View a markdown version of this page

Menghubungkan ke Babelfish melalui titik akhir PostgreSQL pada port PostgreSQL - Amazon Aurora
Perbedaan perilaku antara T-SQL dan titik akhir PostgreSQL saat pengguna AD menjadi bagian dari beberapa grup

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan ke Babelfish melalui titik akhir PostgreSQL pada port PostgreSQL

Anda dapat menggunakan login grup yang dibuat dari port TDS untuk terhubung melalui port PostgreSQL juga. Untuk terhubung melalui port PostgreSQL, Anda perlu menentukan nama pengguna AD dalam format <ad_username@FQDN> dari aplikasi klien PostgreSQL. Anda tidak dapat menggunakan <DNS domain name\ad_username> format.

PostgreSQL menggunakan perbandingan case-sensitive secara default untuk nama pengguna. Agar Aurora PostgreSQL menafsirkan nama pengguna Kerberos sebagai case-insensitive, Anda harus menyetel parameter krb_caseins_users sebagai true di grup parameter cluster Babelfish kustom. Parameter ini diatur ke false secara default. Untuk informasi selengkapnya, lihat Mengonfigurasi klaster DB Aurora PostgreSQL Anda untuk nama pengguna yang tidak peka huruf besar/kecil.

Perbedaan perilaku antara T-SQL dan titik akhir PostgreSQL saat pengguna AD menjadi bagian dari beberapa grup

Pertimbangkan bahwa pengguna AD user1 adalah bagian dari dua grup keamanan AD [corp\ accounts-group] dan [corp\ sales-group] dan admin DB telah mengatur pemetaan pengguna dengan cara berikut.


postgres=> select * from pgadmap_read_mapping();
            
ad_sid       | pg_role                         | weight | ad_grp 
-------------+---------------------------------+--------+---------------
S-1-5-67-980 | accounts-group@CORP.EXAMPLE.COM | 7      | accounts-group
S-1-2-34-560 | sales-group@CORP.EXAMPLE.COM    | 10     | sales-group
(2 rows)

Jika pengguna terhubung dari T-SQL titik akhir maka selama otorisasi, itu akan mewarisi hak istimewa dari semua login terkait. T-SQL Dalam contoh ini user1 akan mewarisi gabungan hak istimewa dari login T-SQL grup dan bobot akan diabaikan. Ini sejalan dengan T-SQL perilaku standar.

Namun jika pengguna yang sama terhubung dari titik akhir PostgreSQL maka ia dapat mewarisi hak istimewa hanya dari satu login terkait dengan bobot tertinggi. T-SQL Jika login dua T-SQL grup diberi bobot yang sama maka pengguna AD akan mewarisi hak istimewa T-SQL login yang sesuai dengan pemetaan yang ditambahkan baru-baru ini. Untuk PostgreSQL, rekomendasinya adalah menentukan bobot yang mencerminkan permissions/privileges relatif peran DB individu untuk menghindari ambiguitas. Dalam contoh di bawah ini, user1 terhubung melalui titik akhir PSQL dan hanya mewarisi hak istimewa grup penjualan.


babelfish_db=> select session_user, current_user;

   session_user               |   current_user
------------------------------+---------------------------
 sales-group@CORP.EXAMPLE.COM | sales-group@CORP.EXAMPLE.COM
(1 row)


babelfish_db=> select principal, gss_authenticated from pg_stat_gssapi where pid = pg_backend_pid();

     principal          | gss_authenticated
------------------------+-------------------
 user1@CORP.EXAMPLE.COM | t
(1 row)