Einrichtung der Kerberos-Authentifizierung mithilfe von Active Directory-Sicherheitsgruppen für Babelfish - Amazon Aurora
Einrichtung der Erweiterung pg_ad_mappingGruppenanmeldungen verwaltenPrüfung und Protokollierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung der Kerberos-Authentifizierung mithilfe von Active Directory-Sicherheitsgruppen für Babelfish

Ab Babelfish Version 4.2.0 können Sie die Kerberos-Authentifizierung für Babelfish mit Active Directory-Sicherheitsgruppen einrichten. Die folgenden Voraussetzungen müssen erfüllt sein, um die Kerberos-Authentifizierung mithilfe von Active Directory einzurichten:

  • Sie müssen alle unter genannten Schritte ausführen. Kerberos-Authentifizierung mit Babelfish

  • Stellen Sie sicher, dass die DB-Instance mit Active Directory verknüpft ist. Um dies zu überprüfen, können Sie den Status der Domänenmitgliedschaft in der Konsole anzeigen oder indem Sie den describe-db-instances AWS CLIBefehl.

    Der Status der DB-Instance sollte Kerberos-fähig sein. Weitere Informationen zum Verständnis der Domänenmitgliedschaft finden Sie unter. Grundlegendes zur Domänenmitgliedschaft

  • Überprüfen Sie die Zuordnungen zwischen dem BIOS Net-Domänennamen und dem DNS Domänennamen mithilfe der folgenden Abfrage:

    
SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;

  • Bevor Sie fortfahren, überprüfen Sie, ob die Kerberos-Authentifizierung mit individueller Anmeldung erwartungsgemäß funktioniert. Die Verbindung mit der Kerberos-Authentifizierung als Active Directory-Benutzer sollte erfolgreich sein. Falls Sie auf Probleme stoßen, finden Sie weitere Informationen unter. Häufig auftretende Fehler

Einrichtung der Erweiterung pg_ad_mapping

Sie müssen alle unter genannten Schritte befolgen. Einrichtung der Erweiterung pg_ad_mapping Um zu überprüfen, ob die Erweiterung installiert ist, führen Sie die folgende Abfrage vom TDS Endpunkt aus: 

1> SELECT extname, extversion FROM pg_extension where extname like 'pg_ad_mapping';
2> GO
extname       extversion
------------- ----------
pg_ad_mapping 0.1

(1 rows affected)

Gruppenanmeldungen verwalten

Erstellen Sie Gruppenanmeldungen, indem Sie die unter genannten Schritte ausführen. Verwalten von Anmeldungen Wir empfehlen, dass der Anmeldename mit dem Namen der Active Directory-Sicherheitsgruppe (AD) identisch ist, um die Wartung zu vereinfachen, obwohl dies nicht verpflichtend ist. Beispielsweise: 

CREATE LOGIN [corp\accounts-group] FROM WINDOWS [WITH DEFAULT_DATABASE=database]

Überwachung und Protokollierung

Verwenden Sie die folgenden Befehle, um die Identität des AD-Sicherheitsprinzipals zu ermitteln: 


1> select suser_name();
2> GO
suser_name
----------
corp\user1

(1 rows affected)

Derzeit ist die AD-Benutzeridentität in den Protokollen nicht sichtbar. Sie können den log_connections Parameter aktivieren, um den Aufbau einer DB-Sitzung zu protokollieren. Weitere Informationen finden Sie unter log_connections. Die Ausgabe enthält die AD-Benutzeridentität als Principal, wie im folgenden Beispiel gezeigt. Das mit dieser Ausgabe PID verknüpfte Backend kann dann dabei helfen, Aktionen dem tatsächlichen AD-Benutzer zuzuordnen.

bbf_group_ad_login@babelfish_db:[615]:LOG: connection authorized: user=bbf_group_ad_login database=babelfish_db application_name=sqlcmd GSS (authenticated=yes, encrypted=yes, principal=user1@CORP.EXAMPLE.COM)