Configuration de l’authentification Kerberos à l’aide de groupes de sécurité Active Directory pour Babelfish - Amazon Aurora
Configuration de l’extension pg_ad_mappingGestion des connexions des groupesAudit et journalisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l’authentification Kerberos à l’aide de groupes de sécurité Active Directory pour Babelfish

À partir de la version 4.2.0 de Babelfish, vous pouvez configurer l’authentification Kerberos pour Babelfish à l’aide de groupes de sécurité Active Directory. Voici les conditions préalables à remplir pour configurer l’authentification Kerberos à l’aide d’Active Directory :

  • Vous devez suivre toutes les étapes mentionnées sous Authentification Kerberos avec Babelfish.

  • Assurez-vous que l’instance de base de données est associée à Active Directory. Vous pouvez consulter le statut de l’appartenance au domaine pour l’instance de base de données dans la console ou en exécutant la commande describe-db-instances de l’AWS CLI.

    L’état de l’instance de base de données doit être compatible avec Kerberos. Pour plus d’informations sur l’identification de l’appartenance à un domaine, consultez Présentation de l’appartenance au domaine.

  • Vérifiez les mappages entre le nom de domaine NetBIOS et le nom de domaine DNS à l’aide de la requête suivante :

    
SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;

  • Avant de poursuivre, vérifiez que l’authentification Kerberos à l’aide d’un identifiant individuel fonctionne comme prévu. La connexion utilisant l’authentification Kerberos en tant qu’utilisateur Active Directory devrait aboutir. Si vous rencontrez des problèmes, consultez Erreurs fréquentes.

Configuration de l’extension pg_ad_mapping

Vous devez suivre toutes les étapes mentionnées sous Configuration de l’extension pg_ad_mapping . Pour vérifier que l’extension est installée, exécutez la requête suivante à partir du point de terminaison TDS : 

1> SELECT extname, extversion FROM pg_extension where extname like 'pg_ad_mapping';
2> GO
extname       extversion
------------- ----------
pg_ad_mapping 0.1

(1 rows affected)

Gestion des connexions des groupes

Créez des connexions de groupe en suivant les étapes mentionnées sous Gestion des connexions. Pour faciliter la gestion, nous recommandons que l’identifiant soit le même que le nom du groupe de sécurité Active Directory (AD), bien que cela ne soit pas obligatoire. Exemples : 

CREATE LOGIN [corp\accounts-group] FROM WINDOWS [WITH DEFAULT_DATABASE=database]

Audit et journalisation

Pour déterminer l’identité du principal de sécurité AD, utilisez les commandes suivantes : 


1> select suser_name();
2> GO
suser_name
----------
corp\user1

(1 rows affected)

Actuellement, l’identité de l’utilisateur AD n’est pas visible dans les journaux. Vous pouvez activer le paramètre log_connections pour journaliser l’établissement des sessions de base de données. Pour plus d’informations, consultez log_connections. La sortie inclut l’identité de l’utilisateur AD en tant que principal, comme illustré dans l’exemple suivant. Le PID du système dorsal associé à cette sortie pourra ensuite aider à attribuer les actions à l’utilisateur AD réel.

bbf_group_ad_login@babelfish_db:[615]:LOG: connection authorized: user=bbf_group_ad_login database=babelfish_db application_name=sqlcmd GSS (authenticated=yes, encrypted=yes, principal=user1@CORP.EXAMPLE.COM)