Вот рекомендации. Но это уже не относится к основной теме. Если gMSA на Linux использовать не получится, то все равно пароль будет доступен человеку.
Как я понял, если идет подключение только к одному домену, то настройки файла krb5.conf достаточно и это самый простой путь. Если надо работать с несколькими доменами или подключаться еще к каким то сервисам c Kerberos кроме MSSQL, то тогда надо настраивать JAAS. Или я не прав?
Как я понял, все эти решения позволяют пользователям AD логинится на Linux машины, а запустить сервис на Linux так, чтобы при подключении к доменному серверу использовался AD контекст безопасности я не встречал.
Поэтому и опубликовал статью здесь, чтобы получить оценку этого метода и возможно более правильное решение.
Я может не достаточно глубоко копал эту тему, пойдя по самому простому пути. Расскажите, пожалуйста, в чем преимущество JAAS в сравнении с настройкой параметров Kerberos в krb5.conf?
При SQL аутентификации пароль надо менять на каждом SQL сервере а при AD аутентификации только в одном месте. Ну и естественно в строке подключения приложения.
Конечно, было-бы интересно, запустить приложение в Linux с gMSA AD учетной записью, но я ни какой информации о такой возможности не нашел.
Для бабушки-бухгалтера как раз и сделана возможность прописать несколько ChatID (номеров Телеграм) для одного пользователя. И если безопасник увидит, что бабушка бухгалтер зашла на сервер в 2 часа ночи, да еще с нового ИП, то тут что-то не так.
Пользователь получит сообщение, о том что кто то заходил на его компьютер. Думаю, после такого он не только автозагрузку смотреть будет.
Если пользователь администратора, то можно и сервис остановить, как уже писалось. Если пользователь обычный, то меры будут принимать администраторы.
Количество секунд задается в конфиге.
По опыту 20сек много, 10-15 нормально.
Еще от производительности компьютера многое зависит на загруженном терминале между срабатыванием события и отображением рабочего стола как раз эти 10 секунд и могут пройти.
Автор действительно сравнивает разные системы.
Скайптайм skypetime.ru сейчас уходит от простой системы контроля времени и становится системой контроля внешнего доступа к ресурсам компании.
То есть, если у сотрудника оформлен отпуск или командировка, его нет в офисе, и в это время кто то подключается к его почте с тайванского IP, то это нормально. А если сотрудник сидит в офисе, и к его почтовому ящику происходит подключение с внешнего IP (не его домашний IP или IP его мобильного оператора), то тревога.
Все предложенные решения и цены, в таблице, с резервацией, какая надежнее от Azure/AWS или два независимых сервера с репликацией как раз обсуждается во втором спойлере.
У IaaS много недостатков, кто имеет доступ к данным? каким спецслужбам-рекламщикам они передаются продаются? Хоть кто то полностью лицензионное соглашение ASW или Azure прочел и получил исчерпывающий ответ?
Да и попробуйте решить какой ни будь вопрос с их поддержкой, быстро ли они разберутся в Вашей проблеме и решат ее? А если проблема во взаимодействии двух сервисов от разных поставщиков?
используется Hyper-V поэтому IntelNIC не нужен. К тому же по опыту работы с Heztner, машины, кроме бюджетных EX позволяют делать hardware RAID на встроенном Intel RAID Controller, хоть и не афишируют это
Логин и пароль в строке подключения для упрощения примера.
https://learn.microsoft.com/en-us/sql/connect/jdbc/securing-connection-strings?source=recommendations&view=sql-server-ver16
Вот рекомендации. Но это уже не относится к основной теме. Если gMSA на Linux использовать не получится, то все равно пароль будет доступен человеку.
Как я понял, если идет подключение только к одному домену, то настройки файла krb5.conf достаточно и это самый простой путь. Если надо работать с несколькими доменами или подключаться еще к каким то сервисам c Kerberos кроме MSSQL, то тогда надо настраивать JAAS. Или я не прав?
Еще раз оговорюсь, что я не специалист Linux.
Как я понял, все эти решения позволяют пользователям AD логинится на Linux машины, а запустить сервис на Linux так, чтобы при подключении к доменному серверу использовался AD контекст безопасности я не встречал.
Поэтому и опубликовал статью здесь, чтобы получить оценку этого метода и возможно более правильное решение.
Я может не достаточно глубоко копал эту тему, пойдя по самому простому пути. Расскажите, пожалуйста, в чем преимущество JAAS в сравнении с настройкой параметров Kerberos в krb5.conf?
При SQL аутентификации пароль надо менять на каждом SQL сервере а при AD аутентификации только в одном месте. Ну и естественно в строке подключения приложения.
Конечно, было-бы интересно, запустить приложение в Linux с gMSA AD учетной записью, но я ни какой информации о такой возможности не нашел.
Именно по этой статье все и настраивалось.
NTLM уже использовать смысла нет, даже не тестировал с ним.
А как в линуксе можно еще запустить в контексте пользователя AD?
Может действительно возможно, было бы инетересно посмотреть, Вы знаете?
integratedSecurity=true;authenticationScheme=JavaKerberos
запрос
select @servernamee as srv, system_user as usr, auth_scheme from sys.dm_exec_connections where session_id=@spid
и результат
SQLCORE1 P4\javawin KERBEROS
Если пользователь администратора, то можно и сервис остановить, как уже писалось. Если пользователь обычный, то меры будут принимать администраторы.
По опыту 20сек много, 10-15 нормально.
Еще от производительности компьютера многое зависит на загруженном терминале между срабатыванием события и отображением рабочего стола как раз эти 10 секунд и могут пройти.
Скайптайм skypetime.ru сейчас уходит от простой системы контроля времени и становится системой контроля внешнего доступа к ресурсам компании.
То есть, если у сотрудника оформлен отпуск или командировка, его нет в офисе, и в это время кто то подключается к его почте с тайванского IP, то это нормально. А если сотрудник сидит в офисе, и к его почтовому ящику происходит подключение с внешнего IP (не его домашний IP или IP его мобильного оператора), то тревога.
У IaaS много недостатков, кто имеет доступ к данным? каким спецслужбам-рекламщикам они передаются продаются? Хоть кто то полностью лицензионное соглашение ASW или Azure прочел и получил исчерпывающий ответ?
Да и попробуйте решить какой ни будь вопрос с их поддержкой, быстро ли они разберутся в Вашей проблеме и решат ее? А если проблема во взаимодействии двух сервисов от разных поставщиков?