Kerberos - JAAS 连接到服务器和 SQL Server 可信连接之间的区别

Question

我的理解是，JAAS 和 SQL Server 都可以配置为在域环境中使用 kerberos，并具有活动目录服务器。

据我了解，JAAS 在连接时从用户或文件获取用户凭据 - 向目录服务器请求票证，并将其呈现给服务器。

SQL Server 驱动程序从哪里获取其 kerberos 票证？ （因为它似乎能够从用户现有的登录中获取信用）。它是否获取用户登录票证 - 或者是否从用户登录的会话中提取凭据？

Answer 1

SQL Server 驱动程序从 TGT（票证授予票证）获取 Kerberos 票证。此 TGT 是一个票证，它是用户登录会话的一部分，可用于获取短期票证以对其他服务（例如 SQL Server）进行身份验证。

您可以使用 Windows Server 资源工具包中的“Kerbtrey”实用程序来检查此类票证。

JAAS 也使用相同的票证，但需要被告知从文件中获取票证+配置（例如 Kerberos 服务器的名称），并且该路径在某种程度上取决于操作系统版本。

SQL Server 驱动程序使用 Wind32 API 来获取令牌。