Breadcrumbs

Microsoft SQL Server/Cluster mit Active Directory (AD) Authentifizierung über Kerberos

Dieser Artikel beschreibt die Einrichtung einer UMS-Datenbank unter Verwendung eines Microsoft SQL-Servers, die Konfiguration der Datenbankanmeldung und die Verbindung des IGEL Universal Management Suite (UMS) mit der Datenbank unter Verwendung der Active Directory (AD)-Authentifizierung über Kerberos.

Die Verwendung von Microsoft Active Directory (AD) zum Verbinden Ihres UMS mit einem Microsoft SQL-Server erfordert ein tiefes Verständnis Ihrer Umgebung. Für die meisten Umgebungen wird empfohlen, die native SQL-Authentifizierung zu verwenden.

Voraussetzungen

Für das Verbinden des UMS Servers mit Ihrer UMS Datenbank mit Microsoft Active Directory (AD) Kerberos-Authentifizierung müssen die folgenden Komponenten vorhanden sein:

  • Ein Windows-Domänenserver

  • Der Microsoft SQL-Server, auf dem die UMS Datenbank läuft, befindet sich in der Windows-Domäne

  • Der UMS Server und der UMS Administrator haben Zugriff auf die Windows-Domäne

  • Das SQL-Dienstkonto hat lokale Administrationsrechte für den UMS Server

Erstellen einer Kerberos-Konfigurationsdatei

Die Kerberos-Konfigurationsdatei enthält die Daten, die das System für den Zugriff auf die Domäneninformationen benötigt.

Wie eine Kerberos-Konfigurationsdatei aussieht, zeigt das folgende Beispiel:

[libdefaults]
default_realm = HEX.LOCAL
ticket_lifetime = 24h
[realms]
HEX.LOCAL = { kdc = 111.111.111.111 default_domain = HEX.LOCAL }
[domain_realm]
.hex.local = HEX.LOCAL
[appdefaults]

Eine detaillierte Beschreibung des Inhalts finden Sie unter https://web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_files/krb5_conf.html.

Die Domain muss nicht mit der Domain identisch sein, auf der UMS installiert ist.

Speichern der Kerberos-Konfigurationsdatei

→ Speichern Sie die Kerberos-Konfigurationsdatei im Verzeichnis <UMS Installationsverzeichnis>/rmguiserver/conf mit dem Namen krb5.conf

Creating the UMS Database

Es wird empfohlen, für die UMS eine eigene Datenbank mit einem spezifischen Schema zu erstellen.

Hinweise zur Konfiguration

Die Serveranwendung UMS führt mehrere Dienste parallel aus, um die erforderlichen Funktionen bereitzustellen. Diese Dienste stellen separate Verbindungen zur Datenbank her. Die Datenbank muss daher eine bestimmte Anzahl von Verbindungen zulassen. Die erwartete maximale Anzahl von Verbindungen ist 128 * [Anzahl der UMS Server].

Bitte stellen Sie sicher, dass Ihre Datenbank diese Verbindungen verarbeiten kann.

Verwendung der SQL-Verwaltungskonsole

→ Wählen Sie in der SQL-Verwaltungskonsole Neue Abfrage und geben Sie das folgende Skript ein; ersetzen Sie die Platzhalter entsprechend.

Nicht das Schema dbo für die Datenbanktabellen UMS verwenden!


  • <database_name>: Der Name für die UMS Datenbank

  • <schema_name>: Der Name des Schemas für die Datenbank UMS

    USE [master]
GO
CREATE DATABASE [<Datenbank_name>];
GO
USE [<Datenbank_name>];
GO
CREATE SCHEMA [<schema_name>];
GO

Verwendung der GUI

  1. Klicken Sie in SQL Server Management Studio mit der rechten Maustaste auf Datenbanken und wählen Sie Neue Datenbank.

  2. Unter Allgemein geben Sie der Datenbank einen Namen.

  3. Optional können Sie weitere Parameter entsprechend den Anforderungen Ihres Unternehmens einstellen.

    image-2024-2-12_11-31-9.png


Hinzufügen von Benutzern und einer Gruppe zur Windows-Domäne

Stellen Sie sicher, dass Ihre Windows-Domäne Benutzer enthält, die die folgenden Berechtigungen haben:

  • Melden Sie sich am Datenbankserver an

  • Melden Sie sich bei der Datenbank an, die mit dem UMS

  • Anmeldung beim Server mit den UMS Komponenten

Es wird empfohlen, eine Gruppe in der Windos-Domäne zu erstellen, die die Benutzer für die Datenbank enthält, und die Benutzer für UMS in diese Gruppe aufzunehmen. Diese Gruppe wird zum Eigentümer der Datenbank UMS, so dass alle Benutzer der Gruppe mit der Datenbank arbeiten können.

Hinzufügen des Benutzers oder der Gruppe zu SQL

Hinweis: Wenn der AD-Benutzer, den Sie zum Verbinden mit dem Microsoft SQL Server verwenden wollen, bereits einen SQL-Anmeldeeintrag hat oder in einer Gruppe mit Anmeldezugriff ist, können Sie diesen Schritt überspringen und mit Konfigurieren des UMS-Benutzers, des Schemas und der Datenbankberechtigungen fortfahren.

Verwendung der SQL-Verwaltungskonsole

  1. In SQL Server Management Studio wählen Sie Neue Abfrage.

  2. Verwenden Sie das folgende Skript, um die Datenbankanmeldung zu erstellen; ersetzen Sie <ad_user> durch den AD-Benutzer, den Sie zum Verbinden verwenden möchten.

    USE [master]
GO
CREATE LOGIN [[<ad_user>]] FROM WINDOWS;
GO

Verwendung des SQL Server Management Studio (GUI-Modus)

  1. Verbinden Sie sich mit der Datenbank mit dem SQL Server Management Studio.

  2. Öffnen Sie den Zweig Sicherheit, klicken Sie mit der rechten Maustaste auf Anmeldungen und wählen Sie Neue Anmeldung.

  3. Wählen Sie Windows-Authentifizierung für die Anmeldung und klicken Sie auf Suchen.

  4. Klicken Sie auf Objekttypen..., wählen Sie Gruppen und Benutzer, und klicken Sie auf OK.

    image-2024-2-12_12-2-45.png


  5. Klicken Sie auf Orte..., um den Ort auszuwählen, an dem sich Ihr Benutzer oder Ihre Gruppe befindet, und klicken Sie auf OK.

    image-2024-2-12_12-12-28.png


  6. Geben Sie den Namen der Gruppe oder des Benutzers ein, klicken Sie auf Namen prüfen, wählen Sie den Namen Ihres Benutzers oder Ihrer Gruppe aus und klicken Sie auf OK.

    image-2024-2-12_12-14-3.png


    Wenn Sie eine Gruppe ausgewählt haben, können alle Benutzer in dieser Gruppe auf die Datenbanken zugreifen, in denen diese Gruppe als Datenbankbesitzer definiert ist. Wenn Sie eine Gruppe ausgewählt haben, sollten Sie außerdem mindestens einen Benutzer hinzufügen, der der Haupteigentümer der Datenbank wird.

Configuring the UMS User, Schema, and Database Permissions

Verwendung der SQL-Verwaltungskonsole

→ Wählen Sie in der SQL Management Console Neue Abfrage und geben Sie das folgende Skript ein; beachten Sie dabei Folgendes.

  • <ums_user>: Der lokale Alias in der Datenbank <database_name> des realen Benutzers <ad_user>

  • Nach der Microsoft SQL Server-Dokumentation muss der <ums_user> db_owner sein, um Tabellen erstellen und ändern zu können.

USE [<datenbank_name>]
GO
CREATE USER [<ums_user>] FOR LOGIN [<ad_user];
GO
ALTER ROLE [db_owner] ADD MEMBER [<ums_user>];
GO
ALTER USER [<ums_user>] WITH DEFAULT_SCHEMA = [<schema_name>];
GO
ALTER AUTHORIZATION ON SCHEMA::[<schema_name>] TO [<ums_user>]
GO

Verwendung der GUI

  1. Öffnen Sie in SQL Server Management Studio die Datenbank, die inErstellen der Datenbank UMS erstellt wurde.

  2. Unter Sicherheit > Benutzer klicken Sie mit der rechten Maustaste auf Neuer Benutzer.

  3. Unter Allgemein suchen Sie nach Ihrem Anmeldenamen (<ad_user>) und geben dem Benutzer einen Namen.

    image-2024-2-12_12-17-28.png


  4. Im Bereich Mitgliedschaft geben Sie dem Benutzer die Rolle db_owner.

    image-2024-2-12_12-19-57.png


  5. Gehen Sie zu Sicherheit > Schemas und klicken Sie mit der rechten Maustaste auf Neues Schema.

  6. Suchen Sie den <ums_user> als Schema-Besitzer und geben Sie einen Schema-Namen an.

    image-2024-1-30_12-16-48.png


  7. Unter Sicherheit > Benutzer in Ihrer UMS Datenbank, doppelklicken Sie auf den <ums_user>.

  8. Unter Allgemein setzen Sie das Standardschema auf <schema_name>.

    image-2024-1-30_12-21-42.png


  9. Unter Security > Logins > Users doppelklicken Sie auf den <ad_user>.

  10. Im Bereich Benutzerzuordnung überprüfen Sie die Zuordnung der Datenbank UMS, den Benutzer und das Standardschema.

    image-2024-1-30_12-43-35.png

Konfigurieren der UMS-Dienste

  1. Melden Sie sich auf dem UMS Server mit den Anmeldeinformationen an, die für das Verbinden mit der UMS Datenbank auf dem Microsoft SQL Server konfiguriert sind.

  2. Öffnen Sie services.msc und klicken Sie mit der rechten Maustaste auf den IGEL Remote Manager Server-Dienst.

  3. Wählen Sie Eigenschaften und navigieren Sie zur Registerkarte Anmelden.

  4. Wählen Sie Dieses Konto und verwenden Sie die Schaltfläche Durchsuchen, um das Konto zu finden, dem die SQL-Datenbank gehört.

    image-2024-1-29_8-59-26.png


  5. Abhängig davon, ob Sie einen Einzelserver oder einen Cluster für Ihre Microsoft SQL-Datenbank verwenden, fahren Sie mit Verbinden des UMS mit der Datenbank (Einzelserverinstanz) oder Verbinden des UMS mit der Datenbank (Cluster) fort,

Connecting the UMS to the Database (Single Instance)

  1. Einrichten einer neuen Datenquelle vom Typ SQL Server AD Kerberos.

    image-2024-1-24_10-56-47.png


    image-2024-1-30_16-47-4.png


  2. Bearbeiten Sie die Daten wie folgt:

    • Host: Der Fully Qualified Host Name (FQDN) des Microsoft SQL Servers. Wenn Sie MS SQL Server Always On Availability Groups einsetzen, geben Sie den Domänennamen des Always On Availability Group-Listeners ein.

    • Domäne: Die Domäne, in der sich der <ad_user> befindet

    • Port: Der Port, an dem der Microsoft SQL Server auf Anfragen wartet. (Standard: 1433)

    • Benutzer: Der <ad_user>; Format: <domain_name>\<ad_user>

    • Schema: Das Datenbankschema

    • Datenbank / SID: Der Datenbankname

    • JDBC Parameter (Doppelklick):

      • sendStringParametersAsUnicode: false

      • trustServerCertificate: true

        image-2024-1-30_17-20-58.png


        image-2024-1-26_15-22-5.png


  3. Wählen Sie Ihre Datenbankkonfiguration und klicken Sie auf Activate.

    image-2024-1-31_10-38-55.png


  4. Geben Sie den Benutzernamen und das Passwort für die Verbindung ein.

    image-2024-1-31_10-39-43.png

Connecting the UMS to the Database (Cluster)

  1. In der UMS Administrator, richten Sie eine neue Datenquelle vom Typ SQL Server Cluster AD Kerberos ein.

    image-2024-1-24_10-56-47.png


    image-2024-1-30_17-17-46.png


  2. Bearbeiten Sie die Daten wie folgt:

    • Host: Der Fully Qualified Host Name (FQDN) des Microsoft SQL Servers

    • Port: Der Port, auf dem der Microsoft SQL Server auf Anfragen wartet. (Standard: 1433)

    • Schema: Das Datenbankschema

    • Datenbank / SID: Der Datenbankname

    • Instanz: Die Instanz für Ihren Microsoft SQL Server Cluster

    • JDBC Parameter (Doppelklick):

      • sendStringParametersAsUnicode: false

      • trustServerCertificate: true

        image-2024-1-30_16-19-29.png


        image-2024-1-26_15-22-5.png


  3. Wählen Sie Ihre Datenbankkonfiguration und klicken Sie auf Activate.

    image-2024-1-31_10-38-55.png


  4. Geben Sie den Benutzernamen und das Passwort für die Verbindung ein.

    image-2024-1-31_10-39-43.png