Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server 2022 (16.x) en latere versies op Linux
In dit artikel wordt beschreven hoe u wachtwoordbeleid instelt en beheert voor SQL Server aanmeldingen in Linux. Aangepast wachtwoordbeleid is beschikbaar vanaf SQL Server 2022 (16.x) Cumulatieve update (CU) 23 en SQL Server 2025 (17.x).
Wachtwoordbeleid dwingt regels af voor complexiteit, verloop en wijzigingen, waardoor SQL Server aanmeldingen veilig blijven.
Opmerking
Wachtwoordbeleid is ook beschikbaar op Windows. Zie Wachtwoordbeleid voor meer informatie.
Aangepaste beleidsinstellingen
Stel de volgende configuratieparameters in het mssql.conf bestand in om een aangepast wachtwoordbeleid af te dwingen:
| Configuratieoptie | Beschrijving |
|---|---|
passwordpolicy.passwordminimumlength |
Hiermee stelt u het minimale aantal tekens in dat is vereist voor een wachtwoord. Wachtwoorden mogen maximaal 128 tekens lang zijn. |
passwordpolicy.passwordhistorylength |
Hiermee stelt u het aantal eerdere wachtwoorden in dat het systeem onthoudt. |
passwordpolicy.passwordminimumage |
Hiermee stelt u de minimale duur in die een gebruiker moet wachten voordat het wachtwoord opnieuw wordt gewijzigd. |
passwordpolicy.passwordmaximumage |
Hiermee stelt u de maximale duur in die een wachtwoord kan worden gebruikt voordat het moet worden gewijzigd. |
Opmerking
Op dit moment kunt u het passwordminimumlength op minder dan acht tekens instellen. Uw wachtwoord moet voldoen aan het standaard SQL Server-wachtwoordbeleid . Standaard moet het wachtwoord ten minste acht tekens lang zijn en tekens bevatten uit drie van de volgende vier sets: hoofdletters, kleine letters, basis-10 cijfers en symbolen. Wachtwoorden mogen maximaal 128 tekens lang zijn. Gebruik wachtwoorden die zo lang en complex mogelijk zijn.
Configureer het beleid op twee manieren:
- Set the policy with adutil, waarmee waarden worden opgehaald uit Active Directory.
- Stel het beleid handmatig in met mssql-conf.
Aangepast wachtwoordbeleid instellen met adutil
In omgevingen waarin beleidsbeheer is gecentraliseerd op een Ad-server (Active Directory), stellen domeinbeheerders de waarden voor het wachtwoordbeleid in de AD-server in en wijzigen. De Linux-machine waarop SQL Server wordt uitgevoerd, moet ook deel uitmaken van het Windows-domein.
Gebruik adutil om het wachtwoordbeleid van de AD-server op te halen en naar het mssql.conf bestand te schrijven. Deze methode biedt het voordeel van gecentraliseerd beheer en zorgt voor een consistente toepassing van beleid in de SQL Server-omgeving.
Vereisten voor adutil
Een geverifieerde Kerberos-sessie tot stand brengen:
Voer
kinituit metsudoom het Kerberos ticket-granting-ticket (TGT) te verkrijgen of te vernieuwen.Gebruik een bevoegd account voor de opdracht
kinit. Het account heeft toestemming nodig om verbinding te maken met het domein.
Vervang in het volgende voorbeeld
<user>door een account met verhoogde bevoegdheden in het domein.sudo kinit <user>@CONTOSO.COMControleer of het ticket is uitgegeven.
sudo klistAls u het wachtwoordbeleid wilt bijwerken, voert u een query uit op het domein met adutil:
sudo adutil updatepasswordpolicyAls de opdracht is geslaagd, ziet de uitvoer er ongeveer als volgt uit:
Successfully updated password policy in mssqlconf. Restart SQL Server to apply the changes.U kunt desgewenst de
--pathoptie toevoegen aan de vorige opdracht. U kunt deze optie gebruiken als u het hulpprogramma mssql-conf op een andere locatie hebt dan het standaardpad. Het standaardpad is/opt/mssql/bin/mssql-conf.Start de SQL Server-service opnieuw op:
sudo systemctl restart mssql-server
Een aangepast wachtwoordbeleid handmatig instellen met mssql-conf
Werk de beleidsparameters mssql.conf rechtstreeks bij met behulp van mssql-conf. Gebruik deze methode wanneer de Linux-host niet is gekoppeld aan een domein of wanneer er geen domeincontroller beschikbaar is om het beleid te bronen.
Voer de volgende mssql-conf-opdrachten uit om elke beleidseigenschap in te stellen.
Stel de minimale wachtwoordlengte in op 14 tekens, waarbij wordt voldaan aan de complexiteitsvereisten die worden beschreven in het wachtwoordbeleid.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordminimumlength 14Stel de minimale wachtwoordduur in op één dag. Gebruikers kunnen hun wachtwoord na één dag wijzigen.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordminimumage 1Stel de lengte van de wachtwoordgeschiedenis in op 8. Gebruikers moeten acht unieke wachtwoorden gebruiken voordat ze een oude opnieuw gebruiken.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordhistorylength 8Stel de maximale wachtwoordduur in op 45 dagen. Een gebruiker kan een wachtwoord maximaal 45 dagen gebruiken voordat de gebruiker dit moet wijzigen.
sudo /opt/mssql/bin/mssql-conf set passwordpolicy.passwordmaximumage 45Pas de wijzigingen toe.
In SQL Server 2022 (16.x) CU 23 en hoger, en in SQL Server 2025 (17.x) CU 3 en nieuwere versies, laadt u
mssql.confopnieuw zonder de service opnieuw op te starten. Maak verbinding met het SQL Server-exemplaar en voer het volgende uit:EXECUTE sp_reload_mssqlconf;Of start in eerdere versies de SQL Server-service opnieuw op:
sudo systemctl restart mssql-server
Beperkingen
Vóór SQL Server 2022 (16.x) CU 23 en SQL Server 2025 (17.x) CU 3, kan de parameter passwordminimumlength niet worden ingesteld op meer dan 14 tekens.
Wijzigingen in het wachtwoordbeleid van de groep in Active Directory worden niet automatisch doorgegeven. Voer adutil updatepasswordpolicy uit om mssql.conf te vernieuwen na elke wijziging, of stel de waarden handmatig in met mssql-conf als de Linux-host niet is aangesloten bij het domein.
In Active Directory kunt u elk wachtwoordbeleid op groepsniveau definiëren of ongedaan maken met behulp van een selectievakje:
Als u het selectievakje uitschakelt, wordt het beleid niet uitgeschakeld in SQL Server on Linux. Als u wilt stoppen met het afdwingen van een waarde, werkt u deze rechtstreeks bij in mssql-conf.