Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server 2025 (17.x) Preview - Linux
In dit artikel wordt beschreven hoe u beleid voor SQL-aanmeldingswachtwoorden voor SQL Server op Linux kunt instellen en beheren.
Wachtwoordbeleid is een cruciaal aspect van het beveiligen van elke databaseomgeving. Ze dwingen het volgende af:
- Complexiteit
- Vervaldatum
- Veranderingen
Deze afdwinging zorgt ervoor dat aanmeldingen die gebruikmaken van SQL Server-verificatie veilig zijn.
Opmerking
Wachtwoordbeleid is beschikbaar in Windows. Zie Wachtwoordbeleidvoor meer informatie.
Aangepaste beleidsinstellingen
Vanaf SQL Server 2025 (17.x) Preview in Linux kunt u de volgende configuratieparameters in het mssql.conf bestand instellen om een aangepast wachtwoordbeleid af te dwingen.
| Configuratieoptie | Beschrijving |
|---|---|
passwordpolicy.passwordminimumlength |
Hiermee definieert u het minimale aantal tekens dat vereist is voor een wachtwoord. De wachtwoorden mogen maximaal 128 tekens lang zijn. |
passwordpolicy.passwordhistorylength |
Bepaalt het aantal eerdere wachtwoorden dat moet worden onthouden. |
passwordpolicy.passwordminimumage |
Hiermee geeft u de minimale duur op die een gebruiker moet wachten voordat het wachtwoord opnieuw wordt gewijzigd. |
passwordpolicy.passwordmaximumage |
Hiermee stelt u de maximale duur in die een wachtwoord kan worden gebruikt voordat het moet worden gewijzigd. |
Opmerking
Op dit moment kan deze passwordminimumlength worden ingesteld op minder dan acht tekens. Uw wachtwoord moet voldoen aan het standaard SQL Server-wachtwoordbeleid . Standaard moet het wachtwoord ten minste acht tekens lang zijn en tekens bevatten uit drie van de volgende vier sets: hoofdletters, kleine letters, basis-10 cijfers en symbolen. Wachtwoorden mogen maximaal 128 tekens lang zijn. Gebruik wachtwoorden die zo lang en complex mogelijk zijn.
Er zijn twee manieren om aangepast wachtwoordbeleid te configureren voor SQL-verificatieaanmeldingen in SQL Server op Linux:
- Aangepast wachtwoordbeleid afdwingen met adutil
-
Het bestand handmatig configureren
mssql.confmet het hulpprogramma mssql-conf
Aangepast wachtwoordbeleid instellen met adutil
In omgevingen waarin beleidsbeheer is gecentraliseerd op een AD-server (Active Directory), kunnen domeinbeheerders de waarden voor wachtwoordbeleid instellen en wijzigen op de AD-server. Daarnaast moet de Linux-machine waarop SQL Server wordt uitgevoerd, ook deel uitmaken van het Windows-domein.
Gebruik adutil om het wachtwoordbeleid van de AD-server op te halen en naar het mssql.conf bestand te schrijven. Deze methode biedt het voordeel van gecentraliseerd beheer en zorgt voor een consistente toepassing van beleid in de SQL Server-omgeving.
Vereisten voor adutil
Een geverifieerde Kerberos-sessie tot stand brengen
Voer
kinituit metsudoom het Kerberos-ticket-granting ticket (TGT) te verkrijgen of te vernieuwen.Gebruik een bevoegd account voor de opdracht
kinit. Het account moet gemachtigd zijn om verbinding te maken met het domein.
Vervang in het volgende voorbeeld
<user>door een account met verhoogde bevoegdheden in het domein.sudo kinit <user>@CONTOSO.COMControleer of het ticket is uitgegeven.
sudo klistAls u het wachtwoordbeleid wilt bijwerken, voert u een query uit op het domein met adutil:
sudo adutil updatepasswordpolicyAls de opdracht is geslaagd, ziet u een vergelijkbaar bericht:
Successfully updated password policy in mssqlconf. Restart SQL Server to apply the changes.U kunt desgewenst de
--pathoptie toevoegen aan de vorige opdracht. U kunt deze optie gebruiken als u het hulpprogramma mssql-conf op een andere locatie hebt dan het standaardpad. Het standaardpad is/opt/mssql/bin/mssql-conf.Start de SQL Server-service opnieuw op:
sudo systemctl restart mssql-server
Aangepast wachtwoordbeleid instellen met mssql-conf handmatig
U kunt het wachtwoordbeleid voor sql-verificatie instellen door de parameters in het mssql.conf bestand bij te werken met mssql-conf. Deze aanpak biedt eenvoud en directe controle over de beleidsinstellingen.
Gebruik deze methode wanneer de Linux-host waarop SQL Server wordt uitgevoerd geen deel uitmaakt van het domein en er geen domeincontroller is om het wachtwoordbeleid op te halen.
Voer de volgende mssql-conf-opdrachten uit om elke beleidsconfiguratie-eigenschap in te stellen.
Stel de minimale wachtwoordlengte in op 14 tekens, waarbij wordt voldaan aan de complexiteitsvereisten die worden beschreven in het wachtwoordbeleid.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordminimumlength 14Stel de minimale wachtwoordduur in op één dag. Gebruikers kunnen hun wachtwoord na één dag wijzigen.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordminimumage 1Stel de lengte van de wachtwoordgeschiedenis in op 8. Gebruikers moeten acht unieke wachtwoorden gebruiken voordat ze een oude opnieuw gebruiken.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordhistorylength 8Stel de maximale wachtwoordduur in op 45 dagen. Een gebruiker kan een wachtwoord maximaal 45 dagen gebruiken voordat de gebruiker dit moet wijzigen.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordmaximumage 45Start de SQL Server-service opnieuw.
sudo systemctl restart mssql-server
Beperkingen
Op dit moment kan het minimumpasswordlength niet worden ingesteld op meer dan 14 tekens.
Nadat u het groepsbeleid voor wachtwoorden in Active Directory hebt bijgewerkt, moet u de adutil updatepasswordpolicy opdracht handmatig uitvoeren om bij te werken mssql.conf. Deze opdracht wordt niet automatisch uitgevoerd. Zorg ervoor dat de Linux-machine met SQL Server deel uitmaakt van het domein of dat deze handmatig is ingesteld met behulp van mssql-conf.
In Active Directory kan elk wachtwoordbeleid op groepsniveau worden gedefinieerd of niet gedefinieerd met behulp van een selectievakje.
Als u het beleid uitschakelt, wordt dit echter niet uitgeschakeld in SQL Server op Linux. Als u het aangepaste wachtwoordbeleid wilt voorkomen, werkt u de instellingen in mssql-conf bij in plaats van te vertrouwen op het selectievakje.