Utilice AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) para configurar la autenticación de Kerberos de una instancia de base de datos de RDS para Db2. Para configurar la autenticación de Kerberos, siga estos pasos:
Temas
Paso 1: crear un directorio con AWS Managed Microsoft AD
AWS Directory Service crea un Active Directory totalmente administrado en Nube de AWS. Al crear un directorio de AWS Managed Microsoft AD, AWS Directory Service crea dos controladores de dominio y servidores DNS para usted. Los servidores de directorios se crean en diferentes subredes de una VPC. Esta redundancia ayuda a garantizar que su directorio permanezca accesible incluso si ocurre un fallo.
Cuando crea un directorio de AWS Managed Microsoft AD, AWS Directory Service realiza en su nombre las siguientes tareas:
-
Configura un Active Directory dentro de la VPC.
-
Crea una cuenta de administrador del directorio con el nombre de usuario
Adminy la contraseña especificada. Esta cuenta le permite administrar el directorio.importante
Asegúrese de guardar esta contraseña. AWS Directory Service no almacena esta contraseña y no se puede recuperar ni restablecer.
-
Crea un grupo de seguridad para los controladores del directorio. El grupo de seguridad debe permitir la comunicación con la instancia de base de datos de RDS para Db2.
Al lanzar AWS Directory Service for Microsoft Active Directory, AWS crea una unidad organizativa (OU) que contiene todos los objetos del directorio. Esta unidad organizativa, que tiene el nombre de NetBIOS que introdujo al crear el directorio, se encuentra en la raíz del dominio. La raíz del dominio es propiedad de AWS, que también se encarga de su administración.
La cuenta Admin que se creó con el directorio de AWS Managed Microsoft AD dispone de permisos para realizar las actividades administrativas más habituales para la unidad organizativa:
-
Crear, actualizar o eliminar usuarios.
-
Añadir recursos a su dominio, como servidores de archivos o de impresión y, a continuación, asignar permisos para esos recursos a usuarios dentro de la unidad organizativa.
-
Crear unidades organizativas y contenedores adicionales.
-
Delegar autoridad.
-
Restaurar objetos eliminados de la papelera de reciclaje de Active Directory.
-
Ejecute Active Directory y los módulos del Servicio de nombres de dominio (DNS) para Windows PowerShell en el AWS Directory Service.
La cuenta Admin también tiene derechos para realizar las siguientes actividades en todo el dominio:
-
Administrar configuraciones DNS (agregar, quitar o actualizar registros, zonas y programas de envío).
-
Ver logs de eventos DNS.
-
Ver logs de eventos de seguridad.
Para crear un directorio con AWS Managed Microsoft AD
Inicie sesión en AWS Management Console y abra la consola de AWS Directory Service en https://console.aws.amazon.com/directoryservicev2/
. -
Elija Configurar directorio.
-
Elija AWS Managed Microsoft AD. AWS Managed Microsoft AD es la única opción que se admite actualmente para usar con Amazon RDS.
-
Elija Siguiente.
-
En la página Enter directory information (Especifique la información del directorio), facilite la siguiente información:
-
Edición: elija la edición que se adapte a sus necesidades.
-
Nombre de DNS del directorio: el nombre completo del directorio, como por ejemplo
corp.example.com. -
Nombre de NetBIOS del directorio: un nombre abreviado del directorio opcional, como
CORP. -
Descripción del directorio: una descripción opcional para el directorio.
-
Contraseña de administrador: la contraseña del administrador del directorio. Al crear el directorio, se crea también una cuenta de administrador con el nombre de usuario
Adminy esta contraseña.La contraseña del administrador del directorio no puede contener la palabra "admin". La contraseña distingue entre mayúsculas y minúsculas y debe tener un mínimo de 864 caracteres y un máximo de 64. También debe contener al menos un carácter de tres de las siguientes categorías:
-
Letras minúsculas (a–z)
-
Letras mayúsculas (A–Z)
-
Números (0–9)
-
Caracteres no alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
Confirmar contraseña: vuelva a escribir la contraseña del administrador.
importante
Asegúrese de guardar esta contraseña. AWS Directory Service no almacena esta contraseña y no se puede recuperar ni restablecer.
-
-
-
Elija Siguiente.
-
En la página Choose VPC and subnets (Elegir la VPC y las subredes), proporcione la información siguiente:
-
VPC: elija la VPC del directorio. Puede crear la instancia de base de datos de RDS para Db2 en esta misma VPC o en una VPC diferente.
-
Subredes: elija las subredes de los servidores del directorio. Las dos subredes deben estar en diferentes zonas de disponibilidad.
-
-
Elija Siguiente.
-
Revise la información del directorio. Si es necesario realizar algún cambio, seleccione Previous (Anterior) y realizar los cambios. Cuando la información sea correcta, seleccione Create directory (Crear directorio).
La creación del directorio tarda varios minutos. Cuando se haya creado correctamente, el valor de Status (Estado) cambiará a Active (Activo).
Para ver información acerca de su directorio, seleccione el ID del directorio en ID de directorio. Anote el valor de Directory ID (ID de directorio). Necesita este valor cuando cree o modifique su instancia de base de datos de RDS para Db2.
Paso 2: crear un rol de IAM para que Amazon RDS pueda acceder a AWS Directory Service
Para que Amazon RDS llame a AWS Directory Service en su nombre, su cuenta de Cuenta de AWS precisa un rol de IAM que utilice la política de IAM administrada AmazonRDSDirectoryServiceAccess. Este rol permite a Amazon RDS realizar llamadas a AWS Directory Service.
Cuando se crea una instancia de base de datos con la AWS Management Console y la cuenta de usuario de la consola tiene el permiso iam:CreateRole, la consola crea automáticamente el rol de IAM necesario. En este caso, el nombre del rol es rds-directoryservice-kerberos-access-role. De no ser así, debe crear el rol de IAM manualmente. Cuando cree este rol de IAM, elija Directory Service y asocie la política administrada de AWS AmazonRDSDirectoryServiceAccess a este.
A fin de obtener más información acerca de la creación de roles de IAM para un servicio, consulte Creación de un rol para delegar permisos a un servicio de AWS en la guía del usuario de IAM.
nota
El rol de IAM utilizado para la autenticación de Windows para RDS para Microsoft SQL Server no se puede usar en RDS para Db2.
Como alternativa al uso de la política administrada de AmazonRDSDirectoryServiceAccess, puede crear políticas con los permisos necesarios. En este caso, el rol de IAM debe tener la siguiente política de confianza de IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.amazonaws.com",
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
} El rol debe también tener la siguiente política de rol de IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
} Paso 3: crear y configurar usuarios
Puede utilizar la herramienta Active Directory Users and Computers para crear usuarios. Esta es una de las herramientas de Active Directory Domain Services y Active Directory Lightweight Directory Services. Para obtener más información, consulte Agregar usuarios y equipos al dominio de Active Directory
Para crear usuarios en un directorio de AWS Directory Service, debe estar conectado a una instancia de Amazon EC2 basada en Windows que sea miembro del directorio de AWS Directory Service. Al mismo tiempo, debe estar registrado como usuario con privilegios para crear usuarios. Para obtener más información, consulte Crear un usuario en la Guía de administración de AWS Directory Service.
Paso 4: crear un grupo de administración de RDS para Db2 en AWS Managed Microsoft AD
RDS para Db2 no admite la autenticación de Kerberos del usuario maestro ni de los dos usuarios reservados de Amazon RDS rdsdb y rdsadmin. En su lugar, debe crear un nuevo grupo llamado masterdba en AWS Managed Microsoft AD. Para obtener más información, consulte Crear una cuenta de grupo en Active Directory
Una vez habilitada la autenticación de Kerberos, el usuario maestro pierde el rol masterdba. Como resultado, el usuario maestro no podrá acceder a la pertenencia al grupo de usuarios local de la instancia a menos que deshabilite la autenticación de Kerberos. Para seguir utilizando el usuario maestro con contraseña de inicio de sesión, cree un usuario en AWS Managed Microsoft AD con el mismo nombre que el usuario maestro. Luego, agregue los usuarios al grupo masterdba.
Paso 5: crear o modificar una instancia de base de datos de RDS para Db2
Cree o modifique una instancia de base de datos de RDS para Db2 para usarla con su directorio. Puede utilizar la AWS Management Console, la AWS CLI o la API de RDS para asociar una instancia de base de datos con un directorio. Puede hacerlo de una de las siguientes formas:
-
Cree una nueva instancia de base de datos de RDS para Db2 utilizando la consola, el comando create-db-instance o la operación de la API CreateDBInstance. Para obtener instrucciones, consulte Creación de una instancia de base de datos de Amazon RDS.
-
Modifique una instancia de base de datos de RDS para Db2 existente utilizando la consola, el comando modify-db-instance o la operación de la API ModifyDBInstance. Para obtener instrucciones, consulte Modificación de una instancia de base de datos de Amazon RDS.
-
Restaure una instancia de base de datos de RDS para Db2 a partir de una instantánea de base de datos utilizando la consola, el comando restore-db-instance-from-db-snapshot o la operación de la API RestoreDBInstanceFromDBSnapshot. Para obtener instrucciones, consulte Restauración a una instancia de base de datos.
-
Restaure una instancia de base de datos de RDS para Db2 en un momento dado utilizando la consola, el comando restore-db-instance-to-point-in-time o la operación de la API RestoreDBInstanceToPointInTime. Para obtener instrucciones, consulte Restauración de una instancia de base de datos a un momento especificado para Amazon RDS.
La autenticación de Kerberos solo es compatible con instancias de base de datos de RDS para Db2 en una VPC. La instancia de DB puede estar en la misma VPC que el directorio o en una VPC diferente. La instancia de base de datos debe usar un grupo de seguridad que permita el ingreso y la salida dentro de la VPC del directorio, de modo que la instancia de base de datos pueda comunicarse con el directorio.
Si utiliza la consola para crear, modificar o restaurar una instancia de base de datos, elija Contraseña y autenticación de Kerberos en la sección Autenticación de base de datos. Luego, elija Browse Directory (Examinar directorio). Seleccione el directorio o elija Crear un nuevo directorio para utilizar Directory Service.
Si utiliza la consola para crear, modificar o restaurar una instancia de base de datos, elija Contraseña y autenticación de Kerberos en la sección Autenticación de base de datos. Luego, elija Browse Directory (Examinar directorio). Seleccione el directorio o elija Crear un nuevo directorio para utilizar Directory Service.
Cuando utilice la AWS CLI, se necesitan los siguientes parámetros para que la instancia de base de datos pueda usar el directorio que ha creado:
-
Para el parámetro
--domain, utilice el identificador de dominio (identificador “d-*“) que se generó cuando creó el directorio. -
Para el parámetro
--domain-iam-role-name, utilice el rol que creó que usa la políticaAmazonRDSDirectoryServiceAccessde IAM administrada.
El siguiente comando de la CLI modifica una instancia de base de datos para usar un directorio. Sustituya los siguientes valores de muestra en el ejemplo por los suyos:
-
db_instance_name: el nombre de su instancia de base de datos de RDS para Db2. -
directory_id: el ID del directorio AWS Directory Service for Microsoft Active Directory que ha creado. -
role_name: el nombre del rol de IAM que ha creado.
aws rds modify-db-instance --db-instance-identifierdb_instance_name--domain d-directory_id--domain-iam-role-namerole_name
importante
Si modifica una instancia de base de datos para habilitar la autenticación de Kerberos, reinicie la instancia de base de datos después de realizar el cambio.
Paso 6: configurar un cliente Db2
Para configurar un cliente Db2
-
Cree un archivo /etc/krb5.conf (o equivalente) para apuntar al dominio.
nota
Para los sistemas operativos Windows, cree un archivo C:\windows\krb5.ini.
-
Verifique que el tráfico puede fluir entre el host cliente y AWS Directory Service. Use una utilidad de red como, por ejemplo, Netcat para las siguientes tareas:
-
Verificar el tráfico sobre DNS para el puerto 53.
-
Verificar el tráfico sobre TCP/UDP para el puerto 53 y para Kerberos, lo que incluye los puertos 88 y 464 para AWS Directory Service.
-
-
Verifique que el tráfico puede fluir entre el host cliente y la instancia de base de datos sobre el puerto de base de datos. Puede usar el comando
db2para conectarse a la base de datos y acceder a ella.
El ejemplo siguiente es el contenido del archivo /etc/krb5.conf para AWS Managed Microsoft AD:
[libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { kdc = example.com admin_server = example.com } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM
