Mappage des connexions de groupes T-SQL avec le groupe de sécurité AD - Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mappage des connexions de groupes T-SQL avec le groupe de sécurité AD

Vous devez explicitement configurer un identifiant de groupe Windows T-SQL pour chaque groupe de sécurité AD qui nécessite un accès au serveur de base de données. Un utilisateur AD, qui fait partie d’au moins un groupe de sécurité AD provisionné, aura accès au serveur de base de données.

Note

Cet identifiant T-SQL ne pourra plus s’authentifier à l’aide d’une authentification basée sur un mot de passe.

Par exemple, accounts-group est un groupe de sécurité dans AD et si vous souhaitez configurer ce groupe de sécurité dans Babelfish, vous devez utiliser le format [corp\accounts-group].

  • Groupe de sécurité AD : accounts-group

  • Identifiant TSQL : [corp\accounts-group]

  • Rôle PG équivalent pour un identifiant TSQL donné : accounts-group@CORP.EXAMPLE.COM

L’administrateur peut maintenant procéder à la création du mappage entre le groupe de sécurité AD et l’identifiant T-SQL à partir du point de terminaison PostgreSQL via la commande psql suivante. Pour plus d’informations sur l’utilisation des fonctions, consultez Utilisation des fonctions de l’extension pg_ad_mapping.

Note

L’identifiant T-SQL doit être spécifié au format login_name@FQDN lors de l’ajout du mappage. Les poids sont ignorés lors de la connexion via le point de terminaison TDS. Pour plus d’informations l’utilisation de la pondération, consultez Connexion à Babelfish via le point de terminaison PostgreSQL sur le port PostgreSQL.

postgres=>select pgadmap_set_mapping('accounts-group', 'accounts-group@CORP.EXAMPLE.COM', <SID>, <Weight>);

Pour plus d’informations sur la récupération du SID du groupe de sécurité AD, consultez Récupération du SID du groupe Active Directory dans PowerShell.

Le tableau suivant présente un exemple de mappage entre les groupes de sécurité AD et les identifiants T-SQL :

Groupes de sécurité AD Identifiants TSQL Rôle PG équivalent pour un identifiant TSQL donné Pondération

accounts-group

[corp\accounts-group]

accounts-group@CORP.EXAMPLE.COM

7

sales-group

[corp\sales-group]

sales-group@CORP.EXAMPLE.COM

10

dev-group

[corp\dev-group]

dev-group@CORP.EXAMPLE.COM

7

 

postgres=> select admap.ad_sid, admap.ad_grp, lgn.orig_loginname, lgn.rolname, admap.weight from pgadmap_read_mapping() as admap, sys.babelfish_authid_login_ext as lgn where admap.pg_role = lgn.rolname;
    ad_sid    |     ad_grp     |    orig_loginname   |             rolname             | weight
--------------+----------------+---------------------+---------------------------------+--------
 S-1-5-67-890 | accounts-group | corp\accounts-group  | accounts-group@CORP.EXAMPLE.COM |     7
 S-1-2-34-560 | sales-group    | corp\sales-group     | sales-group@CORP.EXAMPLE.COM    |     10
 S-1-8-43-612 | dev-group      | corp\dev-group       | dev-group@CORP.EXAMPLE.COM      |     7
 (7 rows)