Menyiapkan otentikasi Kerberos menggunakan grup keamanan Active Directory untuk Babelfish - Amazon Aurora:
Menyiapkan ekstensi pg_ad_mappingMengelola Login GrupAudit dan Pencatatan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan otentikasi Kerberos menggunakan grup keamanan Active Directory untuk Babelfish

Mulai dari Babelfish versi 4.2.0, Anda dapat mengatur otentikasi Kerberos untuk Babelfish dengan grup keamanan Active Directory. Berikut ini adalah prasyarat yang harus diselesaikan untuk menyiapkan otentikasi Kerberos menggunakan Active Directory:

  • Anda harus mengikuti semua langkah yang disebutkan diAutentikasi Kerberos dengan Babelfish.

  • Pastikan bahwa instans DB dikaitkan dengan Active Directory. Untuk memverifikasi ini, Anda dapat melihat status keanggotaan domain di konsol atau dengan menjalankan describe-db-instances AWS CLIperintah.

    Status instans DB harus diaktifkan kerberos. Untuk informasi selengkapnya tentang memahami keanggotaan domain, lihatMemahami keanggotaan Domain.

  • Verifikasi pemetaan antara nama BIOS domain Net dan nama DNS domain menggunakan kueri berikut:

    
SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;

  • Sebelum melanjutkan lebih jauh, verifikasi otentikasi Kerberos menggunakan login individu berfungsi seperti yang diharapkan. Koneksi menggunakan otentikasi Kerberos sebagai pengguna Active Directory harus berhasil. Jika Anda menghadapi masalah apa pun, lihatKesalahan yang sering terjadi.

Menyiapkan ekstensi pg_ad_mapping

Anda harus mengikuti semua langkah yang disebutkan diMenyiapkan ekstensi pg_ad_mapping. Untuk memverifikasi bahwa ekstensi diinstal, jalankan kueri berikut dari TDS titik akhir: 

1> SELECT extname, extversion FROM pg_extension where extname like 'pg_ad_mapping';
2> GO
extname       extversion
------------- ----------
pg_ad_mapping 0.1

(1 rows affected)

Mengelola Login Grup

Buat login grup dengan mengikuti langkah-langkah yang disebutkan diMengatur Login. Kami menyarankan agar nama login sama dengan nama grup keamanan Active Directory (AD) untuk perawatan yang lebih mudah, meskipun itu tidak wajib. Sebagai contoh: 

CREATE LOGIN [corp\accounts-group] FROM WINDOWS [WITH DEFAULT_DATABASE=database]

Audit dan Pencatatan

Untuk menentukan identitas utama keamanan AD, gunakan perintah berikut: 


1> select suser_name();
2> GO
suser_name
----------
corp\user1

(1 rows affected)

Saat ini, identitas pengguna AD tidak terlihat di log. Anda dapat mengaktifkan log_connections parameter untuk mencatat pembentukan sesi DB. Untuk informasi selengkapnya, lihat log_connections. Outputnya mencakup identitas pengguna AD sebagai prinsipal seperti yang ditunjukkan pada contoh berikut. Backend PID yang terkait dengan output ini kemudian dapat membantu tindakan atribut kembali ke pengguna AD yang sebenarnya.

bbf_group_ad_login@babelfish_db:[615]:LOG: connection authorized: user=bbf_group_ad_login database=babelfish_db application_name=sqlcmd GSS (authenticated=yes, encrypted=yes, principal=user1@CORP.EXAMPLE.COM)