Передача учетных сведений на СУБД
При работе с семантическими данными на СУБД (таким как Microsoft SQL Server, Oracle и т.п.) ZuluServer может передавать те логин и пароль, которые он получил от присоединившегося к нему пользователя.
![[Подсказка]](images/tip_1059982385.png) | Подсказка |
|---|---|
|
При доменной Windows авторизации пользователей учётные сведения могут использоваться для авторизации на ZuluServer и далее передаваться на сервер СУБД. Подробнее об Windows авторизации: «Авторизация Windows». |
В противном случае ZuluServer должен будет передавать общие для всех пользователей учетные сведения (заданные в настройках соединения с СУБД). Эта опция полезна в том случае, когда разграничение прав доступа на семантические данные «отданы на откуп» самому серверу СУБД.
Включить опцию Передавать учётные сведения на сервер СУБД можно:
-
указав параметр параметр
dbms-auth-pass: allв конфигурационном файле DataSrc.cfg; -
используя Мастер настройки
zssetup.exe, перейти на Шаг 2. Параметры учетных сведений, где включить соответствующую опцию.
Чтобы использовать проверку подлинности с SQL Server, необходимо наличие следующих условий:
-
Компьютеры клиента и сервера должны быть частью одного домена Windows или доверенных доменов.
-
Имя участника-службы (SPN) должно быть зарегистрировано в службе каталогов Active Directory, которая играет роль центра распределения ключей в домене Windows. Имя участника-службы после регистрации сопоставляется учетной записи Windows, запустившей экземпляр службы SQL Server. Если регистрация имени участника-службы не была выполнена или завершилась неудачно, уровень безопасности Windows не может определить учетную запись, связанную с именем участника-службы, и проверка подлинности Kerberos не может быть использована.
-
При запуске службы компонента Database Engine она пытается зарегистрировать имя участника-службы (SPN). Если у учетной записи, с которой запускается SQL Server, нет права регистрировать имя участника-службы в службах домена Active Directory, вызов завершится ошибкой, и в журнал событий приложений, а также в журнал ошибок SQL Server будет добавлено предупреждение. Для регистрации имени участника-службы компонент Database Engine должен выполняться от имени встроенной учетной записи, например, Local System (не рекомендуется) или NETWORK SERVICE, либо от имени учетной записи, обладающей разрешением на регистрацию имен участников-служб, например, учетной записи администратора домена.
Правильным будет сопоставление, при котором зарегистрированное имя субъекта-службы сопоставляется с учетной записью, с помощью которой запущена служба SQL Server.