Verbindung zu Babelfish über den SQL Postgre-Endpunkt am Postgre-Port herstellen SQL - Amazon Aurora
Verhaltensunterschiede zwischen T- SQL und SQL Postgre-Endpunkten, wenn ein AD-Benutzer Teil mehrerer Gruppen ist

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbindung zu Babelfish über den SQL Postgre-Endpunkt am Postgre-Port herstellen SQL

Sie können auch Gruppenanmeldungen verwenden, die über den Port erstellt wurden, um eine Verbindung über den TDS SQL Postgre-Port herzustellen. Um eine Verbindung über den SQL Postgre-Port herzustellen, müssen Sie den Namen des AD-Benutzers in dem Format angeben, das in den <ad_username@FQDN> SQL Postgre-Clientanwendungen angegeben ist. Sie können das Format nicht verwenden. <DNS domain name\ad_username>

Postgre SQL verwendet standardmäßig Vergleiche für Benutzernamen, bei denen Groß- und Kleinschreibung beachtet wird. Damit Aurora Postgre SQL Kerberos-Benutzernamen ohne Berücksichtigung der Groß- und Kleinschreibung interpretiert, müssen Sie den Parameter krb_caseins_users in der benutzerdefinierten Babelfish-Cluster-Parametergruppe auf true setzen. Dieser Parameter ist standardmäßig auf False gesetzt. Weitere Informationen finden Sie unter Konfigurieren Ihres DB-Clusters von Aurora PostgreSQL für Benutzernamen, bei denen die Groß-/Kleinschreibung unterschieden wird.

Verhaltensunterschiede zwischen T- SQL und SQL Postgre-Endpunkten, wenn ein AD-Benutzer Teil mehrerer Gruppen ist

Bedenken Sie, dass der AD-Benutzer user1 Teil von zwei AD-Sicherheitsgruppen [corp\ accounts-group] und [corp\ sales-group] ist und dass der Datenbankadministrator die Benutzerzuordnung wie folgt festgelegt hat.


postgres=> select * from pgadmap_read_mapping();
            
ad_sid       | pg_role                         | weight | ad_grp 
-------------+---------------------------------+--------+---------------
S-1-5-67-980 | accounts-group@CORP.EXAMPLE.COM | 7      | accounts-group
S-1-2-34-560 | sales-group@CORP.EXAMPLE.COM    | 10     | sales-group
(2 rows)

Wenn der Benutzer vom SQL T-Endpunkt aus eine Verbindung herstellt, erbt er während der Autorisierung die Rechte aller zugehörigen T-Logins. SQL In diesem Beispiel erbt Benutzer1 die Vereinigung der Rechte aus dem SQL T-Gruppen-Login und die Gewichtungen werden ignoriert. Dies entspricht dem Standardverhalten von T-SQL.

Wenn derselbe Benutzer jedoch vom SQL Postgre-Endpunkt aus eine Verbindung herstellt, kann er die Rechte nur von einem zugehörigen SQL T-Login mit der höchsten Gewichtung erben. Wenn den beiden SQL T-Gruppenanmeldungen dasselbe Gewicht zugewiesen wurde, erbt der AD-Benutzer die Rechte des SQL T-Logins, die der zuletzt hinzugefügten Zuordnung entsprechen. Für Postgre wird empfohlenSQL, Gewichtungen anzugeben, die die relativen Berechtigungen/Privilegien der einzelnen DB-Rollen widerspiegeln, um Mehrdeutigkeiten zu vermeiden. Im folgenden Beispiel hat Benutzer1 die Verbindung über PSQL den Endpunkt hergestellt und nur die Rechte der Vertriebsgruppen geerbt.


babelfish_db=> select session_user, current_user;

   session_user               |   current_user
------------------------------+---------------------------
 sales-group@CORP.EXAMPLE.COM | sales-group@CORP.EXAMPLE.COM
(1 row)


babelfish_db=> select principal, gss_authenticated from pg_stat_gssapi where pid = pg_backend_pid();

     principal          | gss_authenticated
------------------------+-------------------
 user1@CORP.EXAMPLE.COM | t
(1 row)