SQL Kerberos authentication

Kerberos authentication is een zeer veilige methode om clients en servers te valideren. Om Kerberos te kunnen gebruiken is er echter een Service Principal Name (SPN) nodig in de Active Directory en Microsoft heeft een tool beschikbaar gesteld om dit te testen en om het te fixen indien nodig.

Daarnaast is het tevens mogelijk te controleren of de Delegation voor multi-tier applicaties ingesteld staat voor het SQL-service acccount.

De tool is hier te downloaden en na een connectie met de SQL-Cluster gemaakt te hebben zie je op de SPN-tab dat deze nog gefixed moet worden. (Missing)

kerb01Klik op ‘Fix All’ en na een refresh zal de status groen worden. (Good)

kerb02Door nu in de AD het SQL-Service-Account op te zoeken en naar de eigenschappen te gaan, kan via het tabblad ‘Delegation‘ de SQL-server toegevoegd worden via ‘Add Services‘. We typen de SQL-Service-account naam in en de SPN’s worden nu gevonden.

delegate01Selecteer beide SPN’s en klik op OK.

delegate02In de Microsoft tool zie je nu de Delegation ook goed staan.

kerb03