Connessione a Babelfish tramite l'SQLendpoint Postgre sulla porta Postgre SQL - Amazon Aurora
Differenze di comportamento tra gli SQL endpoint T SQL e Postgre quando un utente AD fa parte di più gruppi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione a Babelfish tramite l'SQLendpoint Postgre sulla porta Postgre SQL

Puoi utilizzare gli accessi di gruppo creati dalla porta per connetterti anche tramite la TDS porta Postgre. SQL Per connetterti tramite la SQL porta Postgre, devi specificare il nome utente AD nel formato <ad_username@FQDN> delle applicazioni client Postgre. SQL Non puoi usare il formato. <DNS domain name\ad_username>

Per impostazione predefinita, Postgre SQL utilizza i confronti con distinzione tra maiuscole e minuscole per i nomi utente. Affinché Aurora Postgre SQL interpreti i nomi utente Kerberos senza distinzione tra maiuscole e minuscole, è necessario impostare il parametro krb_caseins_users su true nel gruppo di parametri del cluster Babelfish personalizzato. Questo parametro è impostato su false per impostazione predefinita. Per ulteriori informazioni, consulta Configurazione del cluster database Aurora PostgreSQL per nomi utente senza distinzione tra maiuscole e minuscole.

Differenze di comportamento tra gli SQL endpoint T SQL e Postgre quando un utente AD fa parte di più gruppi

Considerate che l'utente AD user1 fa parte di due gruppi di sicurezza AD [corp\ accounts-group] e [corp\ sales-group] e che DB admin ha impostato la mappatura degli utenti nel modo seguente.


postgres=> select * from pgadmap_read_mapping();
            
ad_sid       | pg_role                         | weight | ad_grp 
-------------+---------------------------------+--------+---------------
S-1-5-67-980 | accounts-group@CORP.EXAMPLE.COM | 7      | accounts-group
S-1-2-34-560 | sales-group@CORP.EXAMPLE.COM    | 10     | sales-group
(2 rows)

Se l'utente si connette dall'SQLendpoint T, durante l'autorizzazione erediterà i privilegi da tutti gli accessi T associati. SQL In questo esempio user1 erediterà l'unione dei privilegi sia dall'accesso al SQL gruppo T- e i pesi verranno ignorati. Questo è in linea con il comportamento T- standard. SQL

Tuttavia, se lo stesso utente si connette dall'SQLendpoint Postgre, può ereditare i privilegi da un solo accesso T associato con il peso maggiore. SQL Se ai due login del SQL gruppo T è stato assegnato lo stesso peso, l'utente AD erediterà i privilegi del SQL T-login corrispondente alla mappatura aggiunta più di recente. Per PostgreSQL, la raccomandazione è di specificare pesi che riflettano le autorizzazioni/privilegi relativi dei singoli ruoli del DB per evitare l'ambiguità. Nell'esempio seguente, l'utente 1 si è connesso tramite endpoint e ha ereditato solo i privilegi dei gruppi di vendita. PSQL


babelfish_db=> select session_user, current_user;

   session_user               |   current_user
------------------------------+---------------------------
 sales-group@CORP.EXAMPLE.COM | sales-group@CORP.EXAMPLE.COM
(1 row)


babelfish_db=> select principal, gss_authenticated from pg_stat_gssapi where pid = pg_backend_pid();

     principal          | gss_authenticated
------------------------+-------------------
 user1@CORP.EXAMPLE.COM | t
(1 row)