Configuration de l'authentification Kerberos à l'aide des groupes de sécurité Active Directory pour Babelfish - Amazon Aurora
Configuration de l'extension pg_ad_mappingGestion des connexions aux groupesAudit et journalisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'authentification Kerberos à l'aide des groupes de sécurité Active Directory pour Babelfish

À partir de la version 4.2.0 de Babelfish, vous pouvez configurer l'authentification Kerberos pour Babelfish avec les groupes de sécurité Active Directory. Voici les conditions préalables à remplir pour configurer l'authentification Kerberos à l'aide d'Active Directory :

  • Vous devez suivre toutes les étapes mentionnées surAuthentification Kerberos avec Babelfish.

  • Assurez-vous que l'instance de base de données est associée à Active Directory. Pour vérifier cela, vous pouvez consulter le statut de l'appartenance au domaine dans la console ou en exécutant le describe-db-instances AWS CLIcommande.

    L'état de l'instance de base de données doit être activé par Kerberos. Pour plus d'informations sur la compréhension de l'appartenance à un domaine, consultezPrésentation de l'appartenance au domaine.

  • Vérifiez les mappages entre le nom de BIOS domaine Net et le nom de DNS domaine à l'aide de la requête suivante :

    
SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;

  • Avant de poursuivre, vérifiez que l'authentification Kerberos à l'aide d'une connexion individuelle fonctionne comme prévu. La connexion utilisant l'authentification Kerberos en tant qu'utilisateur Active Directory doit être réussie. Si vous rencontrez des problèmes, consultezErreurs fréquentes.

Configuration de l'extension pg_ad_mapping

Vous devez suivre toutes les étapes mentionnées surConfiguration de l'extension pg_ad_mapping. Pour vérifier que l'extension est installée, exécutez la requête suivante depuis le TDS point de terminaison : 

1> SELECT extname, extversion FROM pg_extension where extname like 'pg_ad_mapping';
2> GO
extname       extversion
------------- ----------
pg_ad_mapping 0.1

(1 rows affected)

Gestion des connexions aux groupes

Créez des connexions de groupe en suivant les étapes mentionnées surGestion des connexions. Nous recommandons que le nom de connexion soit le même que le nom du groupe de sécurité Active Directory (AD) pour faciliter la maintenance, bien que cela ne soit pas obligatoire. Par exemple : 

CREATE LOGIN [corp\accounts-group] FROM WINDOWS [WITH DEFAULT_DATABASE=database]

Audit et journalisation

Pour déterminer l'identité principale de sécurité AD, utilisez les commandes suivantes : 


1> select suser_name();
2> GO
suser_name
----------
corp\user1

(1 rows affected)

Actuellement, l'identité de l'utilisateur AD n'est pas visible dans les journaux. Vous pouvez activer le log_connections paramètre pour enregistrer l'établissement d'une session de base de données. Pour plus d'informations, consultez log_connections. La sortie inclut l'identité de l'utilisateur AD comme principal, comme indiqué dans l'exemple suivant. Le backend PID associé à cette sortie peut ensuite aider à attribuer les actions à l'utilisateur AD réel.

bbf_group_ad_login@babelfish_db:[615]:LOG: connection authorized: user=bbf_group_ad_login database=babelfish_db application_name=sqlcmd GSS (authenticated=yes, encrypted=yes, principal=user1@CORP.EXAMPLE.COM)