Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos - Amazon Aurora
Menggunakan login Kerberos Aurora MySQL untuk terhubung ke klaster DBAutentikasi Kerberos dengan basis data global AuroraMigrasi dari RDS for MySQL ke Aurora MySQLMencegah caching tiketPencatatan log untuk autentikasi Kerberos

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos

Untuk menghindari kesalahan, gunakan klien MySQL dengan versi 8.0.26 atau lebih tinggi pada platform Unix, 8.0.27 atau lebih tinggi di Windows.

Menggunakan login Kerberos Aurora MySQL untuk terhubung ke klaster DB

Untuk membuat koneksi ke Aurora MySQL dengan autentikasi Kerberos, Anda masuk sebagai pengguna basis data yang Anda buat menggunakan instruksi di Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos.

Pada prompt perintah, buat koneksi ke salah satu titik akhir yang terkait dengan klaster DB Aurora MySQL Anda. Saat Anda diminta memasukkan kata sandi, masukkan kata sandi Kerberos yang terkait dengan nama penggunanya.

Saat Anda mengautentikasi dengan Kerberos, sebuah tiket pemberian tiket (TGT) dibuat jika belum ada. Plugin authentication_kerberos menggunakan TGT untuk mendapatkan tiket layanan, yang kemudian disajikan ke server basis data Aurora MySQL.

Anda dapat menggunakan klien MySQL untuk terhubung ke Aurora MySQL dengan autentikasi Kerberos menggunakan Windows atau Unix.

Anda dapat terhubung dengan menggunakan salah satu metode berikut:

  • Dapatkan TGT secara manual. Dalam hal ini, Anda tidak perlu memberikan kata sandi ke klien MySQL.

  • Berikan kata sandi untuk login Active Directory langsung ke klien MySQL.

Plugin sisi klien didukung pada platform Unix untuk klien MySQL versi 8.0.26 dan yang lebih tinggi.

Terhubung dengan mendapatkan TGT secara manual

  1. Pada antarmuka baris perintah, gunakan perintah berikut untuk mendapatkan TGT.

    kinit user_name

  2. Gunakan perintah mysql berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.

    mysql -h DB_instance_endpoint -P 3306 -u user_name -p
    catatan

    Autentikasi dapat gagal jika keytab dirotasi pada instans DB. Dalam hal ini, dapatkan TGT baru dengan menjalankan ulang kinit.

Terhubung secara langsung

  1. Pada antarmuka baris perintah, gunakan perintah mysql berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.

    mysql -h DB_instance_endpoint -P 3306 -u user_name -p

  2. Masukkan kata sandi untuk pengguna Direktori Aktif.

Pada Windows, autentikasi biasanya dilakukan pada waktu login, jadi Anda tidak perlu mendapatkan TGT secara manual untuk terhubung ke klaster DB Aurora MySQL. Huruf besar/kecil pada nama pengguna basis data harus sesuai dengan karakter pengguna di Active Directory. Misalnya, jika pengguna di Active Directory muncul sebagai Admin, nama pengguna basis data harus Admin.

Plugin sisi klien didukung pada Windows untuk klien MySQL versi 8.0.27 dan yang lebih tinggi.

Terhubung secara langsung

  • Pada antarmuka baris perintah, gunakan perintah mysql berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.

    mysql -h DB_instance_endpoint -P 3306 -u user_name

Autentikasi Kerberos dengan basis data global Aurora

Autentikasi Kerberos untuk Aurora MySQL didukung untuk basis data global Aurora. Untuk mengautentikasi pengguna pada klaster DB sekunder menggunakan Active Directory klaster DB primer, lakukan replikasi Active Directory ke Wilayah AWS sekunder. Anda mengaktifkan autentikasi Kerberos pada klaster sekunder menggunakan ID domain yang sama seperti untuk klaster primer. Replikasi AWS Managed Microsoft AD hanya didukung dengan versi Active Directory Enterprise. Untuk informasi selengkapnya, lihat Replikasi Multi-Wilayah di Panduan Administrasi AWS Directory Service.

Migrasi dari RDS for MySQL ke Aurora MySQL

Setelah Anda bermigrasi dari RDS for MySQL dengan autentikasi Kerberos diaktifkan ke Aurora MySQL, ubah pengguna yang dibuat dengan plugin auth_pam untuk menggunakan plugin authentication_kerberos. Sebagai contoh:

ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';

Mencegah caching tiket

Jika TGT yang valid tidak ada saat aplikasi klien MySQL dimulai, aplikasi dapat memperoleh dan meng-cache TGT. Jika Anda ingin mencegah caching TGT, atur parameter konfigurasi dalam file /etc/krb5.conf.

catatan

Konfigurasi ini hanya berlaku untuk host klien yang menjalankan Unix, bukan Windows.

Mencegah caching TGT

  • Tambahkan bagian [appdefaults] ke /etc/krb5.conf seperti berikut:

    [appdefaults]
  mysql = {
    destroy_tickets = true
  }

Pencatatan log untuk autentikasi Kerberos

Variabel lingkungan AUTHENTICATION_KERBEROS_CLIENT_LOG menetapkan tingkat pencatatan log untuk autentikasi Kerberos. Anda dapat menggunakan log untuk debugging sisi klien.

Nilai yang diizinkan adalah 1-5. Pesan log ditulis ke output kesalahan standar. Tabel berikut ini menjelaskan setiap tingkat pencatatan log.

Tingkat pencatatan log Deskripsi
1 atau tidak diatur Tidak ada pencatatan log
2 Pesan kesalahan
3 Pesan kesalahan dan peringatan
4 Pesan kesalahan, peringatan, dan informasi
5 Pesan kesalahan, peringatan, informasi, dan debug