Eventi
Ottieni gratuitamente la certificazione in Microsoft Fabric.
19 nov, 23 - 10 dic, 23
Per un periodo di tempo limitato, il team della community di Microsoft Fabric offre buoni per esami DP-600 gratuiti.
Prepara oraQuesto browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Si applica a: SQL Server - Linux
In base alle procedure consigliate per la sicurezza dell'organizzazione, può essere necessario ruotare regolarmente la password per l'account Windows Active Directory fornito come network.privilegedadaccount in mssql.conf o qualsiasi altro account proprietario dei nomi dell'entità servizio (SPN) per il servizio SQL Server. Il metodo supportato per modificare la password per l'account è descritto in questo articolo. La modifica della password ha effetto senza la necessità di riavviare il servizio SQL Server in Linux.
Lo strumento adutil viene utilizzato per aggiornare il keytab. Il comando adutil deve essere eseguito da un computer aggiunto a un dominio. Per altre informazioni su adutil e su come scaricare lo strumento, vedi Introduzione ad adutil - Utilità di Active Directory.
È fondamentale aggiornare la nuova password nel keytab con il numero kvno successivo prima di aggiornarlo in Active Directory. L'uso del numero kvno successivo impedisce al servizio di SQL Server di essere riavviato dopo la modifica della password. Se si aggiorna prima la password in Active Directory e quindi si modifica il keytab, è necessario riavviare il servizio SQL Server per garantire che l'autenticazione di Active Directory funzioni correttamente.
Di seguito è riportato un esempio. L'autenticazione di Active Directory è già abilitata per SQL Server in Linux. Nel file mssql.conf, network.privilegedadaccount è stato impostato su sqluser
. L'account sqluser@CONTOSO.COM
è già stato creato in Active Directory e il keytab è stato creato anche nel percorso predefinito /var/opt/mssql/secrets/mssql.keytab
. Ora è necessario modificare la password per sqluser@CONTOSO.COM
. Ecco i passaggi da seguire:
Installare adutil nel computer aggiunto al dominio.
Ottenere o rinnovare il ticket-granting ticket (TGT) Kerberos usando il comando kinit
. Usare un account con privilegi per il comando kinit
. L'account deve avere l'autorizzazione per connettersi al dominio ed essere in grado di creare account e nomi dell'entità servizio nel dominio. In questo caso, viene usato l'account privilegeduser@CONTOSO.COM che dispone delle autorizzazioni per creare account e nomi SPN nel dominio denominato CONTOSO.COM.
kinit privilegeduser@CONTOSO.COM
Dopo aver eseguito kinit
per ottenere/rinnovare il ticket TGT, eseguire una query sul numero kvno corrente di network.privilegedadaccount. In questo caso, è sqluser@CONTOSO.COM
.
kvno sqluser@CONTOSO.COM
È possibile scegliere di ruotare il keytab con mssql-conf oppure di ruotare manualmente il keytab usando adutil.
È possibile installare adutil e integrarlo con mssql-conf, il che significa che è possibile ruotare il keytab usando mssql-conf.
Accedi come utente ROOT e passa all'utente mssql
.
su mssql
Ottenere o rinnovare il ticket-granting ticket (TGT) Kerberos usando il comando kinit
. Usare un account con privilegi per il comando kinit
. L'account deve avere l'autorizzazione per connettersi al dominio ed essere in grado di creare account e nomi dell'entità servizio nel dominio. In questo caso, viene usato l'account privilegeduser@CONTOSO.COM che dispone delle autorizzazioni per creare account e nomi SPN nel dominio denominato CONTOSO.COM.
kinit privilegeduser@CONTOSO.COM
Esegui il comando mssql-conf, specificando il keytab di SQL Server e i dettagli network.privilegedadaccount. In questo esempio, privilegedadaccount
è sqluser
.
./mssql-conf setup-ad-keytab /var/opt/mssql/secrets/mssql.keytab sqluser --use-next-kvno'
Quando viene richiesta una password, immetti una nuova password che intendi usare. L'opzione --use-next-kvno
assegna il kvno corrente + 1.
Facoltativo: è anche possibile usare l'opzione --kvno
con il comando mssql-conf setup-ad-keytab
per fornire un kvno specifico. È necessario assicurarsi di ottenere prima il kvno corrente per l'utente e quindi aggiornare il nuovo kvno di conseguenza, che sarebbe il kvno corrente + 1.
È possibile elencare le chiavi del keytab usando il comando:
klist -kte /var/opt/mssql/secrets/mssql.keytab
Si noterà che il keytab viene aggiornato con il kvno successivo per le voci utente e SPN.
Ora è necessario modificare la password per l’utente sqluser
. Ecco un esempio.
Importante
Se durante questo passaggio viene richiesto di riavviare SQL Server, è possibile ignorarlo. Ricorda di modificare la password anche in Active Directory.
bash-4.4$ kinit privilegedaccount@CONTOSO.COM
Password for privilegedaccount@CONTOSO.COM:
bash-4.4$ ./mssql-conf setup-ad-keytab /var/opt/mssql/secrets/mssql.keytab sqluser --use-next-kvno
sqluser@contoso.com's password:
Confirm sqluser@contoso.com's password:
SQL Server needs to be restarted in order to adopt the new AD configuration, please run 'systemctl restart mssql-server.service'.
bash-4.4$ klist -kte /var/opt/mssql/secrets/mssql.keytab
Keytab name: FILE:/var/opt/mssql/secrets/mssql.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
4 12/30/2021 14:02:08 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96)
4 12/30/2021 14:02:08 MSSQLSvc/sql1.contoso.com:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
4 12/30/2021 14:02:08 MSSQLSvc/sql1.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96)
4 12/30/2021 14:02:08 MSSQLSvc/sql1:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
4 12/30/2021 14:02:08 MSSQLSvc/sql1@CONTOSO.COM (aes256-cts-hmac-sha1-96)
5 12/30/2021 20:06:34 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96)
5 12/30/2021 20:06:34 MSSQLSvc/sql1.contoso.com:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
5 12/30/2021 20:06:34 MSSQLSvc/sql1.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96)
5 12/30/2021 20:06:34 MSSQLSvc/sql1:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
5 12/30/2021 20:06:34 MSSQLSvc/sql1@CONTOSO.COM (aes256-cts-hmac-sha1-96)
Per aggiornare manualmente il keytab usando adutil, fai riferimento ai passaggi seguenti.
L'aggiornamento del keytab tramite adutil aggiunge una voce al keytab corrente. Ad esempio, se il numero kvno del comando precedente è 2
, utilizzare il numero kvno3
durante l'aggiornamento del keytab. Di seguito sono elencati i comandi adutil che è necessario eseguire.
adutil keytab createauto -k /var/opt/mssql/secrets/mssql.keytab -p 1433 -H mssql.contoso.com --password '<newpassword>' -s MSSQLSvc --kvno 3
adutil keytab create -k /var/opt/mssql/secrets/mssql.keytab -p sqluser --password '<newpassword>' --kvno 3
-k: percorso del keytab corrente usato da SQL Server e impostato tramite l'opzione network.kerberoskeytabfile nel file mssql.conf.
-H: nome di dominio completo dell'host di SQL Server.
-p: porta su cui è in ascolto il servizio SQL Server nel primo comando. Nel secondo comando -p rappresenta network.privilegedadaccount per cui si aggiorna la password.
kvno: il valore deve essere il numero ccorrente kvno + 1. Il valore kvno corrente si ottiene dal passaggio 3.
Dopo aver eseguito i comandi precedenti, è necessario specificare la scelta del tipo di crittografia per le voci keytab. Assicurarsi di scegliere quello adatto per l'ambiente in uso.
Dopo aver aggiornato il keytab, vengono ora visualizzate le voci nel keytab per kvno 3
(nuovo) e anche kvno 2
(precedente) per lo stesso account sqluser@CONTOSO.COM
e per gli stessi nomi SPN. È possibile eseguire il comando klist
seguente per controllare le voci nel keytab:
klist -kte /var/opt/mssql/secrets/mssql.keytab
L'ultimo passaggio consiste nell'aggiornare la password di file network.privilegedadaccount o dell'account proprietario dei nomi SPN di SQL Server in Windows Active Directory. Nello scenario precedente è necessario aggiornare la password per sqluser@CONTOSO.COM
in Active Directory. Modifica la password nell'elemento <newpassword>
specificato nel passaggio 3 della sezione precedente. L'autenticazione di Active Directory deve continuare a funzionare e senza la necessità di riavviare il servizio SQL Server.
Eventi
Ottieni gratuitamente la certificazione in Microsoft Fabric.
19 nov, 23 - 10 dic, 23
Per un periodo di tempo limitato, il team della community di Microsoft Fabric offre buoni per esami DP-600 gratuiti.
Prepara ora