Unter http://www.ietf.org/rfc/rfc2617.txt finden Sie weitere Informationen.

Berücksichtigen Sie Folgendes bei der Angabe von BASIC:

  • Der PORTS-Wert darf nicht auf CLEAR festgelegt werden.

  • Anmeldeinformationen, die als standardmäßige HTTP-Authentifizierung gesendet werden, müssen einer gültigen Windows-Anmeldung zugeordnet werden.

Die Standardauthentifizierung sollte nur im Ausnahmefall verwendet werden. Da hier die mühelos zu decodierende base64-Verschlüsselung verwendet wird, erfordert die Instanz von SQL Server bei der Angabe der Standardauthentifizierung, dass ein SSL-Anschluss (Secure Sockets Layer) für die HTTP-Verbindung verwendet wird. Die Standardauthentifizierung kann verwendet werden, wenn der Benutzer, dem die Berechtigungen für den Endpunkt gewährt werden, ein lokaler Benutzer auf dem Servercomputer selbst ist.

Digestauthentifizierung

Bei der Digestauthentifizierung handelt es sich um den zweiten für HTTP 1.1 erforderlichen Authentifizierungsmechanismus. Diese Authentifizierung besteht aus dem Benutzernamen und dem Kennwort. Hieraus wird anschließend ein Hashwert mit MD5, einem unidirektionalen Hashalgorithmus, erstellt und an den Server gesendet. Der Server hat entweder Zugriff auf das ursprüngliche Kennwort oder einen gespeicherten MD5-Hash, der erstellt wurde, als das Kennwort festgelegt wurde. Der Server kann anschließend den gespeicherten berechneten Wert mit dem vom Client zur Verfügung gestellten vergleichen. Auf diese Weise kann der Client beweisen, dass er das Kennwort kennt, ohne es tatsächlich am Server anzugeben. Unter http://www.ietf.org/rfc/rfc2617.txt finden Sie weitere Informationen.

Die Anmeldeinformationen, die als Teil einer Digestauthentifizierung über HTTP gesendet werden, müssen einem gültigen Windows-Domänenkonto zugeordnet werden. Lokale Benutzerkonten werden für die Windows-basierte Digestauthentifizierung nicht unterstützt.

HinweisHinweis

Aus Sicherheitsgründen unterstützt die Windows-basierte Digestauthentifizierung nur die MD5-sess-Verschlüsselung über Domänencontroller, die unter Windows Server 2003 ausgeführt werden.

NTLM-Authentifizierung

NTLM ist der von Windows 95, Windows 98 und Windows NT 4.0 unterstützte Authentifizierungsmechanismus (Client und Server). Dieser Authentifizierungsmechanismus ist ein Abfrage-/Rückmeldungsprotokoll, das eine stärkere Authentifizierung als die Standard- oder die Digestauthentifizierung gewährleistet. NTLM wird unter Windows 2000 und höheren Versionen von einer Security Support Provider-Schnittstelle (SSPI) implementiert. Weitere Informationen finden Sie unter Microsoft NTLM.

Kerberos-Authentifizierung

Die Kerberos-Authentifizierung ist ein Internetstandard-Authentifizierungsmechanismus. Die Kerberos-Authentifizierung wird unter Windows 2000 und höheren Versionen durch eine SSPI unterstützt.

Wenn die Kerberos-Authentifizierung verwendet wird, muss die Instanz von SQL Server dem Konto, auf dem sie ausgeführt wird, einen Dienstprinzipalnamen (Service Principal Name, SPN) zuweisen. Weitere Informationen finden Sie unter Registrieren von Kerberos-Dienstprinzipalnamen (Service Principal Names, SPNs) mithilfe von Http.sys.

Weitere Informationen zur Kerberos-Authentifizierung finden Sie unter Microsoft Kerberos.

Integrierte Authentifizierung

Endpunkte, die für die Unterstützung der integrierten Authentifizierung konfiguriert sind, können mit einem der folgenden Authentifizierungstypen als Teil der Authentifizierungsabfrage antworten: Kerberos oder NTLM.

Unter dieser Konfiguration versucht der Server den Client mit dem Typ zu authentifizieren, den der Client verwendet, um die Authentifizierung anzufordern.

HinweisHinweis

Falls dieser Prozess bei einem integrierten Authentifizierungstyp zu einem Fehler führt, beendet der Server die Verbindung für den Client. Der Server greift nicht darauf zurück, wieder den anderen Authentifizierungstyp zu versuchen.