Auf dieser Seite wird die AlloyDB Omni-Version 18.1.0 mit der Bereitstellungsoption Container dokumentiert. Wählen Sie eine andere Bereitstellungsoption aus.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Unterstützung von Active Directory-Nutzern in AlloyDB Omni einbinden

Wählen Sie eine Dokumentationsversion aus:

Auf dieser Seite wird beschrieben, wie Sie AlloyDB Omni in Ihre vorhandene Active Directory -Implementierung einbinden, damit Sie mit Ihren vorhandenen Nutzernamen und Passwörtern auf Ihre AlloyDB Omni-Datenbank zugreifen können. Bei der Active Directory-Einbindung wird Kerberos als Standardauthentifizierungsmechanismus für die Kommunikation mit AlloyDB Omni verwendet. Weitere Informationen finden Sie unter Active Directory.

Die Active Directory-Konfiguration in AlloyDB Omni ist optional und standardmäßig deaktiviert. Dieser Konfigurationsmechanismus kann nur in Umgebungen verwendet werden, in denen Active Directory Server für die Authentifizierung verwendet wird.

Hinweis

Prüfen Sie vor der Einbindung von Active Directory, ob Sie die folgenden Anforderungen erfüllen:

Achten Sie darauf, dass Active Directory eingerichtet ist.
Rufen Sie den REALM des Active Directory-Servers ab.
Rufen Sie den Hostnamen des Key Distribution Center (KDC) des Active Directory Servers ab. Der Hostname wird in den Docker-Images gespeichert.
Rufen Sie den Hostnamen des Admin-Servers des Active Directory-Servers ab. Dieser Hostname wird in den Docker-Images gespeichert.
Achten Sie darauf, dass Sie Zugriff auf den Active Directory-Server haben, damit Sie eine .keytab-Datei generieren können.
Wählen Sie einen Active Directory-Nutzer für Tests und Anmeldungen aus.
Rufen Sie eine .keytab-Datei vom vorhandenen Active Directory-Server ab.

` .keytab`-Datei vom vorhandenen Active Directory-Server abrufen

So rufen Sie eine Keytab-Datei vom Active Directory-Server ab: Folgen Sie diesen Schritten:

Melden Sie sich als Administrator im PowerShell-Terminal des Active Directory-Servers an.
Erstellen Sie mit dem folgenden Befehl oder über die Active Directory-Benutzeroberfläche einen Nutzer namens postgres.

  New-ADUser -Name "postgres" `
               -SamAccountName "postgres" `
               -UserPrincipalName "postgres@REALM" `
               -Description "Service Account for AlloyDB Omni PostgreSQL Kerberos Authentication" `
               -AccountPassword (Read-Host -AsSecureString "Set a strong password for the postgres service account") `
               -Enabled $true `
               -PasswordNeverExpires $true

Generieren Sie eine Keytab-Datei für den Dienstprinzipal, die diesem Active Directory Server zugeordnet ist.

  ktpass /princ postgres/ALLOYDB_HOST_NAME@REALM /Pass ChangeMe123 /mapuser postgres /crypto ALL /ptype KRB5_NT_PRINCIPAL /mapOp set /out C:\Users\Public\postgres.keytab

Dabei ist <HOST> der vollständig qualifizierte Domainname des Servers, auf dem Sie AlloyDB Omni bereitstellen möchten, z. B. alloydb-server.ad.example.com. Sie müssen denselben Host in der krb5.conf Datei in Ihrer Domain-Realm-Zuordnung konfigurieren.

Kopieren Sie die Keytab-Datei auf Ihren Linux-Computer.

Active Directory-Authentifizierung aktivieren

So aktivieren Sie die Active Directory-Authentifizierung in AlloyDB Omni. Dazu müssen Sie das Generic Security Service Application Program Interface (GSSAPI) konfigurieren. Das ist eine Anwendungsprogrammierschnittstelle, mit der Programme auf Sicherheitsdienste zugreifen können.

Fügen Sie der /var/lib/postgresql/data/pg_hba.conf Datei vor dem
host all all all scram-sha-256 Eintrag die folgenden Einträge hinzu.
1. Führen Sie den folgenden Docker-Befehl aus, um gss im Container hinzuzufügen:
```
docker exec CONTAINER_NAME sed -i 's;^host all all all scram-sha-256$;hostgssenc all all 0.0.0.0/0 gss map=gssmap\n&;' /var/lib/postgresql/data/pg_hba.conf
```
2. Führen Sie den folgenden Docker-Befehl aus, um zu prüfen, ob sich die Datei pg_hba.conf im Container befindet:
```
docker exec CONTAINER_NAME cat /var/lib/postgresql/data/pg_hba.conf
```
3. Prüfen Sie, ob die Datei den folgenden Eintrag enthält:
```
hostgssenc all all 0.0.0.0/0 gss map=gssmap
```
  Weitere Informationen finden Sie in der Datei pg_hba.conf.
Kopieren Sie die Keytab-Datei in das Datenverzeichnis im AlloyDB Omni-Image.
```
docker cp PATH TO KEYTAB FILE CONTAINER_NAME:/var/lib/postgresql/data/alloydb.keytab
docker exec CONTAINER_NAME chmod 600 /var/lib/postgresql/data/alloydb.keytab
docker exec CONTAINER_NAME chown postgres:postgres /var/lib/postgresql/data/alloydb.keytab
```
Hinweis: Die Keytab-Datei muss dem PostgreSQL-Nutzer gehören und die Berechtigungen 600 haben.

Die Keytab-Datei wird von Kerberos für den PostgreSQL-Server generiert. Weitere Informationen zur Authentifizierung finden Sie unter GSSAPI-Authentifizierung.
Fügen Sie der /var/lib/postgresql/data/DATA_DIR/postgresql.conf Datei einen Eintrag für die Keytab-Datei hinzu.
1. Führen Sie den folgenden Docker-Befehl aus, um den Eintrag im Container hinzuzufügen:
```
docker exec CONTAINER_NAME sed -i '$akrb_server_keyfile='"'"'/var/lib/postgresql/data/alloydb.keytab'"'" /var/lib/postgresql/data/postgresql.conf
```
2. Führen Sie den folgenden Docker-Befehl aus, um die Datei postgresql.conf im Container zu prüfen:
```
docker exec CONTAINER_NAME tail  /var/lib/postgresql/data/postgresql.conf
```
3. Prüfen Sie, ob die Datei den folgenden Eintrag enthält:
```
krb_server_keyfile=/var/lib/postgresql/data/alloydb.keytab
```
  Weitere Informationen finden Sie unter krb_server_keyfile.
Optional: Fügen Sie der Datei /var/lib/postgresql/data/DATA_DIR/pg_ident.conf Einträge hinzu.

Wenn Sie ein externes Authentifizierungssystem wie GSSAPI verwenden, stimmt der Name des Betriebssystemnutzers, der die Verbindung initiiert hat, möglicherweise nicht mit dem Datenbanknutzer (der Rolle) überein, den Sie verwenden möchten.

Geben Sie in diesem Fall die Zuordnung von Systemnutzer zu PostgreSQL-Nutzer in der /var/lib/postgresql/data/DATA_DIR/pg_ident.conf Datei an:
```
docker exec -it CONTAINER_NAME bash
$ echo -e "
gssmap              /^(.*)@EXAMPLE\.COM$     \1
gssmap              /^(.*)@example\.com$     \1
" | column -t | tee -a /var/lib/postgresql/data/pg_ident.conf
```
Wenn Sie die Zuordnung von Nutzernamen implementieren möchten, geben Sie im Feld „Optionen“ in der Datei pg_hba.conf map=gssmap an.

Weitere Informationen zur Identitätszuweisung finden Sie unter Identitätszuweisungen.

Laden Sie die PostgreSQL-Konfigurationen mit dem folgenden Befehl neu:

docker exec -it CONTAINER_NAME psql -h localhost -U postgres
psql (16.3)
Type "help" for help.
postgres=# select pg_reload_conf();

Active Directory-Authentifizierung testen

So prüfen Sie, ob die Active Directory-Authentifizierung funktioniert:

Melden Sie sich mit kinit in Active Directory an.
Führen Sie den folgenden psql-Befehl auf dem Computer aus, auf dem Sie normalerweise kinit ausführen:
```
root@4f6414ad02ef:/# kinit AD_USER_NAME
Password for user1@YOUR.REALM:

root@4f6414ad02ef:/# psql --h ALLOYDB_SERVER_HOST_NAME -U AD_USER_NAME
psql (16.6 (Ubuntu 16.6-0ubuntu0.24.04.1), server 16.3)
GSSAPI-encrypted connection
Type "help" for help.

user1=#
```
Hinweis: Damit die Active Directory-Authentifizierung funktioniert, muss der Nutzer in Active Directory eine Rolle in AlloyDB Omni haben oder eine gültige Zuordnung in der Datei pg_ident.conf haben.

Active Directory-Authentifizierung deaktivieren

So deaktivieren Sie die Active Directory-Authentifizierung in AlloyDB Omni. Dadurch wird auch GSSAPI deaktiviert:

Entfernen Sie in der Datei pg_hba.conf Einträge, die auf die Authentifizierungsmethode gss verweisen:

docker exec CONTAINER_NAME sed -i '/hostgssenc all all 0.0.0.0\/0 gss map=gssmap/d' /var/lib/postgresql/data/pg_hba.conf