При работе с семантическими данными на СУБД (таким как Microsoft SQL Server, Oracle и прочими), ZuluServer может передавать те логин и пароль, которые он получил от присоединившегося к нему пользователя.
Подсказка | |
---|---|
При доменной Windows авторизации пользователей, учётные сведения могут использоваться для авторизации на ZuluServer и далее передаваться на сервер СУБД. Подробнее об Windows авторизации «Авторизация Windows». |
Иначе, ZuluServer должен будет передавать общие для всех пользователей учетные сведения (заданные в настройках соединения с СУБД). Эта опция полезна в том случае, когда разграничение прав доступа на семантические данные «отданы на откуп» самому серверу СУБД.
Включить опцию Передавать учётные сведения на сервер СУБД можно:
указав параметр параметр dbms-auth-pass: all
в
конфигурационном файле
DataSrc.cfg
используя Мастер
настройки
zssetup.exe
, перейти на Шаг 2. Параметры учетных сведений, где
включить соответствующую опцию.
Чтобы использовать проверку подлинности с SQL Server, необходимо наличие следующих условий.
Компьютеры клиента и сервера должны быть частью одного домена Windows или доверенных доменов.
Имя участника-службы (SPN) должно быть зарегистрировано в службе каталогов Active Directory, которая играет роль центра распределения ключей в домене Windows. Имя участника-службы после регистрации сопоставляется учетной записи Windows, запустившей экземпляр службы SQL Server . Если регистрация имени участника-службы не была выполнена или завершилась неудачно, уровень безопасности Windows не может определить учетную запись, связанную с именем участника-службы, и проверка подлинности Kerberos не может быть использована.
При запуске службы компонента Database Engine она пытается зарегистрировать имя участника-службы (SPN). Если у учетной записи, с которой запускается SQL Server, нет права регистрировать имя участника-службы в службах домена Active Directory, вызов завершится ошибкой и в журнал событий приложений, а также в журнал ошибок SQL Server будет добавлено предупреждение. Для регистрации имени участника-службы компонент Компонент Database Engine должен выполняться от имени встроенной учетной записи, например Local System (не рекомендуется) или NETWORK SERVICE, либо от имени учетной записи, обладающей разрешением на регистрацию имен участников-служб, например учетной записи администратора домена.
Правильным будет сопоставление, при котором зарегистрированное имя субъекта-службы сопоставляется с учетной записью, с помощью которой запущена служба SQL Server.