Autenticación Kerberos y SQL Server
Kerberos es un protocolo de autenticación de red que proporciona un método muy seguro para autenticar entidades cliente y servidor (entidades de seguridad) en una red. Estas entidades de seguridad utilizan autenticación basada en claves maestras y vales cifrados.
En el modelo de protocolo Kerberos, cada conexión cliente/servidor comienza con la autenticación. El cliente y el servidor, sucesivamente, ejecutan una serie de acciones diseñadas para garantizar a cada una de las partes de la conexión que la otra es auténtica. Si la autenticación se lleva a cabo correctamente, la configuración de la sesión finalizará y se establecerá una sesión cliente/servidor segura.
Entre las ventajas clave de la autenticación Kerberos se encuentran las siguientes:
Autenticación mutua. El cliente puede validar la identidad de la entidad de seguridad del servidor y el servidor puede validar el cliente. A lo largo de esta documentación, las dos entidades se denominarán "cliente" y "servidor", aunque se pueden realizar conexiones de red seguras entre servidores.
Vales de autenticación seguros. Sólo se utilizan vales cifrados y las contraseñas nunca están incluidas en el vale.
Autenticación integrada. Una vez que el usuario haya iniciado sesión, no necesitará iniciar sesión nuevamente para tener acceso a cualquiera de los servicios que admite la autenticación Kerberos, siempre y cuando el vale del cliente no haya expirado. Cada vale tiene una vigencia, que está determinada por las directivas del dominio Kerberos que genera el vale.
Kerberos proporciona un mecanismo para la autenticación mutua entre entidades antes de que se establezca una conexión de red segura. Kerberos utiliza un tercero de confianza, el Centro de distribución de claves (KDC), para facilitar la generación y la distribución segura de vales de autenticación y claves de sesión simétricas. El KDC se ejecuta como un servicio en un servidor seguro y mantiene una base de datos para todas las entidades de seguridad de su dominio. En el contexto de Kerberos, un dominio es el equivalente a un dominio de Windows.
[!NOTA]
La seguridad de clave maestra es responsabilidad del cliente y del servidor; el KDC sólo proporciona el vale que concede el servicio.
En un entorno Windows, el controlador de dominio asume el control del KDC y utiliza normalmente Active Directory para ello. Todos los usuarios del dominio de Windows son entidades de seguridad de Kerberos y pueden utilizar la autenticación Kerberos.
Kerberos y SQL Server
SQL Server admite indirectamente Kerberos a través de la interfaz del Proveedor de compatibilidad para seguridad (SSPI) cuando SQL Server usa la autenticación de Windows. SSPI permite a una aplicación utilizar diversos modelos de seguridad disponibles en un equipo o una red sin cambiar la interfaz para el sistema de seguridad.
SQL Server permite a SSPI negociar el protocolo de autenticación a utilizar; si no se puede utilizar Kerberos, Windows utilizará el mecanismo de autenticación desafío/respuesta (NTLM) de Windows NT.
SQL Server 2008 admite la autenticación Kerberos en los protocolos siguientes:
TCP/IP
Canalizaciones con nombre
Memoria compartida
Para obtener más información sobre los protocolos anteriores, vea Protocolos de red y extremos TDS.
Le recomendamos que, siempre que sea posible, utilice la autenticación Kerberos para las conexiones a una instancia de SQL Server.