Configurazione dell'autenticazione Kerberos utilizzando i gruppi di sicurezza Active Directory per Babelfish - Amazon Aurora
Configurazione dell'estensione pg_ad_mappingGestione degli accessi di gruppoControllo e registrazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'autenticazione Kerberos utilizzando i gruppi di sicurezza Active Directory per Babelfish

A partire dalla versione 4.2.0 di Babelfish, puoi configurare l'autenticazione Kerberos per Babelfish con gruppi di sicurezza Active Directory. Di seguito sono riportati i prerequisiti da completare per la configurazione dell'autenticazione Kerberos tramite Active Directory:

  • È necessario seguire tutti i passaggi indicati in. Autenticazione Kerberos con Babelfish

  • Assicurati che l'istanza DB sia associata ad Active Directory. Per verificarlo, puoi visualizzare lo stato dell'appartenenza al dominio nella console o eseguendo il describe-db-instances AWS CLIcomando.

    Lo stato dell'istanza DB deve essere abilitato per Kerberos. Per ulteriori informazioni sulla comprensione dell'appartenenza al dominio, vedere. Appartenenza al dominio

  • Verifica le mappature tra il nome di BIOS dominio di rete e il nome di DNS dominio utilizzando la seguente query:

    
SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;

  • Prima di procedere ulteriormente, verifica che l'autenticazione Kerberos tramite login individuale funzioni come previsto. La connessione tramite l'autenticazione Kerberos come utente di Active Directory dovrebbe avere esito positivo. In caso di problemi, consulta. Errori frequenti

Configurazione dell'estensione pg_ad_mapping

È necessario seguire tutti i passaggi indicati in. Configurazione dell'estensione pg_ad_mapping Per verificare che l'estensione sia installata, esegui la seguente query dall'TDSendpoint: 

1> SELECT extname, extversion FROM pg_extension where extname like 'pg_ad_mapping';
2> GO
extname       extversion
------------- ----------
pg_ad_mapping 0.1

(1 rows affected)

Gestione degli accessi di gruppo

Crea accessi di gruppo seguendo i passaggi indicati in. Gestione degli accessi Si consiglia che il nome di accesso sia lo stesso del nome del gruppo di sicurezza Active Directory (AD) per semplificare la manutenzione, sebbene non sia obbligatorio. Per esempio: 

CREATE LOGIN [corp\accounts-group] FROM WINDOWS [WITH DEFAULT_DATABASE=database]

Controllo e registrazione

Per determinare l'identità principale di sicurezza di AD, utilizza i seguenti comandi: 


1> select suser_name();
2> GO
suser_name
----------
corp\user1

(1 rows affected)

Attualmente, l'identità dell'utente AD non è visibile nei registri. È possibile attivare il log_connections parametro per registrare l'istituzione della sessione DB. Per ulteriori informazioni, consulta log_connections. L'output include l'identità utente AD come principale, come illustrato nell'esempio seguente. Il backend PID associato a questo output può quindi aiutare ad attribuire le azioni all'utente AD effettivo.

bbf_group_ad_login@babelfish_db:[615]:LOG: connection authorized: user=bbf_group_ad_login database=babelfish_db application_name=sqlcmd GSS (authenticated=yes, encrypted=yes, principal=user1@CORP.EXAMPLE.COM)