Kerberos-Authentifizierung mit Babelfish

Die Version SQL 15.2 von Babelfish for Aurora Postgre unterstützt die Authentifizierung in Ihrem DB-Cluster mithilfe von Kerberos. Diese Methode ermöglicht es Ihnen, die Microsoft Windows-Authentifizierung zum Authentifizieren von Benutzern zu verwenden, wenn diese eine Verbindung mit Ihrer Babelfish-Datenbank herstellen. Dazu müssen Sie zunächst Ihren DB-Cluster für die Verwendung konfigurieren AWS Directory Service for Microsoft Active Directory für die Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Was ist AWS Directory Service? in der AWS Directory Service Verwaltungshandbuch.

Einrichten der Kerberos-Authenifizierung

Der Babelfish for Aurora SQL Postgre-DB-Cluster kann über zwei verschiedene Ports eine Verbindung herstellen, aber die Einrichtung der Kerberos-Authentifizierung ist ein einmaliger Vorgang. Daher müssen Sie zuerst die Kerberos-Authentifizierung für Ihren DB-Cluster einrichten. Weitere Informationen finden Sie unter Einrichten der Kerberos-Authentifizierung. Stellen Sie nach Abschluss der Einrichtung sicher, dass Sie mithilfe von Kerberos eine Verbindung zu einem Postgre-Client herstellen können. SQL Weitere Informationen finden Sie unter Herstellen einer Verbindung mithilfe der Kerberos-Authentifizierung.

Anmeldung und Benutzerbereitstellung in Babelfish

Windows-Logins, die über den Tabular Data Stream (TDS) -Port erstellt wurden, können entweder mit dem Port oder dem TDS Postgre-Port verwendet werden. SQL Zunächst muss das Login, das Kerberos zur Authentifizierung verwenden kann, über den TDS Port bereitgestellt werden, bevor es von den SQL T-Benutzern und -Anwendungen verwendet wird, um eine Verbindung zu einer Babelfish-Datenbank herzustellen. Bei der Erstellung von Windows-Logins können Administratoren die Anmeldung entweder mit dem Domainnamen oder dem DNS Net-Domänennamen angeben. BIOS In der Regel ist BIOS Net-Domain die Unterdomäne des DNS Domainnamens. Wenn der DNS Domainname beispielsweise lautetCORP.EXAMPLE.COM, kann es sich bei der BIOS Net-Domäne umCORP. Wenn das BIOS Net-Domänennamenformat für eine Anmeldung bereitgestellt wird, muss eine Zuordnung zum DNS Domainnamen vorhanden sein.

Verwaltung der Zuordnung von BIOS Net-Domainnamen zu DNS Domainnamen

Um die Zuordnungen zwischen dem BIOS Net-Domänennamen und DNS dem Domainnamen zu verwalten, bietet Babelfish im System gespeicherte Prozeduren zum Hinzufügen, Entfernen und Kürzen von Zuordnungen. Nur ein Benutzer mit einer sysadmin-Rolle kann diese Verfahren ausführen.

Verwenden Sie die von Babelfish bereitgestellte gespeicherte Systemprozedur, um eine Zuordnung zwischen dem Netz BIOS und dem DNS Domainnamen zu erstellen. babelfish_add_domain_mapping_entry Beide Argumente müssen einen gültigen Wert haben und sind es nicht. NULL

EXEC babelfish_add_domain_mapping_entry 'netbios_domain_name', 'fully_qualified_domain_name'

Das folgende Beispiel zeigt, wie die Zuordnung zwischen dem BIOS Netznamen CORP und dem DNS Domänennamen erstellt wirdCORP. EXAMPLE. COM.

EXEC babelfish_add_domain_mapping_entry 'corp', 'corp.example.com'

Verwenden Sie die gespeicherte Systemprozedur „babelfish_remove_domain_mapping_entry“, um einen vorhandenen Zuordnungseintrag zu löschen.

EXEC babelfish_remove_domain_mapping_entry 'netbios_domain_name'

Das folgende Beispiel zeigt, wie die Zuordnung für den BIOS Netznamen entfernt wirdCORP.

EXEC babelfish_remove_domain_mapping_entry 'corp'

Verwenden Sie die gespeicherte Systemprozedur babelfish_truncate_domain_mapping_table, um alle vorhandenen Zuordnungseinträge zu löschen:

EXEC babelfish_truncate_domain_mapping_table

Verwenden Sie die folgende Abfrage, um alle Zuordnungen zwischen Net BIOS und DNS Domainname anzuzeigen.

SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;

Verwalten von Anmeldungen

Erstellen von Anmeldungen

Stellen Sie über den TDS Endpunkt eine Connect zur Datenbank her, indem Sie einen Anmeldenamen verwenden, der über die richtigen Berechtigungen verfügt. Wenn kein Datenbankbenutzer für die Anmeldung angelegt wurde, wird die Anmeldung dem Gastbenutzer zugeordnet. Wenn der Gastbenutzer nicht aktiviert ist, schlägt der Anmeldeversuch fehl.

Erstellen Sie eine Windows-Anmeldung mit der folgenden Abfrage. Die Option FROM WINDOWS ermöglicht die Authentifizierung mit Active Directory.

CREATE LOGIN login_name FROM WINDOWS [WITH DEFAULT_DATABASE=database]

CREATE LOGIN [corp\test1] FROM WINDOWS WITH DEFAULT_DATABASE=db1

In diesem Beispiel wird davon ausgegangen, dass eine Zuordnung zwischen der BIOS Net-Domäne CORP und dem DNS Domainnamen bestehtCORP. EXAMPLE. COM. Wenn es keine Zuordnung gibt, müssen Sie den DNS Domainnamen [angebenCORP. EXAMPLE. COM\ test [1].

Löschen von Anmeldung

Um eine Anmeldung zu löschen, verwenden Sie dieselbe Syntax wie für jede beliebige Anmeldung, wie im folgenden Beispiel gezeigt:

DROP LOGIN [DNS domain name\login]

Ändern von Anmeldungen

Wenn Sie eine Anmeldung ändern möchten, verwenden Sie dieselbe Syntax wie für jede beliebige Anmeldung, wie im folgenden Beispiel gezeigt:

ALTER LOGIN [DNS domain name\login] { ENABLE|DISABLE|WITH DEFAULT_DATABASE=[master] }

Der ALTER LOGIN Befehl unterstützt eingeschränkte Optionen für Windows-Logins, darunter die folgenden:

Verbindung zu Babelfish für Aurora Postgre SQL mit Kerberos-Authentifizierung herstellen

Normalerweise authentifizieren sich die Datenbankbenutzer, die die Kerberos-Authentifizierung nutzen, über ihren Client-Computer. Diese Computer sind Mitglieder der Active-Directory-Domain. Sie verwenden die Windows-Authentifizierung von ihren Client-Anwendungen aus, um auf den Babelfish for Aurora SQL Postgre-Server am Port zuzugreifen. TDS

Verbindung zu Babelfish for Aurora Postgre SQL auf dem Postgre-Port mit SQL Kerberos-Authentifizierung herstellen

Sie können vom Port erstellte Logins entweder mit dem Port oder dem TDS Postgre-Port verwenden. TDS SQL Postgre SQL verwendet jedoch standardmäßig Vergleiche für Benutzernamen, bei denen Groß- und Kleinschreibung beachtet wird. Damit Aurora Postgre SQL Kerberos-Benutzernamen ohne Berücksichtigung der Groß- und Kleinschreibung interpretiert, müssen Sie den krb_caseins_users Parameter wie true in der benutzerdefinierten Babelfish-Cluster-Parametergruppe festlegen. Dieser Parameter ist standardmäßig auf false festgelegt. Weitere Informationen finden Sie unter Konfigurieren von Benutzernamen, bei denen die Groß-/Kleinschreibung unterschieden wird. Darüber hinaus müssen Sie den Login-Benutzernamen im Format DNS <login@ Domainname> aus den Postgre-Clientanwendungen angeben. SQL Sie können das Format < DNS Domainname\ Login> nicht verwenden.

Häufig auftretende Fehler

Sie können Gesamtstrukturvertrauensstellungen zwischen Ihrem lokalen Microsoft Active Directory und dem AWS Managed Microsoft AD. Weitere Informationen finden Sie unter Eine Vertrauensbeziehung erstellen. Anschließend müssen Sie eine Verbindung über einen speziellen Domain-spezifischen Endpunkt herstellen, anstatt die Amazon-Domain rds.amazonaws.com im Host-Endpunkt zu verwenden. Wenn Sie nicht den richtigen Domain-spezifischen Endpunkt verwenden, wird möglicherweise folgende Fehlermeldung angezeigt:

Error: “Authentication method "NTLMSSP" not supported (Microsoft SQL Server, Error: 514)"

Dieser Fehler tritt auf, wenn der TDS Client das Serviceticket für den angegebenen Endpunkt nicht zwischenspeichern kannURL. Weitere Informationen finden Sie unter Herstellen einer Verbindung mithilfe der Kerberos-Authentifizierung.