Associar logins de grupos do T-SQL ao grupo de segurança do AD

É necessário provisionar explicitamente o login do grupo do T-SQL Windows para cada grupo de segurança do AD que exija acesso ao servidor de banco de dados. Um usuário do AD, que faz parte de pelo menos um grupo de segurança do AD provisionado, terá acesso ao servidor de banco de dados.

Por exemplo, accounts-group é um grupo de segurança no AD. Se você quiser provisionar esse grupo de segurança no Babelfish, deverá usar o formato [corp\accounts-group].

Agora o administrador pode continuar criando o mapeamento entre o grupo de segurança do AD e o login do T-SQL por meio do endpoint do PostgreSQL pelo comando psql a seguir. Para ter mais informações sobre o uso de funções, consulte Usar funções da extensão pg_ad_mapping.

postgres=>select pgadmap_set_mapping('accounts-group', 'accounts-group@CORP.EXAMPLE.COM', <SID>, <Weight>);

Para ter informações sobre como recuperar o SID do grupo de segurança do AD, consulte Recuperar o SID do grupo do Active Directory no PowerShell.

A tabela a seguir mostra um exemplo de mapeamento dos grupos de segurança do AD para logins do T-SQL:

postgres=> select admap.ad_sid, admap.ad_grp, lgn.orig_loginname, lgn.rolname, admap.weight from pgadmap_read_mapping() as admap, sys.babelfish_authid_login_ext as lgn where admap.pg_role = lgn.rolname;
    ad_sid    |     ad_grp     |    orig_loginname   |             rolname             | weight
--------------+----------------+---------------------+---------------------------------+--------
 S-1-5-67-890 | accounts-group | corp\accounts-group  | accounts-group@CORP.EXAMPLE.COM |     7
 S-1-2-34-560 | sales-group    | corp\sales-group     | sales-group@CORP.EXAMPLE.COM    |     10
 S-1-8-43-612 | dev-group      | corp\dev-group       | dev-group@CORP.EXAMPLE.COM      |     7
 (7 rows)