[ARTICLE] Serveurs liés et la délégation Kerberos

mikedavem · 09/01/2011, 20h48

Tout d'abord bonne année 2011 à tous !!! J'espère que cette année sera riche en articles et billets.

Pour donner l'exemple (enfin presque) voici mon premier article de cette nouvelle année et qui concerne l'utilisation des serveurs liés SQL Server et la délégation Kerberos.

++

Christianbt · 19/01/2011, 17h30

Bonjour,

Tout d'abord merci pour cet excellent article.
J'ai une question / remarque sur la conséquence dans les entreprises de cette erreur : Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'

Le plus souvent j'ai constaté que ce compte est :
- ajouté aux logins de l'instance
- ajouté en tant que User dans la base que l'on souhaite interroger via le serveur lié
- ajouté (au minimum) à un rôle de base de données : reader par exemple

On est d'accord que contourner ce point de cette façon représente une faille dans la sécurité de l'instance SQL ?

Bonne fin de journée,

Christian

mikedavem · 19/01/2011, 22h45

Bonsoir,

Personnellement je ne conseille pas cette manière de faire.
Cela veut dire que n'importe qui peut se connecter au serveur SQL en utilisant l'authentification Windows.

Je préfère à la rigueur la méthode qui consiste à créer un groupe d'utilisateurs "tout le monde" pour lequel l'administrateur système peut ajouter et supprimer les utilisateurs et donc contrôler de manière plus précise les accès aux ressources de son réseau.

Problème de sécurité certain !!!

++

09/01/2011, 20h48	#1
mikedavem Responsable SQL Server David BARBARIN Expert SQL Server Inscription : août 2005 Messages : 3 723 Détails du profil Informations personnelles : Nom : David BARBARIN Localisation : France, Haute Savoie (Rhône Alpes) Informations professionnelles : Activité : Expert SQL Server Secteur : Conseil Informations forums : Inscription : août 2005 Messages : 3 723 Points : 6 844 Points : 6 844	[ARTICLE] Serveurs liés et la délégation Kerberos Tout d'abord bonne année 2011 à tous !!! J'espère que cette année sera riche en articles et billets. Pour donner l'exemple (enfin presque) voici mon premier article de cette nouvelle année et qui concerne l'utilisation des serveurs liés SQL Server et la délégation Kerberos. ++ __________________ Blog \| Articles SQL Server \| TSQL Challenges \| English blog
	00

19/01/2011, 17h30	#2
Christianbt Membre régulier Christian Brossault Administrateur de base de données Inscription : avril 2006 Messages : 52 Détails du profil Informations personnelles : Nom : Christian Brossault Âge : 39 Localisation : France Informations professionnelles : Activité : Administrateur de base de données Informations forums : Inscription : avril 2006 Messages : 52 Points : 72 Points : 72	Bonjour, Tout d'abord merci pour cet excellent article. J'ai une question / remarque sur la conséquence dans les entreprises de cette erreur : Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON' Le plus souvent j'ai constaté que ce compte est : - ajouté aux logins de l'instance - ajouté en tant que User dans la base que l'on souhaite interroger via le serveur lié - ajouté (au minimum) à un rôle de base de données : reader par exemple On est d'accord que contourner ce point de cette façon représente une faille dans la sécurité de l'instance SQL ? Bonne fin de journée, Christian
	00

19/01/2011, 22h45	#3
mikedavem Responsable SQL Server David BARBARIN Expert SQL Server Inscription : août 2005 Messages : 3 723 Détails du profil Informations personnelles : Nom : David BARBARIN Localisation : France, Haute Savoie (Rhône Alpes) Informations professionnelles : Activité : Expert SQL Server Secteur : Conseil Informations forums : Inscription : août 2005 Messages : 3 723 Points : 6 844 Points : 6 844	Bonsoir, Personnellement je ne conseille pas cette manière de faire. Cela veut dire que n'importe qui peut se connecter au serveur SQL en utilisant l'authentification Windows. Je préfère à la rigueur la méthode qui consiste à créer un groupe d'utilisateurs "tout le monde" pour lequel l'administrateur système peut ajouter et supprimer les utilisateurs et donc contrôler de manière plus précise les accès aux ressources de son réseau. Problème de sécurité certain !!! ++ __________________ Blog \| Articles SQL Server \| TSQL Challenges \| English blog
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email