Impostazione dell’autenticazione Kerberos utilizzando i gruppi di sicurezza Active Directory per Babelfish - Amazon Aurora
Configurazione dell’estensione pg_ad_mappingGestione degli accessi di gruppoAudit e registrazione dei log

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione dell’autenticazione Kerberos utilizzando i gruppi di sicurezza Active Directory per Babelfish

A partire da Babelfish versione 4.2.0, è possibile configurare l’autenticazione Kerberos per Babelfish con i gruppi di sicurezza Active Directory. Di seguito sono riportati i prerequisiti da soddisfare per configurare l’autenticazione Kerberos tramite Active Directory:

  • È necessario seguire tutti i passaggi indicati in Autenticazione Kerberos con Babelfish.

  • Assicurati che l’istanza database sia associata ad Active Directory. Puoi visualizzare lo stato dell’appartenenza al dominio nella console o eseguendo il comando AWS CLI describe-db-instances.

    Lo stato dell’istanza database deve essere Kerberos abilitato. Per ulteriori informazioni sull’appartenenza al dominio, consulta Appartenenza al dominio.

  • Verifica le mappature tra il nome di dominio NetBIOS e il nome di dominio DNS utilizzando la seguente query:

    
SELECT netbios_domain_name, fq_domain_name FROM babelfish_domain_mapping;

  • Prima di procedere, verifica che l’autenticazione Kerberos tramite singolo accesso funzioni come previsto. La connessione che utilizza l’autenticazione Kerberos come utente di Active Directory deve avere esito positivo. In caso di problemi, consulta Errori frequenti.

Configurazione dell’estensione pg_ad_mapping

È necessario seguire tutti i passaggi indicati in Configurazione dell’estensione pg_ad_mapping. Per verificare che l’estensione sia installata, esegui la seguente query dall’endpoint TDS: 

1> SELECT extname, extversion FROM pg_extension where extname like 'pg_ad_mapping';
2> GO
extname       extversion
------------- ----------
pg_ad_mapping 0.1

(1 rows affected)

Gestione degli accessi di gruppo

Crea gli accessi di gruppo seguendo i passaggi indicati in Gestione degli accessi. Sebbene non sia obbligatorio, è consigliabile che il nome di accesso sia uguale al nome del gruppo di sicurezza Active Directory (AD) per semplificare la manutenzione. Per esempio: 

CREATE LOGIN [corp\accounts-group] FROM WINDOWS [WITH DEFAULT_DATABASE=database]

Audit e registrazione dei log

Per determinare l’identità principale di sicurezza AD, utilizza i seguenti comandi: 


1> select suser_name();
2> GO
suser_name
----------
corp\user1

(1 rows affected)

Attualmente, l’identità dell’utente AD non è visibile nei log. È possibile attivare il parametro log_connections per registrare nei log l’istituzione della sessione di database. Per ulteriori informazioni, consulta log_connections. L’output include l’identità dell’utente AD come principale, come mostrato nell’esempio seguente. Il PID di backend associato a questo output può quindi aiutare ad attribuire le azioni all’utente AD effettivo.

bbf_group_ad_login@babelfish_db:[615]:LOG: connection authorized: user=bbf_group_ad_login database=babelfish_db application_name=sqlcmd GSS (authenticated=yes, encrypted=yes, principal=user1@CORP.EXAMPLE.COM)