描述:
我目前正在设置 Ansible playbook,以使用集成 Windows 身份验证连接到 Windows 上托管的 MSSQL 数据库服务器。但是,我不确定从 Ansible 主机(Linux 计算机)到 MSSQL 服务器的物理连接的要求。以下是具体细节和问题:
环境详情:
Ansible 在 Linux 计算机(特别是 RHEL)上运行。 MSSQL 数据库服务器托管在同一网络/域内的 Windows 计算机上。 我拥有对 MSSQL 数据库具有适当访问权限的 Active Directory (AD) 帐户的凭据。 认证方式:
我打算在我的 Ansible playbook 中使用集成 Windows 身份验证(auth:integrated)以避免存储纯文本凭据。 关注点:
物理连接要求:通过 Ansible 集成 Windows 身份验证是否需要从 Linux 主机到 MSSQL 数据库服务器的物理网络连接?由于安全策略的原因,Linux主机到数据库服务器的直接物理连接受到限制。
问题:
Ansible 使用集成 Windows 身份验证(auth:integrated)是否需要从 Linux 主机到 MSSQL 服务器的直接物理网络连接? 如果是这样,是否可以使用替代身份验证方法或配置而不需要物理连接?
我打算在我的 Ansible playbook 中使用集成 Windows 身份验证(auth:integrated)以避免存储纯文本凭据。
除非您使用带 PKINIT 的智能卡,否则它不会对您有太大帮助。否则,客户端仍然需要访问纯密码或密码等效的密钥表文件。
有多种方法可以将 Kerberos 凭证存储分离到在不同 Linux 帐户下运行的单独进程(特别是:使用 gss-proxy),从而提供与 Windows LSA 类似的结果,但它在磁盘上仍然是纯文本。
Ansible 使用集成 Windows 身份验证(auth:integrated)是否需要从 Linux 主机到 MSSQL 服务器的直接物理网络连接?
不,除了标准 TCP/IP 之外,它没有任何网络连接要求。它的工作原理是交换凭证的加密证明,而不是依赖物理安全。
(但还有一个附加要求,即客户端必须能够与 Active Directory 域控制器进行 TCP/IP 通信,而不仅仅是 MSSQL 服务器。)