SQL Server JDBC 可信连接身份验证如何工作？

Question

SQL Server JDBC 可信连接身份验证如何工作？ （即可信连接如何以如此透明和优雅的方式对登录的 AD 用户进行身份验证，以及如何在没有数据库连接或任何现有 SQL Server 解决方案的情况下为 Java 中的客户端-服务器应用程序实现类似的身份验证解决方案.)

假设 * 在 Windows 2003 域中工作 * 您可以通过 JNI/JNA 访问 Windows API

Answer 1

这取决于客户。 例如，如果您有 Web 浏览器，它可以使用 NTLM 身份验证将当前客户端的域身份验证传递到服务器。 在这种情况下，IE或FF等浏览器支持此功能，并且您的Web服务器需要NTLM的支持。 以 Tomcat 为例： http://jcifs.samba.org/src/docs/ ntlmhttpauth.html

还有 SPNEGO 协议与 Kerberos 结合使用，如下所述： http://java.sun.com/javase/6/docs/technotes/guides/security/jgss/lab/index.html

如果您有您自己的客户端，这取决于客户端的框架是否能够使用本地用户的安全上下文并能够传递它。 上面的页面至少针对 kerberos 场景描述了这一点。

问候
Bernd

PS：我不确定您是否可以将使用 jcifs/ntmlm 解决方案建立的身份验证上下文传递给 SQL Server 等后端组件。 它应该与 Kerberos 票证一起使用（如果已配置）。

Answer 2

jTDS 和 Microsoft JDBC 驱动程序都提供本机 Windows 身份验证。

Answer 3

您看过这个问题吗？ 情况似乎与您的情况类似（使用 Windows 身份验证连接到 SQL Server 数据库）。