Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD Langkah 2: Buat IAM peran untuk mengakses AWS Directory Service Langkah 3: Buat dan konfigurasikan pengguna Langkah 4: Buat grup admin Db2 di AWS Managed Microsoft AD Langkah 5: Buat atau ubah instans basis data Langkah 6: Konfigurasikan klien Db2

Mengatur Kerberos otentikasi untuk Amazon RDS untuk instans Db2 DB

Anda menggunakan AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengatur Kerberos otentikasi RDS untuk instance Db2 DB. Untuk mengatur Kerberos otentikasi, ikuti langkah-langkah ini:

Topik

Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD
Langkah 2: Buat IAM peran bagi Amazon RDS untuk mengakses AWS Directory Service
Langkah 3: Buat dan konfigurasikan pengguna
Langkah 4: Buat grup admin RDS untuk Db2 di AWS Managed Microsoft AD
Langkah 5: Buat atau modifikasi RDS untuk instans Db2 DB
Langkah 6: Konfigurasikan klien Db2

Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD

AWS Directory Service menciptakan yang terkelola sepenuhnya Active Directory di AWS Cloud. Saat Anda membuat AWS Managed Microsoft AD direktori, AWS Directory Service buat dua pengontrol domain dan DNS server untuk Anda. Server direktori dibuat dalam subnet yang berbeda di file. VPC Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses meskipun terjadi kegagalan.

Saat Anda membuat AWS Managed Microsoft AD direktori, AWS Directory Service lakukan tugas-tugas berikut atas nama Anda:

Menyiapkan sebuah Active Directory di dalam AndaVPC.
Membuat akun administrator direktori dengan nama pengguna Admin dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori Anda.

penting
Pastikan untuk menyimpan kata sandi ini. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil atau diatur ulang.
Membuat grup keamanan untuk pengontrol direktori. Grup keamanan harus mengizinkan komunikasi dengan instans RDS for Db2 DB.

Saat Anda meluncurkan AWS Directory Service for Microsoft Active Directory, AWS buat unit organisasi (OU) yang berisi semua objek direktori Anda. OU ini, yang memiliki BIOS nama Net yang Anda masukkan ketika Anda membuat direktori Anda, terletak di root domain. Root domain dimiliki dan dikelola oleh AWS.

AdminAkun yang dibuat dengan AWS Managed Microsoft AD direktori Anda memiliki izin untuk kegiatan administratif yang paling umum untuk OU Anda:

Membuat, memperbarui, atau menghapus pengguna.
Menambahkan sumber daya ke domain Anda seperti server file atau cetak, lalu menetapkan izin untuk sumber daya tersebut kepada pengguna di OU Anda.
Buat OUs tambahan dan kontainer.
Mendelegasikan otoritas.
Kembalikan objek yang dihapus dari Active Directory Tempat Sampah Daur Ulang.
Jalankan . Active Directory dan modul Layanan Nama Domain (DNS) untuk Windows PowerShell pada AWS Directory Service.

Akun Admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut:

Mengelola DNS konfigurasi (menambah, menghapus, atau memperbarui catatan, zona, dan forwarder).
Lihat log DNS peristiwa.
Lihat log peristiwa keamanan.

Untuk membuat direktori dengan AWS Managed Microsoft AD

Masuk ke AWS Management Console dan buka AWS Directory Service konsol di https://console.aws.amazon.com/directoryservicev2/.
Pilih Siapkan direktori.
Pilih AWS Managed Microsoft AD. AWS Managed Microsoft AD adalah satu-satunya pilihan yang saat ini didukung untuk digunakan dengan AmazonRDS.
Pilih Berikutnya.
Di halaman Masukkan informasi direktori, berikan informasi berikut:
- Edisi – Pilih edisi yang memenuhi kebutuhan Anda.
- DNSNama direktori — Nama yang sepenuhnya memenuhi syarat untuk direktori, seperticorp.example.com.
- Directory Net BIOS name — Nama pendek opsional untuk direktori, sepertiCORP.
- Deskripsi direktori – Deskripsi opsional untuk direktori.
- Kata sandi admin – Kata sandi untuk administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna Admin dan kata sandi ini.
  
  Kata sandi administrator direktori tidak boleh menyertakan kata “admin.” Kata sandi peka terhadap huruf besar/kecil dan harus terdiri dari 8–64 karakter. Kata sandi juga harus berisi setidaknya satu karakter dari tiga di antara empat kategori berikut:
  - Huruf kecil (a-z)
  - Huruf besar (A-Z)
  - Angka (0–9)
  - Karakter non-alfanumerik (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
  - Ulangi kata sandi – Ketik ulang kata sandi administrator.
    
    penting
    Pastikan Anda menyimpan kata sandi ini. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil atau diatur ulang.
Pilih Berikutnya.
Pada halaman Pilih VPC dan subnet, berikan informasi berikut:
- VPC— Pilih VPC untuk direktori. Anda dapat membuat instance RDS untuk Db2 DB dalam hal yang sama VPC atau berbeda. VPC
- Subnet – Pilih subnet untuk server direktori. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.
Pilih Berikutnya.
Tinjau informasi direktori. Jika ada yang perlu diubah, pilih Sebelumnya dan lakukan perubahan. Jika informasi sudah benar, pilih Buat direktori.

Dibutuhkan beberapa menit sampai direktori terbuat. Setelah direktori berhasil dibuat, nilai Status berubah menjadi Aktif.

Untuk melihat informasi tentang direktori Anda, pilih ID direktori di ID Direktori. Buat catatan tentang nilai ID Direktori. Anda memerlukan nilai ini saat Anda membuat atau memodifikasi instans Db2 DB AndaRDS.

Bagian Detail direktori dengan ID Direktori di AWS Directory Service konsol.

Langkah 2: Buat IAM peran bagi Amazon RDS untuk mengakses AWS Directory Service

RDSAgar Amazon dapat memanggil AWS Directory Service Anda, Anda Akun AWS memerlukan IAM peran yang menggunakan IAM kebijakan terkelolaAmazonRDSDirectoryServiceAccess. Peran ini memungkinkan Amazon RDS untuk melakukan panggilan ke AWS Directory Service.

Saat Anda membuat instans DB menggunakan AWS Management Console dan akun pengguna konsol Anda memiliki iam:CreateRole izin, konsol akan membuat IAM peran yang diperlukan secara otomatis. Dalam hal ini, nama perannya adalah rds-directoryservice-kerberos-access-role. Jika tidak, Anda harus membuat IAM peran secara manual. Saat Anda membuat IAM peran ini, pilihDirectory Service, dan lampirkan kebijakan AWS terkelola AmazonRDSDirectoryServiceAccess padanya.

Untuk informasi selengkapnya tentang membuat IAM peran untuk layanan, lihat Membuat peran untuk mendelegasikan izin ke AWS layanan di IAMPanduan Pengguna.

catatan

IAMPeran yang digunakan untuk Windows Otentikasi untuk untuk RDS Microsoft SQL Server tidak dapat digunakan untuk RDS untuk Db2.

Sebagai alternatif untuk menggunakan kebijakan terkelola AmazonRDSDirectoryServiceAccess, Anda dapat membuat kebijakan dengan izin yang diperlukan. Dalam hal ini, IAM peran harus memiliki kebijakan IAM kepercayaan berikut:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Peran tersebut juga harus memiliki kebijakan IAM peran berikut:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Langkah 3: Buat dan konfigurasikan pengguna

Anda dapat membuat pengguna dengan menggunakan Active Directory Users and Computers alat. Ini adalah salah satu Active Directory Domain Services and Active Directory Lightweight Directory Services alat. Untuk informasi selengkapnya, lihat Menambahkan Pengguna dan Komputer ke Active Directory Domain di Microsoft dokumentasi. Dalam hal ini, pengguna adalah orang atau entitas lain, seperti komputer, yang merupakan bagian dari domain dan yang identitasnya dipelihara di dalam direktori.

Untuk membuat pengguna di AWS Directory Service direktori, Anda harus terhubung ke Windowsberbasis Amazon EC2 instance yang merupakan anggota AWS Directory Service direktori. Pada saat yang sama, Anda harus masuk sebagai pengguna yang memiliki privilese membuat pengguna. Lihat informasi yang lebih lengkap di Membuat pengguna dalam Panduan Administrasi AWS Directory Service .

Langkah 4: Buat grup admin RDS untuk Db2 di AWS Managed Microsoft AD

RDSuntuk Db2 tidak mendukung Kerberos otentikasi untuk pengguna utama atau dua pengguna yang RDS dicadangkan Amazon rdsdb danrdsadmin. Sebagai gantinya, Anda perlu membuat grup baru yang dipanggil masterdba AWS Managed Microsoft AD. Untuk informasi selengkapnya, lihat Membuat Akun Grup di Active Directorydi Microsoft dokumentasi. Semua pengguna yang Anda tambahkan ke grup ini akan memiliki privilese pengguna master.

Setelah Anda mengaktifkan Kerberos otentikasi, pengguna master kehilangan masterdba peran. Akibatnya, pengguna master tidak akan dapat mengakses keanggotaan grup pengguna lokal instance kecuali Anda menonaktifkannya Kerberos otentikasi. Untuk terus menggunakan pengguna master dengan login kata sandi, buat pengguna di AWS Managed Microsoft AD dengan nama yang sama dengan pengguna master. Lalu, tambahkan pengguna itu ke grup masterdba.

Langkah 5: Buat atau modifikasi RDS untuk instans Db2 DB

Membuat atau memodifikasi instans Db2 DB untuk digunakan dengan direktori Anda. RDS Anda dapat menggunakan AWS Management Console, the AWS CLI, atau RDS API untuk mengaitkan instance DB dengan direktori. Anda dapat melakukannya dengan salah satu cara berikut:

Buat instans Db2 DB baru RDS menggunakan konsol, create-db-instanceperintah, atau CreateDBInstanceAPIoperasi. Untuk petunjuk, silakan lihat Membuat instans Amazon RDS DB.
Ubah yang ada RDS untuk instans Db2 DB menggunakan konsol, modify-db-instanceperintah, atau odifyDBInstance API operasi M. Untuk petunjuk, silakan lihat Memodifikasi instans Amazon RDS DB.
Kembalikan instance RDS untuk Db2 DB dari snapshot DB menggunakan konsol, restore-db-instance-from-db-snapshotperintah, atau RestoreDBInstanceFromDBSnapshotAPIoperasi. Untuk petunjuk, silakan lihat Memulihkan ke instans DB.
Kembalikan instance RDS untuk Db2 DB ke point-in-time menggunakan konsol, restore-db-instance-to-point-in-timeperintah, atau RestoreDBInstanceToPointInTimeAPIoperasi. Untuk petunjuk, silakan lihat Memulihkan instans DB ke waktu tertentu untuk Amazon RDS.

Kerberos otentikasi hanya didukung RDS untuk instans Db2 DB di file. VPC Instans DB bisa VPC sama dengan direktori, atau berbedaVPC. Instans DB harus menggunakan grup keamanan yang memungkinkan masuknya dan keluar dalam direktori VPC sehingga instance DB dapat berkomunikasi dengan direktori.

Saat Anda menggunakan konsol untuk membuat, memodifikasi, atau memulihkan instans DB, pilih Kata Sandi dan Kerberos otentikasi di bagian otentikasi Database. Kemudian, pilih Telusuri direktori. Pilih direktori atau pilih Buat direktori untuk menggunakan Directory Service.

Bagian otentikasi Databate dengan Password dan otentikasi Kerberos dipilih di konsol Amazon. RDS

Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan direktori yang Anda buat:

Untuk parameter --domain, gunakan pengidentifikasi domain (pengidentifikasi "d-*") yang dihasilkan saat Anda membuat direktori.
Untuk --domain-iam-role-name parameter, gunakan peran yang Anda buat yang menggunakan IAM kebijakan terkelolaAmazonRDSDirectoryServiceAccess.

Contoh berikut mengubah instans basis data untuk menggunakan direktori. Ganti penampung nilai berikut dalam contoh dengan nilai-nilai Anda sendiri:

db_instance_name — Nama Anda RDS untuk instans Db2 DB.
directory_id — ID AWS Directory Service for Microsoft Active Directory direktori yang Anda buat.
role_name — Nama IAM peran yang Anda buat.


aws rds modify-db-instance --db-instance-identifier db_instance_name --domain d-directory_id --domain-iam-role-name role_name

penting

Jika Anda memodifikasi instans DB untuk mengaktifkan Kerberos otentikasi, reboot instance DB setelah melakukan perubahan.

Langkah 6: Konfigurasikan klien Db2

Untuk mengonfigurasikan klien Db2

Buat file /etc/krb5.conf (atau setara) untuk menunjuk ke domain.

catatan
Untuk sistem operasi Windows, buat file C:\windows\krb5.ini.
Verifikasi bahwa lalu lintas dapat mengalir antara host klien dan AWS Directory Service. Gunakan utilitas jaringan seperti Netcat untuk tugas-tugas berikut:
1. Verifikasi lalu lintas DNS untuk port 53.
2. Verifikasi lalu lintas di atasTCP/UDPuntuk port 53 dan untuk Kerberos, yang mencakup port 88 dan 464 untuk AWS Directory Service.
Periksa bahwa lalu lintas dapat mengalir antara host klien dan instans basis data melalui port basis data. Anda dapat menggunakan perintah db2 untuk menghubungkan dan mengakses basis data.

Contoh berikut adalah /etc/krb5.conf konten file untuk: AWS Managed Microsoft AD


[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penggunaan Kerberos autentikasi

Menghubungkan dengan Kerberos autentikasi