Kerberos-Authentifizierung für Aurora My SQL DB-Cluster einrichten - Amazon Aurora
Erstellen eines Verzeichnisses (Optional) Erstellen einer VertrauensstellungErstellen Sie eine IAM-RolleErstellen und Konfigurieren von BenutzernErstellen oder Ändern eines DB-ClustersErstellen von AnmeldungenKonfigurieren Sie einen My SQL Client(Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/ Kleinschreibung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kerberos-Authentifizierung für Aurora My SQL DB-Cluster einrichten

Wird verwendet AWS Managed Microsoft AD , um die Kerberos-Authentifizierung für einen Aurora My SQL DB-Cluster einzurichten. Um die Kerberos-Authentifizierung einzurichten, führen Sie die folgenden Schritte aus.

Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD

AWS Directory Service erstellt ein vollständig verwaltetes Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service erstellt in Ihrem Namen zwei Domänencontroller und Domain Name System (DNS) -Server. Die Verzeichnisserver werden in verschiedenen Subnetzen in einem VPC erstellt. Diese Redundanz trägt dazu bei, dass Ihr Verzeichnis auch im Fehlerfall erreichbar bleibt.

Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service führt er in Ihrem Namen die folgenden Aufgaben aus:

  • Richtet ein Active Directory innerhalb der einVPC.

  • Erstellt ein Konto für den Verzeichnisadministrator mit dem Benutzernamen Admin und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

    Anmerkung

    Achten Sie darauf, dieses Passwort zu speichern. AWS Directory Service speichert es nicht. Sie können es zurücksetzen, aber Sie können es nicht abrufen.

  • Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.

Wenn Sie eine starten AWS Managed Microsoft AD, AWS erstellt eine Organisationseinheit (OU), die alle Objekte Ihres Verzeichnisses enthält. Diese Organisationseinheit hat den BIOS Netznamen, den Sie bei der Erstellung Ihres Verzeichnisses eingegeben haben. Sie befindet sich im Domänenstamm, der Eigentümer ist und von diesem verwaltet wird AWS.

Das Admin Konto, das mit Ihrem AWS Managed Microsoft AD Verzeichnis erstellt wurde, verfügt über Berechtigungen für die gängigsten Verwaltungsaktivitäten Ihrer Organisationseinheit, darunter:

  • Erstellen, Aktualisieren oder Löschen von Benutzern

  • Hinzufügen von Ressourcen zu Ihrer Domain, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer in der OU

  • Zusätzliche OUs Container erstellen

  • Delegieren von Befugnissen

  • Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb

  • Führen Sie AD- und DNS PowerShell Windows-Module im Active Directory-Webdienst aus

Das Admin-Konto hat auch die Berechtigung, die folgenden domänenweiten Aktivitäten durchzuführen:

  • DNSKonfigurationen verwalten (Datensätze, Zonen und Forwarder hinzufügen, entfernen oder aktualisieren)

  • DNSEreignisprotokolle anzeigen

  • Anzeigen von Sicherheitsereignisprotokollen

Um ein Verzeichnis zu erstellen mit AWS Managed Microsoft AD

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unter https://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus. Wählen Sie denn Set up Directory (Verzeichnis einrichten) aus.

  3. Wählen Sie AWS Managed Microsoft AD. AWS Managed Microsoft AD ist die einzige Option, die Sie derzeit bei Amazon verwenden könnenRDS.

  4. Geben Sie die folgenden Informationen ein:

    DNSName des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.

    BIOSNetzname des Verzeichnisses

    Die kurzen Namen für das Verzeichnis, z. B. CORP.

    Verzeichnisbeschreibung

    (Optional) Eine Beschreibung für das Verzeichnis.

    Administratorpasswort

    Das Passwort für den Verzeichnisadministrator. Während des Verzeichniserstellungsprozesses wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.

    Das Passwort für den Verzeichnisadministrator das nicht das Wort "admin" enthalten. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a–z)

    • Großbuchstaben (A–Z)

    • Zahlen (0–9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Passwort bestätigen

    Das wiederholte Administrator-Passwort.

  5. Wählen Sie Weiter.

  6. Geben Sie die folgenden Informationen in den Abschnitt Networking ein. Wählen Sie dann Next (Weiter) aus:

    VPC

    Der VPC für das Verzeichnis. Erstellen Sie den Aurora My SQL DB-Cluster in demselbenVPC.

    Subnetze

    Subnetze für die Verzeichnisserver. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  7. Prüfen Sie die Verzeichnisinformationen und nehmen Sie ggf. Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen).

    Verzeichnis-Detailseite während der Erstellung

Es dauert einige Minuten, bis das Verzeichnis erstellt wird. Wenn es erfolgreich erstellt wurde, ändert sich der Wert Status in Active (Aktiv).

Um Informationen über Ihr Verzeichnis anzuzeigen, wählen Sie den Verzeichnisnamen in der Verzeichnisliste aus. Notieren Sie sich den Wert für die Verzeichnis-ID, da Sie diesen Wert benötigen, wenn Sie Ihren Aurora My SQL DB-Cluster erstellen oder ändern.

Verzeichnis-ID auf der Seite mit den Verzeichnisdetails

Schritt 2: (Optional) Erstellen einer Vertrauensstellung für ein On-Premise-Active-Directory

Wenn Sie Ihr eigenes lokales Microsoft Active Directory nicht verwenden möchten, fahren Sie mit for Schritt 3: Erstellen Sie eine IAM Rolle zur Verwendung durch Amazon Aurora.

Um die Kerberos-Authentifizierung mit Ihrem lokalen Active Directory zu verwenden, müssen Sie eine vertrauensvolle Domänenbeziehung mithilfe einer Gesamtvertrauensstellung zwischen Ihrem lokalen Microsoft Active Directory und dem AWS Managed Microsoft AD Verzeichnis (erstellt in) einrichten. Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD Die Vertrauensstellung kann einseitig erfolgen, wobei das AWS Managed Microsoft AD -Verzeichnis dem lokalen Microsoft Active Directory vertraut. Die Vertrauensstellung kann auch bidirektional erfolgen, wobei beide Active Directories einander vertrauen. Weitere Informationen zum Einrichten von Vertrauensstellungen mithilfe von AWS Directory Service finden Sie unter Wann sollte eine Vertrauensstellung eingerichtet werden? im Administratorhandbuch.AWS Directory Service

Anmerkung

Verwendung eines lokalen Microsoft Active Directory:

  • Windows-Clients können keine Verbindung über benutzerdefinierten Aurora-Endpunkte herstellen. Weitere Informationen hierzu finden Sie unter Amazon Aurora Aurora-Endpunktverbindungen.

  • Globale Datenbanken:

    • Windows-Clients können sich nur über Instance- oder Cluster-Endpunkte in der primären AWS-Region der globalen Datenbank verbinden.

    • Windows-Clients können über sekundäre Clusterendpunkte keine Verbindung herstellen. AWS-Regionen

Stellen Sie sicher, dass Ihr lokaler Microsoft Active Directory-Domänenname ein DNS Suffix-Routing enthält, das der neu erstellten Vertrauensstellung entspricht. Im folgenden Screenshot wird ein Beispiel gezeigt.

DNSRouting entspricht der erstellten Vertrauensstellung

Schritt 3: Erstellen Sie eine IAM Rolle zur Verwendung durch Amazon Aurora

Damit Amazon Aurora für Sie anrufen AWS Directory Service kann, benötigen Sie eine AWS Identity and Access Management (IAM) -Rolle, die die verwaltete IAM Richtlinie verwendetAmazonRDSDirectoryServiceAccess. Diese Rolle ermöglicht es Aurora, Aufrufe an AWS Directory Service durchzuführen.

Wenn Sie mit dem AWS Management Console einen DB-Cluster erstellen und Sie die iam:CreateRole entsprechende Berechtigung haben, erstellt die Konsole diese Rolle automatisch. In diesem Fall lautet der Rollenname rds-directoryservice-kerberos-access-role. Andernfalls müssen Sie die IAM Rolle manuell erstellen. Wenn Sie diese IAM Rolle erstellenDirectory Service, wählen Sie die AWS verwaltete Richtlinie aus und fügen Sie sie ihr AmazonRDSDirectoryServiceAccess hinzu.

Weitere Informationen zum Erstellen von IAM Rollen für einen Dienst finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst im IAMBenutzerhandbuch.

Optional können Sie Richtlinien mit den erforderlichen Berechtigungen erstellen, anstatt die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess zu verwenden. In diesem Fall muss für die IAM Rolle die folgende IAM Vertrauensrichtlinie gelten.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Die Rolle muss auch über die folgende IAM-Rollenrichtlinie verfügen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Schritt 4: Anlegen und Konfigurieren von Benutzern

Sie können Benutzer mit dem Tool "Active Directory-Benutzer und -Computer" erstellen. Dieses Tool ist Teil der Tools Active Directory Domain Services und Active Directory Lightweight Directory Services. „Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben.

Um Benutzer in einem AWS Directory Service Verzeichnis zu erstellen, verwenden Sie eine lokale oder EC2 Amazon-Instance, die auf Microsoft Windows basiert und mit Ihrem AWS Directory Service Verzeichnis verknüpft ist. Gleichzeitig müssen Sie bei der Instance als Benutzer angemeldet sein, der über Berechtigungen zum Erstellen von Benutzern verfügt. Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen AWS Managed Microsoft AD im AWS Directory-Service-Administrationshandbuch.

Schritt 5: Einen Aurora My SQL DB-Cluster erstellen oder ändern

Erstellen oder ändern Sie einen Aurora My SQL DB-Cluster für die Verwendung mit Ihrem Verzeichnis. Sie können die Konsole oder verwenden AWS CLI, RDS API um einen DB-Cluster einem Verzeichnis zuzuordnen. Sie können diese Aufgabe mit einer der folgenden Methoden durchführen:

Die Kerberos-Authentifizierung wird nur für Aurora My SQL DB-Cluster in a unterstützt. VPC Der DB-Cluster kann sich im selben Verzeichnis VPC wie das Verzeichnis oder in einem anderen befinden. VPC Die DB-Cluster VPC müssen über eine VPC Sicherheitsgruppe verfügen, die ausgehende Kommunikation mit Ihrem Verzeichnis ermöglicht.

Wenn Sie die Konsole zum Erstellen, Ändern oder Wiederherstellen eines DB-Clusters verwenden, wählen Sie Kerberos-Authentifizierung im Datenbank-Authentifizierung-Abschnitt. Wählen Sie Verzeichnis durchsuchen und dann das Verzeichnis aus, oder klicken Sie auf Neues Verzeichnis erstellen.

Kerberos-Authentifizierungseinstellung beim Erstellen eines DB-Clusters

Wenn Sie das AWS CLI oder verwenden RDSAPI, verknüpfen Sie einen DB-Cluster mit einem Verzeichnis. Die folgenden Parameter sind erforderlich, damit der DB-Cluster das von Ihnen erstellte Domain-Verzeichnis verwendet:

  • Für den --domain-Parameter verwenden Sie den Domänenbezeichner („d-*“-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde.

  • Verwenden Sie für den --domain-iam-role-name Parameter die Rolle, die Sie erstellt haben und die die verwaltete IAM Richtlinie verwendetAmazonRDSDirectoryServiceAccess.

Mit dem folgenden CLI Befehl wird beispielsweise ein DB-Cluster so geändert, dass er ein Verzeichnis verwendet.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --domain d-ID \
    --domain-iam-role-name role-name

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --domain d-ID ^
    --domain-iam-role-name role-name
Wichtig

Wenn Sie einen DB-Cluster ändern, um die Kerberos-Authentifizierung zu aktivieren, starten Sie die Reader-DB-Instances neu, nachdem Sie die Änderung vorgenommen haben.

Schritt 6: Aurora SQL My-Benutzer erstellen, die die Kerberos-Authentifizierung verwenden

Der DB-Cluster ist mit der AWS Managed Microsoft AD Domäne verbunden. Somit können Sie Aurora SQL My-Benutzer aus den Active Directory-Benutzern in Ihrer Domain erstellen. Datenbankberechtigungen werden über SQL Standardberechtigungen von Aurora My verwaltet, die diesen Benutzern gewährt und ihnen entzogen werden.

Sie können einem Active Directory-Benutzer erlauben, sich bei Aurora My SQL zu authentifizieren. Verwenden Sie dazu zunächst die RDS primären Benutzeranmeldedaten von Amazon, um wie bei jedem anderen SQL DB-Cluster eine Verbindung zum Aurora My DB-Cluster herzustellen. Nachdem Sie angemeldet sind, erstellen Sie einen extern authentifizierten Benutzer mit Kerberos-Authentifizierung in Aurora My, SQL wie hier gezeigt:

CREATE USER user_name@'host_name' IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';

  • Ersetzen Sie user_name durch den Benutzernamen. Benutzer (sowohl Menschen als auch Anwendungen) aus Ihrer Domain können sich nun über einen der Domain beigetretenen Client per Kerberos-Authentifizierung mit dem DB-Cluster verbinden.

  • Ersetzen Sie host_name durch den Hostnamen. Sie können % als Platzhalter verwenden. Sie können auch bestimmte IP-Adressen für den Hostnamen verwenden.

  • Ersetzen Sie es realm_name durch den Namen des Verzeichnisbereichs der Domäne. Der Bereichsname ist in der Regel derselbe wie der DNS Domainname in Großbuchstaben, wie CORP.EXAMPLE.COM z. Ein Bereich ist eine Gruppe von Systemen, die dasselbe Kerberos Key Distribution Center verwenden.

Im folgenden Beispiel wird ein Datenbankbenutzer mit dem Namen Admin erstellt, der sich gegenüber dem Active Directory mit dem Bereichsnamen MYSQL.LOCAL authentifiziert.

CREATE USER Admin@'%' IDENTIFIED WITH 'authentication_kerberos' BY 'MYSQL.LOCAL';

Änderung eines bestehenden Aurora SQL My-Logins

Sie können auch ein vorhandenes Aurora SQL My-Login so ändern, dass es die Kerberos-Authentifizierung verwendet, indem Sie die folgende Syntax verwenden:

ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';

Schritt 7: Konfigurieren Sie einen My Client SQL

Gehen Sie wie folgt vor, um einen My SQL Client zu konfigurieren:

  1. Erstellen Sie eine krb5.conf-Datei (oder eine vergleichbare Datei), um auf die Domain zu verweisen.

  2. Stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und fließen kann AWS Directory Service. Verwenden Sie ein Netzwerk-Dienstprogramm wie Netcat für die folgenden Aufgaben:

    • Überprüfen Sie den Datenverkehr DNS für Port 53.

    • Überprüfen Sie den Verkehr überTCP/UDPfür Port 53 und für Kerberos, einschließlich der Ports 88 und 464 für. AWS Directory Service

  3. Stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und der DB-Instance über den Datenbank-Port fließen kann. Verwenden Sie beispielsweise mysql, um eine Verbindung herzustellen und auf die Datenbank zuzugreifen.

Im Folgenden finden Sie einen krb5.conf Beispielinhalt für. AWS Managed Microsoft AD

[libdefaults]
 default_realm = EXAMPLE.COM
[realms]
 EXAMPLE.COM = {
  kdc = example.com
  admin_server = example.com
 }
[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

Nachfolgend ist ein Beispiel für den Inhalt von krb5.conf für ein On-Premises Microsoft Active Directory aufgeführt.

[libdefaults]
 default_realm = EXAMPLE.COM
[realms]
 EXAMPLE.COM = {
  kdc = example.com
  admin_server = example.com
 }
 ONPREM.COM = {
  kdc = onprem.com
  admin_server = onprem.com
 }
[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM
 .onprem.com = ONPREM.COM
 onprem.com = ONPREM.COM  
 .rds.amazonaws.com = EXAMPLE.COM
 .amazonaws.com.rproxy.goskope.com.cn = EXAMPLE.COM
 .amazon.com = EXAMPLE.COM

Schritt 8: (Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/Kleinschreibung

Standardmäßig muss die Groß- und Kleinschreibung des Benutzernamens Meine SQL Datenbank mit der Schreibweise des Active Directory-Anmeldenamens übereinstimmen. Mit dem Plug-in authentication_kerberos können Sie jetzt jedoch den Benutzernamenvergleich ohne Berücksichtigung der Groß-/Kleinschreibung verwenden. Setzen Sie dazu den Parameter authentication_kerberos_caseins_cmp des DB-Clusters auf true.

So verwenden Sie den Benutzernamenvergleich ohne Berücksichtigung der Groß-/Kleinschreibung

  1. Erstellen Sie eine benutzerdefinierte DB-Cluster-Parametergruppe. Folgen Sie den Verfahren in Eine DB-Cluster-Parametergruppe in Amazon Aurora erstellen.

  2. Bearbeiten Sie die neue Parametergruppe, um den Wert für authentication_kerberos_caseins_cmp auf true zu setzen. Folgen Sie den Verfahren in Ändern von Parametern in einer DB-Cluster-Parametergruppe in Amazon Aurora.

  3. Ordnen Sie die DB-Cluster-Parametergruppe Ihrem Aurora My SQL DB-Cluster zu. Folgen Sie den Verfahren in Zuordnen einer DB-Cluster-Parametergruppe zu einem DB-Cluster in Amazon Aurora.

  4. Starten Sie den DB-Cluster neu.