Memetakan login grup T-SQL dengan grup keamanan AD - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memetakan login grup T-SQL dengan grup keamanan AD

Anda perlu secara eksplisit menyediakan Login Grup Windows T-SQL untuk setiap grup keamanan AD yang memerlukan akses ke server database. Pengguna AD, yang merupakan bagian dari setidaknya satu grup keamanan AD yang disediakan, akan mendapatkan akses ke server database.

catatan

Login T-SQL ini tidak dapat lagi mengautentikasi menggunakan otentikasi berbasis kata sandi.

Misalnya, grup akun adalah grup keamanan di AD dan jika Anda ingin menyediakan grup keamanan ini di Babelfish, Anda harus menggunakan format [corp\ accounts-group].

  • Grup Keamanan AD: grup akun

  • Login TSQL: [corp\ akun-grup]

  • Peran PG setara untuk Login TSQL yang diberikan: accounts-group@CORP.EXAMPLE.COM

Admin sekarang dapat melanjutkan untuk membuat pemetaan antara grup keamanan AD dan login T-SQL dari titik akhir PostgreSQL melalui perintah psql berikut. Untuk informasi selengkapnya tentang penggunaan fungsi, lihatMenggunakan fungsi dari pg_ad_mapping ekstensi.

catatan

Login T-SQL harus ditentukan dalam format login_name @FQDN sambil menambahkan pemetaan. Bobot diabaikan saat menghubungkan melalui titik akhir TDS. Untuk informasi selengkapnya tentang penggunaan bobot, lihatMenghubungkan ke Babelfish melalui titik akhir PostgreSQL pada port PostgreSQL.

postgres=>select pgadmap_set_mapping('accounts-group', 'accounts-group@CORP.EXAMPLE.COM', <SID>, <Weight>);

Untuk informasi tentang mengambil SID grup keamanan AD, lihatMengambil SID Grup Direktori Aktif di PowerShell.

Tabel berikut menunjukkan contoh pemetaan dari grup keamanan AD ke login T-SQL:

Grup Keamanan AD Login TSQL Peran PG yang setara untuk Login TSQL yang diberikan Bobot

akun-grup

[korp\ akun-grup]

accounts-group@CORP.EXAMPLE.COM

7

kelompok penjualan

[corp\ kelompok penjualan]

sales-group@CORP.EXAMPLE.COM

10

kelompok pengembang

[korp\ dev-grup]

dev-group@CORP.EXAMPLE.COM

7

 

postgres=> select admap.ad_sid, admap.ad_grp, lgn.orig_loginname, lgn.rolname, admap.weight from pgadmap_read_mapping() as admap, sys.babelfish_authid_login_ext as lgn where admap.pg_role = lgn.rolname;
    ad_sid    |     ad_grp     |    orig_loginname   |             rolname             | weight
--------------+----------------+---------------------+---------------------------------+--------
 S-1-5-67-890 | accounts-group | corp\accounts-group  | accounts-group@CORP.EXAMPLE.COM |     7
 S-1-2-34-560 | sales-group    | corp\sales-group     | sales-group@CORP.EXAMPLE.COM    |     10
 S-1-8-43-612 | dev-group      | corp\dev-group       | dev-group@CORP.EXAMPLE.COM      |     7
 (7 rows)