Discussion :

[eldrad95]

Bonjour, je rencontre un problème pour configurer ma délégation sur les connexion SQL.

architecture :

j'ai un serveur 2003 en AD,
j'ai un serveur SQL 2000 par lequel se connecte les clients utilisant un compte de service SQL (SQLSVC)
un serveur SQL 2012 derrière le 2000 (linked) utilisant le compte local

je rencontre actuellement l'erreur anonymous logon quand depuis le 2000 j'essai d'acceder au 2012.
je ne peux toucher à la config des comptes (dans le sens mettre un compte de service au 2012)


les spn :
setspn -l SQL2012
SMTPSVC/SQL2012
SMTPSVC/SQL2012.mondomain.com
WSMAN/SQL2012.mondomain.com
WSMAN/SQL2012
HOST/SQL2012
HOST/SQL2012.mondomain.com


setspn -l SQLSVC
MSSQLSvc/SQL2000
MSSQLSvc/SQL2000.mondomain.com

setspn -l SQL2000
SMTPSVC/SQL2000
SMTPSVC/SQL2000.mondomain.com
WSMAN/SQL2000.mondomain.com
WSMAN/SQL2000
HOST/SQL2000
HOST/SQL2000.mondomain.com

pour la délégation, je n'arrive pas à comprendre comment elle fonctionne sous windows, j'ai beaucoup de mal avec leur interface à la c.. et leur sémantique.
pour ce que j'ai compris, SQLSVC doit avoir la délégation pour les service de SQL2012 c'est ca ? si c'est ça cela ne fonctionne pas.

j'ai analysé les trame via whire shark,
j'ai une demande qui se fait sur un port (49234) pourtant dans la délégation aucune trace de ce port. le port est toujours vide.

je ne sais plus quoi faire .

[eldrad95]

Je me permet d'ajouter une réponse à moi même dans le sens ou j'ai avancé sur mon problème :

j'ai maintenant réussi à avoir de l'authentification Kerberos. je n'arrive pas a avoir de double hop en revanche.

par exemple : si je me connecte depuis un poste client j'ai un anonymous logon. depuis le serveur SQL2000 directement je suis bien en kerberos.
si je lance une connexion depuis SQL2000 alors cela fonctionnera pour les prochaines minutes depuis un poste client.

et là j'ai un peu de mal à comprendre.

pour moi donc, le service sql arrive a utiliser le ticket de mon compte (qu'il aurait donc obtenu illégalement puis qu'il se fait refoulé en cas de connexion depuis un poste client )
du coup, mon problème serait au niveau de la délégation.

pour la délégation, j'ai :

sur SQL2000 => aucune authorisation de délégation
sur SQLSvc => authorisation pour MSSQLSvc/SQL2000
sur SQL2012 => authorisation pour MSSQLSvc/SQL2012 sur le port 49234 (qui a été ajouté via setspn -s egalement)

quelqu'un saurait m'expliquer où est mon erreur ?