的Kerberos - JAAS連接到服務器和SQL Server之間的差異信任連接

Question

我的理解是，JAAS和SQL Server既可以配置爲使用Kerberos在域環境中，與Active Directory服務器。

我的理解是JAAS能從用戶或從文件在連接時的用戶憑據 - 詢問票的目錄服務器，並提出了到服務器。

哪裏的SQL Server驅動程序從獲得的Kerberos票據？ （因爲它似乎能夠從用戶現有的登錄中獲得信用）。它是否獲取用戶登錄憑證 - 還是從用戶的登錄會話中提取憑證？

Answer 1

SQL Server驅動程序從TGT（票據授予票據）獲得Kerberos票據。此TGT是用戶登錄會話的一部分，可用於獲取短期票證以驗證其他服務（例如SQL Server）。

您可以使用 「Kerbtrey」 工具從Windows Server Resource Kit中審查這些門票。

JAAS還使用相同的門票，但它需要被告知領取門票+配置（Kerberos服務器的例如名稱）的文件和路徑是一定程度上取決於操作系統版本。

SQL Server驅動程序使用Wind32 API獲取令牌。