LDAPログインのロールの追加
認証(1-1マッピング)用に提供されたユーザー名を照合することで、DSEロールを割り当てます。
ロール・マネージャーは、認証用に提供されたユーザー名をDSEロール名と照合することにより、DSEロールを割り当てます。データベースにアクセスする必要がある各LDAPユーザーのロールを作成します。
ヒント: LDAPユーザー名属性は、UID(オープンLDAP)やSamAccountName(Microsoft Active Directory)など、user_search_filterで定義されます。
手順
-
ユーザー名に一致するログイン・ロールを作成します。CREATE ROLE ldap_user_role WITH LOGIN = true;
- ldap_user_role - オーセンティケーターからロール・マネージャーに渡されるユーザー名。文字列は、大文字と小文字を含め、ユーザーがログイン時に入力した文字列です。
- LOGIN - データベースへのユーザー基本アクセスを許可するために必要です。
- SUPERUSER - 完全なデータベース・アクセスをアクセス権を付与します。ただし、パーミッションが制限されているオブジェクトを除きます(「データへのアクセスの制限」を参照)。
注意: パスワードを設定しないでください。 -
割り当てを認証スキームにバインドします。
GRANT EXECUTE on LDAP SCHEME to ldap_user_role;
-
新しいロールを管理するための別のロールを許可するには、次のようにします。
GRANT AUTHORIZE FOR ALTER, DROP ON new_role_name TO management_role;ヒント: すべてのスーパーユーザーは、すべてのロールに対する承認パーミッションを持ちます。このロールを作成したロールは、そのロールへのすべてのパーミッションが付与されます。