Fase 1: Creare una cartella utilizzando AWS Managed Microsoft AD Passaggio 2: crea un IAM ruolo a cui accedere AWS Directory Service Fase 3: creazione e configurazione di utenti Fase 4: Creare un gruppo di amministratori Db2 in AWS Managed Microsoft AD Fase 5: Creare o modificare un'istanza DB Fase 6: Configurazione di un client Db2

Configurazione Kerberos autenticazione per istanze database Amazon RDS for Db2

Si usa AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) per configurare Kerberos autenticazione per un'istanza DB RDS for Db2. Per configurare Kerberos autenticazione, segui questi passaggi:

Argomenti

Passaggio 1: creare una directory utilizzando AWS Managed Microsoft AD
Passaggio 2: crea un IAM ruolo a RDS cui Amazon può accedere AWS Directory Service
Fase 3: creazione e configurazione di utenti
Passaggio 4: Crea un gruppo di amministrazione RDS per Db2 in AWS Managed Microsoft AD
Passaggio 5: creare o modificare un'istanza di RDS For Db2 DB
Fase 6: Configurazione di un client Db2

Passaggio 1: creare una directory utilizzando AWS Managed Microsoft AD

AWS Directory Service crea un file completamente gestito Active Directory nel Cloud AWS. Quando si AWS Directory Service crea una AWS Managed Microsoft AD directory, vengono creati automaticamente due controller di dominio e DNS server. I server di directory vengono creati in diverse sottoreti in un. VPC Questa ridondanza assicura che la directory rimanga accessibile anche se si verifica un errore.

Quando crei una AWS Managed Microsoft AD directory, AWS Directory Service esegue le seguenti attività per tuo conto:

Configura un Active Directory all'interno del tuoVPC.
Crea un account amministratore della directory con il nome utente Admin e la password specificata. Puoi utilizzare questo account per gestire le directory.

Importante
Assicurati di salvare questa password. AWS Directory Service non memorizza questa password e non può essere recuperata o reimpostata.
Crea un gruppo di sicurezza per i controller della directory. Il gruppo di sicurezza deve consentire la comunicazione con l'istanza database RDS for Db2.

All'avvio AWS Directory Service for Microsoft Active Directory, AWS crea un'unità organizzativa (OU) che contiene tutti gli oggetti della directory. Questa unità organizzativa, con il BIOS nome di rete immesso al momento della creazione della directory, si trova nella radice del dominio. La radice del dominio è di proprietà e gestita da AWS.

L'Adminaccount creato con la AWS Managed Microsoft AD directory dispone delle autorizzazioni per le attività amministrative più comuni dell'unità organizzativa:

Creare, aggiornare o eliminare utenti.
Aggiungi risorse al tuo dominio, ad esempio server di file o di stampa, quindi assegna le autorizzazioni per tali risorse agli utenti dell'unità organizzativa.
Crea contenitori aggiuntiviOUs.
delega dell'autorità;
Ripristina gli oggetti eliminati dal Active Directory Cestino.
Esecuzione Active Directory e moduli Domain Name Service (DNS) per Windows PowerShell sul AWS Directory Service.

L'account Admin dispone anche dei diritti per eseguire queste attività in tutto il dominio:

Gestire DNS le configurazioni (aggiungere, rimuovere o aggiornare record, zone e server d'inoltro).
Visualizza i registri DNS degli eventi.
visualizzazione di log di eventi di sicurezza.

Per creare una directory con AWS Managed Microsoft AD

Accedi a AWS Management Console e apri la AWS Directory Service console all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
Scegli Configura cartella.
Scegli AWS Managed Microsoft AD. AWS Managed Microsoft AD è l'unica opzione attualmente supportata per l'uso con AmazonRDS.
Scegli Next (Successivo).
Nella pagina Enter directory information (Inserisci le informazioni sulla directory) inserisci le seguenti informazioni:
- Edizione: scegli l'edizione che soddisfa i tuoi requisiti.
- DNSNome della directory: il nome completo per la directory, ad esempiocorp.example.com.
- Directory Net BIOS name: un nome breve opzionale per la directory, ad esempioCORP.
- Descrizione della directory: una descrizione facoltativa per la directory.
- Password di amministratore: la password per l'amministratore della directory. Il processo di creazione della directory crea un account amministratore con il nome utente Admin e questa password.
  
  La password dell'amministratore della directory non può includere il termine "admin". La password distingue tra maiuscole e minuscole e la lunghezza deve essere compresa tra 8 e 64 caratteri. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:
  - Lettere minuscole (a–z)
  - Lettere maiuscole (A–Z)
  - Numeri (0–9)
  - Caratteri non alfanumerici (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
  - Conferma password: digita nuovamente la password dell'amministratore.
    
    Importante
    Assicurati di salvare questa password. AWS Directory Service non memorizza questa password e non può essere recuperata o reimpostata.
Scegli Next (Successivo).
Nella pagina Scegli VPC e sottoreti, fornisci le seguenti informazioni:
- VPC— Scegli la cartella VPC per la cartella. È possibile creare l'istanza DB RDS for Db2 in questa stessa istanza VPC o in un'altraVPC.
- Sottoreti: scegli le sottoreti per i server di directory. Le due sottoreti devono trovarsi in diverse zone di disponibilità.
Scegli Next (Successivo).
Verificare le informazioni della directory Se sono necessarie modifiche, seleziona Previous (Precedente) e apporta le modifiche. Quando le informazioni sono corrette, scegli Create Directory (Crea directory).

Per creare la directory sono necessari alcuni minuti. Una volta creata correttamente la directory, il valore Status (Stato) viene modificato in Active (Attivo).

Per visualizzare le informazioni sulla tua directory, scegli l'ID della directory in Directory ID. Prendere nota del valore Directory ID (ID directory). Questo valore è necessario quando si crea o si modifica l'istanza DB RDS for Db2.

La sezione dei dettagli della directory con l'ID della directory nella AWS Directory Service console.

Passaggio 2: crea un IAM ruolo a RDS cui Amazon può accedere AWS Directory Service

RDSAffinché Amazon possa AWS Directory Service chiamarti, hai Account AWS bisogno di un IAM ruolo che utilizzi la IAM policy gestitaAmazonRDSDirectoryServiceAccess. Questo ruolo consente RDS ad Amazon di effettuare chiamate verso AWS Directory Service.

Quando crei un'istanza DB utilizzando AWS Management Console e il tuo account utente della console dispone dell'iam:CreateRoleautorizzazione, la console crea automaticamente il IAM ruolo necessario. In questo caso, il nome del ruolo è rds-directoryservice-kerberos-access-role. In caso contrario, è necessario creare il IAM ruolo manualmente. Quando create questo IAM ruoloDirectory Service, scegliete e allegate AmazonRDSDirectoryServiceAccess ad esso la politica AWS gestita.

Per ulteriori informazioni sulla creazione di IAM ruoli per un servizio, consulta Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'IAMutente.

Nota

Il IAM ruolo utilizzato per Windows Autenticazione RDS per Microsoft SQL Server non può essere usato RDS per Db2.

Facoltativamente, puoi creare policy con le autorizzazioni richieste anziché utilizzare la policy AmazonRDSDirectoryServiceAccess gestita. In questo caso, il IAM ruolo deve avere la seguente politica di IAM fiducia:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Il ruolo deve inoltre avere la seguente politica di IAM ruolo:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Fase 3: creazione e configurazione di utenti

È possibile creare utenti utilizzando Active Directory Users and Computers strumento. Questo è uno dei Active Directory Domain Services e Active Directory Lightweight Directory Services strumenti. Per ulteriori informazioni, vedere Aggiungere utenti e computer al Active Directory dominio in Microsoft documentazione. In questo caso, gli utenti sono individui o altre entità, come i loro computer, che fanno parte del dominio e le cui identità vengono mantenute nella directory.

Per creare utenti in una AWS Directory Service directory, è necessario essere connessi a WindowsEC2istanza Amazon basata su Amazon che fa parte della AWS Directory Service directory. Allo stesso tempo, devi accedere come utente con privilegi per creare utenti. Per ulteriori informazioni, consulta Creazione di un utente nella Guida di amministrazione di AWS Directory Service .

Passaggio 4: Crea un gruppo di amministrazione RDS per Db2 in AWS Managed Microsoft AD

RDSperché Db2 non supporta Kerberos autenticazione per l'utente principale o i due utenti RDS riservati di Amazon rdsdb erdsadmin. È invece necessario creare un nuovo gruppo chiamato masterdba in AWS Managed Microsoft AD. Per ulteriori informazioni, consulta Creare un account di gruppo in Active Directorynel Microsoft documentazione. Tutti gli utenti aggiunti a questo gruppo disporranno dei privilegi di utente principale.

Dopo aver abilitato Kerberos autenticazione, l'utente principale perde il masterdba ruolo. Di conseguenza, l'utente principale non sarà in grado di accedere all'appartenenza al gruppo di utenti locali dell'istanza a meno che non venga disabilitata Kerberos autenticazione. Per continuare a utilizzare l'utente master con accesso tramite password, crea un utente AWS Managed Microsoft AD con lo stesso nome dell'utente principale. Quindi, aggiungi quell'utente al gruppomasterdba.

Passaggio 5: creare o modificare un'istanza di RDS For Db2 DB

Crea o modifica un'istanza DB RDS for Db2 da utilizzare con la tua directory. È possibile utilizzare il AWS Management Console AWS CLI, il o il RDS API per associare un'istanza DB a una directory. Questa operazione può essere eseguita in uno dei seguenti modi:

Crea una nuova istanza DB RDS for Db2 utilizzando la console, create-db-instancecomando o CreateDBInstanceAPIoperazione. Per istruzioni, consulta Creazione di un'istanza Amazon RDS DB.
Modifica un'istanza DB esistente di RDS for Db2 utilizzando la console, modify-db-instancecomando o l'odifyDBInstanceAPIoperazione M. Per istruzioni, consulta Modifica di un'istanza Amazon RDS DB.
Ripristina un'istanza DB RDS for Db2 da un'istantanea del DB utilizzando la console, la restore-db-instance-from-db-snapshotcomando o RestoreDBInstanceFromDBSnapshotAPIoperazione. Per istruzioni, consulta Ripristino su un'istanza DB.
Ripristina un'istanza DB RDS for Db2 su una point-in-time utilizzando la console, la restore-db-instance-to-point-in-timecomando o RestoreDBInstanceToPointInTimeAPIoperazione. Per istruzioni, consulta Ripristino di un'istanza DB a un'ora specificata per Amazon RDS.

Kerberos l'autenticazione è supportata solo RDS per le istanze DB Db2 in a. VPC L'istanza DB può trovarsi nella VPC stessa directory o in un'altra. VPC L'istanza DB deve utilizzare un gruppo di sicurezza che consenta l'ingresso e l'uscita all'interno della directory VPC in modo che l'istanza DB possa comunicare con la directory.

Quando usi la console per creare, modificare o ripristinare un'istanza DB, scegli Password e Kerberos autenticazione nella sezione Autenticazione del database. Quindi scegli Sfoglia directory. Seleziona la directory o scegli Crea directory per utilizzare il Directory Service.

La sezione Autenticazione del database con password e autenticazione Kerberos selezionate nella console Amazon. RDS

Quando utilizzi il AWS CLI, sono necessari i seguenti parametri affinché l'istanza DB possa utilizzare la directory che hai creato:

Per il --domain parametro, utilizzate l'identificatore di dominio (» d-* "identificatore) generato al momento della creazione della directory.
Per il --domain-iam-role-name parametro, utilizzate il ruolo creato che utilizza la politica IAM gestita. AmazonRDSDirectoryServiceAccess

L'esempio seguente modifica un'istanza DB per utilizzare una directory. Sostituite i seguenti segnaposto dell'esempio con i vostri valori:

db_instance_name — Il nome della tua istanza DB RDS for Db2.
directory_id — L'ID della AWS Directory Service for Microsoft Active Directory directory che hai creato.
role_name — Il nome del IAM ruolo che hai creato.


aws rds modify-db-instance --db-instance-identifier db_instance_name --domain d-directory_id --domain-iam-role-name role_name

Importante

Se si modifica un'istanza DB per abilitarla Kerberos autenticazione, riavvia l'istanza DB dopo aver apportato la modifica.

Fase 6: Configurazione di un client Db2

Per configurare un client Db2

Crea un file /etc/krb5.conf (o equivalente) per puntare al dominio.

Nota
Per i sistemi operativi Windows, crea un file C:\windows\krb5.ini.
Verificate che il traffico possa fluire tra l'host del client e AWS Directory Service. Utilizza un'utilità di rete come Netcat per le seguenti attività:
1. Verifica il traffico verso DNS la porta 53.
2. Verifica il traffico suTCP/UDPper la porta 53 e per Kerberos, che include le porte 88 e 464 per AWS Directory Service.
Verifica che il traffico scorra senza problemi tra l'host client e l'istanza database sulla porta del database. È possibile utilizzare il comando db2 per connettersi e accedere al database.

L'esempio seguente è il contenuto del file /etc/krb5.conf per: AWS Managed Microsoft AD


[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo Kerberos autenticazione

Connessione con Kerberos autenticazione