This page documents AlloyDB Omni version 16.8.0 using the containers deployment option. Choose a different deployment option.

Diese Seite wurde von der Cloud Translation API übersetzt.

Unterstützung für Active Directory-Gruppen in AlloyDB Omni einbinden

Wählen Sie eine Dokumentationsversion aus:

Auf dieser Seite wird beschrieben, wie Sie die gruppenbasierte Authentifizierung und Autorisierung von Active Directory in AlloyDB Omni einrichten und verwalten. Die Active Directory-Gruppenunterstützung automatisiert die Verwaltung von PostgreSQL-Rollenmitgliedschaften basierend auf den Gruppenmitgliedschaften eines Nutzers in Ihrem Active Directory. Dadurch wird die Nutzerverwaltung optimiert und dafür gesorgt, dass Berechtigungen synchronisiert werden.

Weitere Informationen finden Sie unter Active Directory – Übersicht.

Workflow für die Integration in Active Directory

Die Active Directory-Integration wird mithilfe einer PostgreSQL-Erweiterung (google_pg_auth) implementiert, wie im folgenden Workflow dargestellt:

Nutzeranmeldung: Ein Nutzer authentifiziert sich mit seinen Standard-Active Directory-Anmeldedaten über GSSAPI bei AlloyDB Omni.
Automatische Rollenerstellung: Wenn für den Nutzer keine entsprechende PostgreSQL-Rolle vorhanden ist, wird automatisch eine erstellt, z. B. CREATE ROLE "user@REALM" WITH LOGIN;.
LDAP-Gruppenprüfung: Das System stellt über LDAP eine sichere Verbindung zu Ihrem Active Directory her, um die aktuellen Gruppenmitgliedschaften des Nutzers abzurufen.
Mitgliedschaftssynchronisierung: Das System vergleicht die Active Directory-Gruppen des Nutzers mit den von Ihnen konfigurierten Zuordnungen.
- Wenn der Nutzer in einer zugeordneten Active Directory-Gruppe, aber nicht in der entsprechenden PostgreSQL-Gruppe ist, wird ihm die Mitgliedschaft gewährt.
- Wenn der Nutzer nicht in einer zugeordneten Active Directory-Gruppe, aber in der entsprechenden PostgreSQL-Gruppe ist, wird die Mitgliedschaft des Nutzers widerrufen.
Anmeldung abgeschlossen: Die Verbindung des Nutzers ist abgeschlossen und er ist in der Datenbank angemeldet. Die Berechtigungen des Nutzers werden durch die PostgreSQL-Rollen bestimmt, denen er angehört. Diese sind mit seinem Active Directory-Gruppenstatus synchronisiert.

Diese Synchronisierung erfolgt automatisch bei jeder Nutzeranmeldung. So wird sichergestellt, dass die PostgreSQL-Zugriffsrechte den aktuellen Status Ihres Active Directory widerspiegeln.

Hinweise

Bevor Sie die Unterstützung für Active Directory-Gruppen in AlloyDB Omni einbinden, müssen Sie die folgenden Anforderungen erfüllen.

GSSAPI-Authentifizierung: Die GSSAPI-basierte Authentifizierung muss für Ihre AlloyDB Omni-Instanz konfiguriert und betriebsbereit sein. Weitere Informationen finden Sie unter Active Directory in AlloyDB Omni einbinden.
PostgreSQL-Gruppenrollen: Sie müssen die PostgreSQL-Gruppenrollen, die Sie Active Directory-Gruppen zuordnen möchten, manuell erstellen, wie im folgenden Beispiel gezeigt:
```
CREATE ROLE 'postgres_developers';
CREATE ROLE 'postgres_read_only';
```
Berechtigungen: Sie müssen die Datenbankberechtigungen, z. B. SELECT und INSERT, diesen PostgreSQL-Gruppenrollen manuell zuweisen. Die Integration verwaltet nur die Mitgliedschaft, nicht aber die Berechtigungen der Gruppen selbst, wie im folgenden Beispiel gezeigt:
```
GRANT SELECT ON ALL TABLES IN SCHEMA sales TO postgres_read_only;
GRANT USAGE ON SCHEMA finance TO postgres_developers;
GRANT USAGE ON SCHEMA sales TO postgres_read_only;
GRANT SELECT, INSERT ON finance.transactions TO postgres_developers;
```

Unterstützung für Active Directory-Gruppen konfigurieren

Wenn Sie die Unterstützung von Active Directory-Gruppen in AlloyDB Omni konfigurieren möchten, aktivieren Sie die Erweiterung google_pg_auth, geben Sie Ihre Active Directory-Details in der Datei postgresql.conf an und verwalten Sie Anmeldedaten sicher.

Geben Sie das LDAP-Passwort ein.

Sie müssen das Passwort für das Dienstkonto ldap_bind_dn für den AlloyDB Omni-Container über die Umgebungsvariable AD_LDAP_PASSWORD angeben, wie im folgenden Beispiel gezeigt:

docker run -d --name CONTAINER_NAME \
          -e POSTGRES_PASSWORD=NEW_PASSWORD \
          -e AD_LDAP_PASSWORD=AD_LDAP_PASSWORD \
          -vDATA_DIR:/var/lib/postgresql/data \
          -p HOST_PORT:5432 \
          --restart=always \
          google/alloydbomni:IMAGE_TAG

Aktivieren Sie die Erweiterung google_pg_auth.
1. Fügen Sie in Ihrer postgresql.conf-Datei die folgenden Parameter hinzu oder ändern Sie sie, um die Erweiterung zu aktivieren und die LDAP-Verbindung zu konfigurieren. Die Datei postgresql.conf befindet sich im Datenverzeichnis, das Sie beim Start des AlloyDB Omni-Images eingebunden haben.
```
# ---------------------------------------------------------------------------
# ALLOYDB ACTIVE DIRECTORY INTEGRATION SETTINGS
# ---------------------------------------------------------------------------

google_pg_auth.enable_auth = on
google_pg_auth.ldap_uri = "AD_LDAP_SERVER_HOST"
google_pg_auth.ldap_base_dn = AD_LDAP_BASE_DN
google_pg_auth.ldap_bind_dn = AD_LDAP_BIND_DN
google_pg_auth.auth_cache_ttl_sec = 3600
```
  Ersetzen Sie die folgenden Werte:
  - AD_LDAP_SERVER_HOST: der URI für Ihren Active Directory-LDAP-Server, z. B. ldap://ad-controller.example.com.
  - AD_LDAP_BASE_DN: Der Base-Distinguished-Name (DN) für die Ausführung von LDAP-Suchvorgängen, z. B. DC=example,DC=com.
  - AD_LDAP_BIND_DN: Der Distinguished Name (DN) des Active Directory-Nutzerkontos, das AlloyDB Omni zum Herstellen einer Verbindung und zum Ausführen von LDAP-Suchvorgängen verwendet, z. B. setupadmin@ad-example.com.
  - auth_cache_ttl_sec ist die verstrichene Zeit, bis die Daten von AlloyDB Omni pro Nutzer im Cache gespeichert werden, bevor AlloyDB Omni versucht, den LDAP-Server noch einmal zu kontaktieren. Der Wert von auth_cache_ttl_sec kann zwischen mindestens 60 Sekunden und maximal 86.400 Sekunden (24 Stunden) liegen.
2. Fügen Sie google_pg_auth dem Parameter shared_preload_libraries in postgresql.conf hinzu.
3. Fügen Sie der Datei postgresql.conf die folgende Zeile hinzu:
```
shared_preload_libraries='google_pg_auth,google_columnar_engine,google_job_scheduler,google_storage'
```
4. Starten Sie die Datenbank neu.
```
docker restart CONTAINER_NAME
```
Konfigurieren Sie das LDAPS-Zertifikat.

Für eine sichere Verbindung zu Ihrem Active Directory-Server über LDAPS benötigen Sie ein Zertifizierungsstellenzertifikat.

Platzieren Sie die LDAPS-Zertifikatsdatei am folgenden vordefinierten Speicherort im AlloyDB Omni-Image: /etc/ldap/ldap.crt.

Gruppenzuordnungen verwalten

Sie können Zuordnungen zwischen Active Directory-Gruppen und PostgreSQL-Rollen mit SQL-Funktionen erstellen und verwalten.

docker exec -it CONTAINER_NAME psql -h localhost -U postgres
postgres=# CREATE EXTENSION google_pg_auth;
CREATE EXTENSION

Gruppenzuordnung erstellen

Wenn Sie eine Active Directory-Gruppe einer PostgreSQL-Gruppenrolle zuordnen möchten, die Sie bereits erstellt haben, verwenden Sie die Funktion map_ad_group():

SELECT google_pg_auth.map_ad_group(ad_group_name TEXT, ad_group_sid TEXT, pg_role_name TEXT);

Wenn Sie beispielsweise die Active Directory-Gruppe ad-developers der PostgreSQL-Rolle pg-developers zuordnen möchten, verwenden Sie den folgenden Befehl:

SELECT google_pg_auth.map_ad_group('ad-developers', 'S-1-5-21-.....', 'postgres_read_only');

Verwenden Sie den folgenden Befehl auf Ihrem Active Directory-Server, um die SID für eine bestimmte Gruppe in Active Directory abzurufen:

C:\Users\Admin> Get-ADGroup -Identity ad-developers | select SID

             SID
-----------------------------------------------
S-1-5-21-3168537779-1985441202-1799118680-1612

Gruppenzuordnung entfernen

Verwenden Sie die Funktion unmap_ad_group(), um eine vorhandene Zuordnung zu entfernen. Mit dieser Funktion wird die Synchronisierung für diese Gruppe beendet. Nutzer werden jedoch nicht aus der PostgreSQL-Gruppe entfernt, wenn sie bereits Mitglieder sind.

SELECT google_pg_auth.unmap_ad_group(ad_group_sid TEXT, pg_role_name TEXT);

Sehen Sie sich folgendes Beispiel an:

SELECT google_pg_auth.unmap_ad_group('quinn@google.com', 'postgres_read_only');

Verbindung zur AlloyDB Omni-Datenbank herstellen

Melden Sie sich mit dem Active Directory-Nutzer in der AlloyDB Omni-Datenbank an. Sie müssen kinit in dem Client aktivieren, mit dem Sie eine Verbindung herstellen.

Im folgenden Beispiel sind im postgres-client-Pod kinit und psql installiert. Er ist so konfiguriert, dass er mit dem psql-Client eine Verbindung zum AlloyDB Omni-Cluster herstellt.

root@postgres-client:/# kinit AD_USER_NAME
Password for user1REALM:

root@postgres-client:/# psql -h ALLOYDB_SERVER_HOST_NAME -U AD_USER_NAME@REALM -d postgres
psql (16.6 (Ubuntu 16.6-0ubuntu0.24.04.1), server 16.3)
GSSAPI-encrypted connection
Type "help" for help.

user1=#

Ihr Zugriff in der AlloyDB Omni-Datenbank wird automatisch anhand der folgenden Kriterien bestimmt:

Ihre aktuelle Mitgliedschaft in Active Directory-Gruppen.
Die vom Administrator definierten Zuordnungen zwischen diesen Active Directory-Gruppen und PostgreSQL-Rollen.
Die Berechtigungen, die der Administrator diesen PostgreSQL-Rollen gewährt hat.

Wenn Sie zum ersten Mal eine Verbindung herstellen, wird Ihre PostgreSQL-Nutzerrolle (your_ad_user@YOURDOMAIN.COM) automatisch erstellt.

Bei jeder Anmeldung prüft das System Ihre aktuellen Active Directory-Gruppenmitgliedschaften und aktualisiert Ihre entsprechenden PostgreSQL-Rollenmitgliedschaften entsprechend. Sie müssen keine besonderen Maßnahmen ergreifen, damit diese Synchronisierung erfolgt.

Beispiel für eine Datenbankverbindung

Angenommen, der Nutzer Quinn ist Mitglied der Active Directory-Gruppe ad_developers. Der Administrator hat ad_developers einer PostgreSQL-Rolle mit dem Namen pg_read_only zugeordnet. Diese Rolle hat Lesezugriff auf eine Tabelle namens sales. Wenn sich der Nutzer anmeldet, kann er auf die Tabelle zugreifen.

root@postgres-client:/# kinit quinn@REALM
Password for quinn@YOUR.REALM:

root@postgres-client:/# psql -h ALLOYDB_SERVER_HOST_NAME -U quinn@REALM -d postgres
psql (16.6 (Ubuntu 16.6-0ubuntu0.24.04.1), server 16.3)
GSSAPI-encrypted connection
Type "help" for help.

postgres=# select * from sales;
// Query will be run successfully

Im folgenden Beispiel wird Quinn aus der Gruppe ad_developers in Active Directory entfernt:

root@postgres-client:/# kinit quinn@REALM
Password for quinn@YOUR.REALM:

root@postgres-client:/# psql -h ALLOYDB_SERVER_HOST_NAME -U quinn@REALM -d postgres
psql (16.6 (Ubuntu 16.6-0ubuntu0.24.04.1), server 16.3)
GSSAPI-encrypted connection
Type "help" for help.

postgres=# select * from sales;
// Query will fail

Beschränkungen

Manuelle Gruppen- und Berechtigungsverwaltung: Mit diesem Feature wird nur die Mitgliedschaft von Nutzern in vorhandenen PostgreSQL-Gruppen automatisiert. Das Erstellen dieser Gruppen und das Erteilen ihrer Berechtigungen bleibt eine manuelle Verwaltungsaufgabe.
Synchronisierungslatenz: Die Mitgliedschaft wird erst synchronisiert, wenn sich ein Nutzer anmeldet. Änderungen an der Gruppenmitgliedschaft eines Nutzers in Active Directory werden erst bei der nächsten Anmeldesitzung des Nutzers in AlloyDB Omni übernommen.
Leistung: Die LDAP-Suche führt zu einer geringen Latenz beim ersten Anmeldevorgang des Nutzers. Durch das Caching wird diese Latenz für nachfolgende Anmeldungen innerhalb der konfigurierten Gültigkeitsdauer (auth_cache_ttl_sec) reduziert.
Fehlerbehandlung: Wenn der LDAP-Server nicht erreichbar ist oder andere Fehler während der Synchronisierung auftreten, protokolliert AlloyDB Omni den Fehler. Die Anmeldung des Nutzers ist jedoch weiterhin erfolgreich, da die GSSAPI-Authentifizierung erfolgreich war. Nur die Synchronisierung der Gruppenmitgliedschaft für diese Sitzung schlägt fehl.