Kerberos 用户验证

Kerberos 登录功能允许您针对数据库连接、操作系统和网络登录维护单个用户 ID 和口令。

Kerberos 登录使用户更加方便，且允许数据库和网络安全体系具有统一的安全系统。它的优点包括：

• 用户连接数据库时无需提供用户 ID 或口令。

• 多个用户可映射到单个数据库用户 ID。

• 用于登录到 Kerberos 的名称和口令不必与数据库用户 ID 和口令一致。

  Kerberos 是一种网络验证协议，它使用密钥加密算法提供强验证和强加密。已经登录到 Kerberos 的用户无需提供用户 ID 或口令即可连接到数据库。

  可使用 Kerberos 进行验证。要将验证委派给 Kerberos，您必须：

• 将服务器和数据库配置为使用 Kerberos 登录。

• 创建登录到计算机或网络的用户 ID 与数据库用户之间的映射。

  警告当使用 Kerberos 登录作为单独的安全解决方案时，一定要对复制数据库相关的安全问题有所了解。

  SAP IQ 中不包含 Kerberos 软件；该软件必须单独获取。Kerberos 软件中包含以下组件：

• Kerberos 库这些被称作 Kerberos 客户端或 GSS（通用安全服务）-API 运行时库。这些 Kerberos 库可执行明确定义的 GSS-API。每个想要使用 Kerberos 的客户端和服务器计算机上都必须有这些库。如果您使用 Active Directory 作为您的 KDC，则可以使用内置的 Windows SSPI 接口来取代第三方 Kerberos 客户端库。 SSPI 只能由客户端在 Kerberos 连接参数中使用。数据库服务器无法使用 SSPI。它需要一个受支持的 Kerberos 客户端而不是 SSPI。

• Kerberos 密钥分发中心 (KDC) 服务器KDC 起着用户和服务器的仓库的作用。同时它还能验证用户和服务器的身份标识。KDC 通常安装在不供应用程序或用户登录的服务器计算机上。

  支持通过 DBLib、ODBC、OLE DB 和 ADO.NET 客户端以及 SAP Open Client 和 jConnect 客户端进行 Kerberos 验证。Kerberos 验证可以与 SAP IQ 传送层安全加密配合使用，但不支持用于网络通信的 Kerberos 加密。

  Windows 使用 Kerberos 作为 Windows 域和域帐户。Active Directory Windows 域控制器执行 Kerberos KDC。数据库服务器计算机仍然需要第三方 Kerberos 客户端或运行时库才能在此环境下进行验证，但 Windows 客户端计算机可使用内置的 Windows SSPI 接口来取代第三方 Kerberos 客户端或运行时库。