Для авторизации в PostgreSQL через доменные группы используется LDAP. Сначала создается группа в Active Directory, которая определяет доступ к СУБД. В настройках PostgreSQL устанавливается правило авторизации, использующее LDAP для проверки логина, пароля и членства пользователя в нужной группе AD.
Скрипт на bash регулярно синхронизирует пользователей из AD в PostgreSQL. Он извлекает список членов нужной группы, используя специальную учетную запись, и создает соответствующих локальных пользователей в PostgreSQL, если их еще нет. Это позволяет пользователям авторизовываться в PostgreSQL с паролями от AD.
Правила авторизации в
Скрипт создания пользователей выполняется только на мастере кластера. Учитывается регистрозависимость имен пользователей в PostgreSQL и используется приведение имен к нижнему регистру для соответствия учетным записям AD. Это обеспечивает надежную и относительно простую схему управления доступом к PostgreSQL через доменные группы.
Изображение носит иллюстративный характер
Скрипт на bash регулярно синхронизирует пользователей из AD в PostgreSQL. Он извлекает список членов нужной группы, используя специальную учетную запись, и создает соответствующих локальных пользователей в PostgreSQL, если их еще нет. Это позволяет пользователям авторизовываться в PostgreSQL с паролями от AD.
Правила авторизации в
pg_hba.conf настроены так, что они последовательно проверяют подключения. Сначала идет проверка через LDAP. В правилах указывается сервер AD, учетная запись для чтения данных, фильтр для поиска пользователей в нужной группе и логин пользователя. Скрипт создания пользователей выполняется только на мастере кластера. Учитывается регистрозависимость имен пользователей в PostgreSQL и используется приведение имен к нижнему регистру для соответствия учетным записям AD. Это обеспечивает надежную и относительно простую схему управления доступом к PostgreSQL через доменные группы.
