Configuración de la extensión pg_ad_mapping Administración de inicios de sesión de grupo Auditoría y registro

Configuración de la autenticación basada en Kerberos mediante los grupos de seguridad de Active Directory para Babelfish

A partir de la versión 4.2.0 de Babelfish, puede configurar la autenticación Kerberos para Babelfish con grupos de seguridad de Active Directory. Estos son los requisitos previos que debe cumplir para configurar la autenticación Kerberos mediante Active Directory:

Debe seguir todos los pasos que se mencionan en Autenticación Kerberos con Babelfish.
Asegúrese de que la instancia de base de datos esté asociada a Active Directory. Para comprobarlo, puede ver el estado de la suscripción al dominio en la consola o ejecutar el comando describe-db-instances de la CLI de AWS.

El estado de la instancia de base de datos debe estar habilitado para Kerberos. Para obtener más información sobre cómo entender la pertenencia a un dominio, consulte Descripción de la pertenencia a los dominios.
Compruebe las asignaciones entre el nombre de dominio NetBIOS y el nombre de dominio DNS mediante la siguiente consulta:
```
SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;
```
Antes de continuar, compruebe que la autenticación Kerberos mediante el inicio de sesión individual funcione según lo previsto. La conexión mediante la autenticación Kerberos como usuario de Active Directory debería realizarse correctamente. Si tiene algún problema, consulte Errores frecuentes.

Configuración de la extensión pg_ad_mapping

Debe seguir todos los pasos que se mencionan en Configuración de la extensión pg_ad_mapping. Para comprobar que la extensión está instalada, ejecute la siguiente consulta desde el punto de conexión de TDS:


1> SELECT extname, extversion FROM pg_extension where extname like 'pg_ad_mapping';
2> GO
extname       extversion
------------- ----------
pg_ad_mapping 0.1

(1 rows affected)

Administración de inicios de sesión de grupo

Cree inicios de sesión de grupo siguiendo los pasos que se mencionan en Administración de inicios de sesión. Se recomienda que el nombre de inicio de sesión sea el mismo que el nombre del grupo de seguridad de Active Directory (AD) para facilitar el mantenimiento, aunque no es obligatorio. Por ejemplo:


CREATE LOGIN [corp\accounts-group] FROM WINDOWS [WITH DEFAULT_DATABASE=database]

Auditoría y registro

Para determinar la identidad de la entidad principal de seguridad de AD, utilice el siguiente comando:



1> select suser_name();
2> GO
suser_name
----------
corp\user1

(1 rows affected)

Actualmente, la identidad del usuario de AD no se puede ver en los registros. Puede activar el parámetro log_connections para registrar el establecimiento de la sesión de base de datos. Consulte log_connections para obtener más información. La salida incluye la identidad del usuario de AD como entidad principal, como se ve en el siguiente ejemplo. A continuación, el PID del backend asociado a este resultado puede ayudar a atribuir las acciones al usuario real de AD.


bbf_group_ad_login@babelfish_db:[615]:LOG: connection authorized: user=bbf_group_ad_login database=babelfish_db application_name=sqlcmd GSS (authenticated=yes, encrypted=yes, principal=user1@CORP.EXAMPLE.COM)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Autenticación Kerberos con Babelfish

Asignación de inicios de sesión de grupos T-SQL con grupos de seguridad de AD