Supporto per nomi SPN nelle connessioni client
Si applica a:
SQL Server
A partire da SQL Server 2008 (10.0.x), il supporto per i nomi delle entità servizio (SPN) è stato esteso per abilitare l'autenticazione reciproca in tutti i protocolli. Nelle versioni precedenti di SQL Server i nomi SPN sono supportati solo per Kerberos su TCP quando il nome SPN predefinito per l'istanza di SQL Server viene registrato con Active Directory.
I nomi SPN vengono usati dal protocollo di autenticazione per determinare l'account usato per l'esecuzione di un'istanza di SQL Server. Se l'account dell'istanza è noto, è possibile usare l'autenticazione Kerberos per fornire autenticazione reciproca dal client e dal server. Se l'account dell'istanza non è noto, viene usata l'autenticazione NTLM, che fornisce solo l'autenticazione del client da parte del server. Attualmente, il driver OLE DB per SQL Server esegue la ricerca di autenticazione, deducendo SPN dal nome dell'istanza e dalle proprietà della connessione di rete. Le istanze di SQL Server tenteranno di registrare i nomi SPN all'avvio ma è possibile registrarli manualmente. La registrazione, tuttavia, non riuscirà se l'account dispone di diritti di accesso insufficienti per la registrazione dei nomi SPN.
Gli account di dominio e del computer vengono registrati automaticamente in Active Directory. Questi account possono essere usati come SPN oppure gli amministratori possono definire i propri SPN. SQL Server rende l'autenticazione più gestibile e affidabile consentendo ai client di specificare direttamente i nomi SPN da usare.
Nota
Un nome SPN specificato da un'applicazione client viene usato solo quando viene stabilita una connessione con sicurezza integrata di Windows.
Suggerimento
Microsoft Kerberos Configuration Manager for SQL Server è uno strumento di diagnostica che semplifica la risoluzione dei problemi di connettività correlati a Kerberos con SQL Server. Per altre informazioni, vedere Microsoft Kerberos Configuration Manager per SQL Server.
Per altre informazioni su Kerberos, vedere gli articoli seguenti:
Uso
Nella tabella seguente vengono descritti gli scenari più comuni in cui le applicazioni client possono abilitare l'autenticazione protetta.
| Scenario | Descrizione |
|---|---|
| Un'applicazione legacy non specifica un nome SPN. | Questo scenario di compatibilità garantisce che non vi saranno differenze di comportamento per le applicazioni sviluppate per le versioni precedenti di SQL Server. Se non viene specificato alcun nome SPN, l'applicazione si basa sui nomi SPN generati e non è in grado di identificare il metodo di autenticazione usato. |
| Un'applicazione client che usa la versione corrente del driver OLE DB per SQL Server specifica un nome SPN nella stringa di connessione come utente di dominio o account del computer, come nome SPN specifico dell'istanza o come stringa definita dall'utente. | È possibile usare la parola chiave ServerSPN in una stringa del provider, di inizializzazione o di connessione per specificare i valori seguenti: Specificare l'account usato dall'istanza di SQL Server per una connessione. Questa impostazione semplifica l'accesso all'autenticazione Kerberos. Se è presente un centro distribuzione chiavi (KDC, Key Distribution Center) Kerberos ed è stato specificato l'account corretto, è più probabile che venga usata l'autenticazione Kerberos anziché l'autenticazione NTLM. Il centro distribuzione chiavi si trova in genere nello stesso computer del controller di dominio. Specificare un nome SPN per cercare l'account del servizio per l'istanza di SQL Server. Per ogni istanza di SQL Server vengono generati due nomi SPN predefiniti che possono essere usati a questo scopo. Non è tuttavia garantito che tali chiavi siano presenti in Active Directory, pertanto in questa situazione non è garantita neanche l'autenticazione Kerberos. Specificare un nome SPN che verrà usato per cercare l'account del servizio per l'istanza di SQL Server. Questo valore può essere qualsiasi stringa definita dall'utente di cui è stato eseguito il mapping all'account del servizio. In questo caso, la chiave deve essere registrata manualmente nel centro distribuzione chiavi e deve essere conforme alle regole relative ai nomi SPN definiti dall'utente. È possibile usare la parola chiave FailoverPartnerSPN per specificare il nome SPN per il server partner di failover. L'intervallo di valori per gli account e per le chiavi di Active Directory coincide con i valori che è possibile specificare per il server principale. |
| Un'applicazione OLE DB specifica un nome SPN come proprietà di inizializzazione dell'origine dati per il server principale o per un server partner di failover. | È possibile usare la proprietà di connessione SSPROP_INIT_SERVER_SPN nel set di proprietà DBPROPSET_SQLSERVERDBINIT per specificare il nome SPN per una connessione. È possibile usare la proprietà di connessione SSPROP_INIT_FAILOVER_PARTNER_SPN nel set di proprietà DBPROPSET_SQLSERVERDBINIT per specificare il nome SPN per il server partner di failover. |
| L'utente specifica un nome SPN per un server o per un server partner di failover in una finestra di dialogo Collegamento dati o Account di accesso OLE DB. | È possibile specificare il nome SPN in una finestra di dialogo Collegamento dati o Account di accesso . |
| Un'applicazione OLE DB determina il metodo di autenticazione usato per stabilire una connessione. | Se una connessione è stata aperta correttamente, un'applicazione può eseguire una query sulla proprietà di connessione SSPROP_AUTHENTICATION_METHOD nel set di proprietà DBPROPSET_SQLSERVERDATASOURCEINFO per determinare il metodo di autenticazione usato. Alcuni dei valori possibili sono NTLM e Kerberos. |
Failover
I nomi SPN non vengono archiviati nella cache di failover e pertanto non possono essere passati tra connessioni. I nomi SPN verranno usati in tutti i tentativi di connessione al server principale e al partner se specificati nella stringa di connessione o negli attributi di connessione.
Pool di connessioni
Nelle applicazioni è necessario tenere presente che la specifica dei nomi SPN solo in alcune stringhe di connessione può implicare la frammentazione del pool.
Le applicazioni possono specificare a livello di programmazione i nomi SPN come attributi di connessione anziché specificare parole chiave della stringa di connessione. In questo modo, viene semplificata la gestione della frammentazione del pool di connessioni.
Nelle applicazioni è inoltre necessario tenere presente che i nomi SPN nelle stringhe di connessione possono essere sostituiti dagli attributi di connessione corrispondenti, mentre le stringhe di connessione usate dal pool di connessioni useranno i valori della stringa di connessione ai fini del pool.
Comportamento dei server legacy
Poiché il nuovo comportamento di connessione viene implementato dal client, non è specifico di una determinata versione di SQL Server.
Server collegati e delega
Quando si creano server collegati, è possibile usare il parametro @provstr di sp_addlinkedserver per specificare i nomi SPN del server e del server partner di failover. L'uso di questo metodo offre gli stessi vantaggi ottenuti specificando i nomi SPN nelle stringhe di connessione del client e consente di stabilire in modo più semplice e affidabile connessioni che usano l'autenticazione Kerberos.
La delega con server collegati richiede l'autenticazione Kerberos.
Aspetti correlati alla gestione dei nomi SPN specificati dalle applicazioni
Nel determinare se specificare nomi SPN in un'applicazione (tramite stringhe di connessione) o a livello di programmazione tramite proprietà di connessione (anziché basandosi sui nomi SPN generati dal provider predefinito), considerare gli aspetti seguenti:
Sicurezza: verificare se il nome SPN specificato comporta la divulgazione di informazioni protette.
Affidabilità: per consentire l'uso di nomi SPN predefiniti, è necessario che l'account del servizio usato per l'esecuzione dell'istanza di SQL Server disponga di privilegi sufficienti per l'aggiornamento di Active Directory nel Centro distribuzione chiavi.
Utilità e trasparenza a livello di posizione: valutare le conseguenze sui nomi SPN di un'applicazione se il database viene spostato in un'istanza diversa di SQL Server. Questo concetto si applica sia al server principale sia al relativo partner di failover se si usa il mirroring del database. Se una modifica apportata al server comporta la modifica dei nomi SPN, valutare le conseguenze sulle applicazioni e determinare se sarà possibile gestire tutte le modifiche.
Definizione del nome SPN
È possibile specificare un nome SPN nelle finestre di dialogo e nel codice. In questa sezione viene descritto come specificare un nome SPN.
La lunghezza massima consentita per un nome SPN è 260 caratteri.
Di seguito viene indicata la sintassi usata per i nomi SPN nella stringa di connessione o negli attributi di connessione:
| Sintassi | Descrizione |
|---|---|
| MSSQLSvc/fqdn | Nome SPN predefinito generato dal provider per un'istanza predefinita quando si utilizza un protocollo diverso da TCP. fqdn è un nome di dominio completo. |
| MSSQLSvc/fqdn:port | Nome SPN predefinito generato dal provider quando si utilizza il protocollo TCP. port è un numero di porta TCP. |
| MSSQLSvc/fqdn:InstanceName | Nome SPN predefinito generato dal provider per un'istanza denominata quando si usa un protocollo diverso da TCP. InstanceName è un nome di istanza di SQL Server. |
| HOST/fqdn HOST/MachineName |
Nome SPN di cui viene eseguito il mapping ad account del computer predefiniti registrati automaticamente in Windows. |
| Username@Domain | Specifica diretta di un account di dominio. Username è un nome di account utente di Windows. Domain è un nome di dominio di Windows o un nome di dominio completo. |
| MachineName$@Domain | Specifica diretta di un account del computer. Se il server a cui si stabilisce la connessione viene eseguito usando l'account di sistema locale o del servizio di rete, per ottenere l'autenticazione Kerberos ServerSPN può usare il formato MachineName$@Domain. |
| KDCKey/MachineName | Nome SPN specificato dall'utente. KDCKey è una stringa alfanumerica conforme alle regole relative alle chiavi KDC. |
Sintassi OLE DB con supporto di nomi SPN
Per informazioni specifiche della sintassi, vedere gli articoli seguenti:
Vedere anche
Driver OLE DB per funzionalità di SQL Server
Registrazione di un nome dell'entità servizio per le connessioni Kerberos
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per