Einrichten der Kerberos-Authentifizierung mithilfe von Active-Directory-Sicherheitsgruppen für Babelfish - Amazon Aurora
Einrichten der pg_ad_mapping-ErweiterungVerwalten von GruppenanmeldungenPrüfen und Protokollieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten der Kerberos-Authentifizierung mithilfe von Active-Directory-Sicherheitsgruppen für Babelfish

Ab Babelfish-Version 4.2.0 können Sie die Kerberos-Authentifizierung für Babelfish mit Active-Directory-Sicherheitsgruppen einrichten. Die folgenden Voraussetzungen müssen erfüllt sein, um die Kerberos-Authentifizierung mithilfe von Active Directory einzurichten:

  • Sie müssen alle unter Kerberos-Authentifizierung mit Babelfish genannten Schritte ausführen.

  • Stellen Sie sicher, dass die DB-Instance mit Active Directory verknüpft ist. Zur Bestätigung können Sie den Status der Domainmitgliedschaft in der Konsole oder durch Ausführen des AWS-CLI-Befehls describe-db-instances anzeigen.

    Der Status der DB-Instance sollte kerberos-enabled lauten. Weitere Informationen zum Verständnis der Domainmitgliedschaft finden Sie unter Grundlegendes zur Domänenmitgliedschaft.

  • Überprüfen Sie die Zuordnungen zwischen dem NetBIOS-Domainnamen und dem DNS-Domainnamen mithilfe der folgenden Abfrage:

    
SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;

  • Bevor Sie fortfahren, überprüfen Sie, ob die Kerberos-Authentifizierung mit individueller Anmeldung erwartungsgemäß funktioniert. Die Verbindung mit der Kerberos-Authentifizierung als Active-Directory-Benutzer sollte erfolgreich sein. Falls Sie auf Probleme stoßen, finden Sie weitere Informationen unter Häufig auftretende Fehler.

Einrichten der pg_ad_mapping-Erweiterung

Sie müssen alle unter Einrichten der pg_ad_mapping-Erweiterung genannten Schritte ausführen. Führen Sie die folgende Abfrage über den TDS-Endpunkt aus, um zu überprüfen, ob die Erweiterung installiert wurde: 

1> SELECT extname, extversion FROM pg_extension where extname like 'pg_ad_mapping';
2> GO
extname       extversion
------------- ----------
pg_ad_mapping 0.1

(1 rows affected)

Verwalten von Gruppenanmeldungen

Erstellen Sie Gruppenanmeldungen, indem Sie die unter Verwalten von Anmeldungen genannten Schritte ausführen. Wir empfehlen, dass der Anmeldename mit dem Namen der Active Directory (AD)-Sicherheitsgruppe identisch ist, um die Wartung zu vereinfachen, obwohl dies nicht verpflichtend ist. Zum Beispiel: 

CREATE LOGIN [corp\accounts-group] FROM WINDOWS [WITH DEFAULT_DATABASE=database]

Prüfen und Protokollieren

Verwenden Sie die folgenden Befehle, um die Identität des AD-Sicherheitsprinzipals zu ermitteln: 


1> select suser_name();
2> GO
suser_name
----------
corp\user1

(1 rows affected)

Derzeit ist die AD-Benutzeridentität in den Protokollen nicht sichtbar. Sie können den Parameter log_connections aktivieren, um die Einrichtung einer DB-Sitzung zu protokollieren. Weitere Informationen finden Sie unter log_connections. Die Ausgabe umfasst die AD-Benutzeridentität als Prinzipal, wie im folgenden Beispiel gezeigt. Die dieser Ausgabe zugeordnete Backend-PID kann dann dabei helfen, Aktionen dem tatsächlichen AD-Benutzer zuzuordnen.

bbf_group_ad_login@babelfish_db:[615]:LOG: connection authorized: user=bbf_group_ad_login database=babelfish_db application_name=sqlcmd GSS (authenticated=yes, encrypted=yes, principal=user1@CORP.EXAMPLE.COM)