KerberosAuthentifizierung für Amazon RDS für Db2-DB-Instances einrichten - Amazon Relational Database Service
Schritt 1: Erstellen Sie ein Verzeichnis mit dem AWS Managed Microsoft ADSchritt 2: Erstellen Sie eine IAM-Rolle für den Zugriff AWS Directory Service Schritt 3: Anlegen und konfigurieren von Benutzern Schritt 4: Erstellen Sie eine Db2-Administratorgruppe in AWS Managed Microsoft ADSchritt 5: Erstellen oder ändern Sie eine DB-Instance Schritt 6: Konfigurieren Sie einen Db2-Client

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KerberosAuthentifizierung für Amazon RDS für Db2-DB-Instances einrichten

Sie verwenden AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD), um die Kerberos Authentifizierung für eine RDS for Db2-DB-Instance einzurichten. Gehen Sie folgendermaßen vor, um die Kerberos Authentifizierung einzurichten:

Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD

AWS Directory Service erstellt ein vollständig verwaltetes Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service erstellt zwei Domänencontroller und DNS-Server für Sie. Die Verzeichnisserver werden in verschiedenen Subnetzen in einer VPC erstellt. Diese Redundanz hilft sicherzustellen, dass Ihr Verzeichnis verfügbar bleibt, auch wenn ein Fehler auftritt.

Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service führt in Ihrem Namen die folgenden Aufgaben aus:

  • Richtet eine Active Directory innerhalb Ihrer VPC ein.

  • Erstellt ein Konto für den Verzeichnisadministrator mit dem Benutzernamen Admin und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

    Wichtig

    Stellen Sie sicher, dass Sie dieses Passwort speichern. AWS Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen oder zurückgesetzt werden.

  • Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller. Die Sicherheitsgruppe muss die Kommunikation mit der RDS for Db2-DB-Instance zulassen.

AWS Erstellt beim Start AWS Directory Service for Microsoft Active Directory eine Organisationseinheit (OU), die alle Objekte Ihres Verzeichnisses enthält. Diese OU erhält den NetBIOS-Namen, den Sie beim Erstellen des Verzeichnisses eingegeben haben, und befindet sich im Domänenstamm. Der Domänenstamm gehört und wird von verwaltet AWS.

Das Admin Konto, das mit Ihrem AWS Managed Microsoft AD Verzeichnis erstellt wurde, verfügt über Berechtigungen für die gängigsten Verwaltungsaktivitäten Ihrer Organisationseinheit:

  • Benutzer erstellen, aktualisieren oder löschen.

  • Fügen Sie Ihrer Domain Ressourcen wie Datei- oder Druckserver hinzu, und weisen Sie dann Benutzern in Ihrer Organisationseinheit Berechtigungen für diese Ressourcen zu.

  • Erstellen Sie zusätzliche OUs Container.

  • Delegieren von Befugnissen.

  • Stellen Sie gelöschte Objekte aus dem Active Directory Papierkorb wieder her.

  • Ausführen Active Directory und DNS-Module (Domain Name Service) für Windows PowerShell auf dem AWS Directory Service.

Das Admin-Konto hat auch die Berechtigung, die folgenden domänenweiten Aktivitäten durchzuführen:

  • Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen).

  • Aufrufen von DNS-Ereignisprotokollen.

  • Anzeigen von Sicherheitsereignisprotokollen.

Um ein Verzeichnis zu erstellen mit AWS Managed Microsoft AD

  1. Melden Sie sich bei an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unter https://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie Verzeichnis einrichten.

  3. Wählen Sie AWS Managed Microsoft AD. AWS Managed Microsoft AD ist die einzige Option, die derzeit für die Verwendung mit Amazon RDS unterstützt wird.

  4. Wählen Sie Weiter aus.

  5. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgenden Informationen ein:

    • Edition — Wählen Sie die Edition, die Ihren Anforderungen entspricht.

    • DNS-Name des Verzeichnisses — Der vollständig qualifizierte Name für das Verzeichnis, z. corp.example.com B.

    • NetBIOS-Name des Verzeichnisses — Ein optionaler Kurzname für das Verzeichnis, z. B. CORP

    • Verzeichnisbeschreibung — Eine optionale Beschreibung für das Verzeichnis.

    • Admin-Passwort — Das Passwort für den Verzeichnisadministrator. Beim Erstellen des Verzeichnisses wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort erstellt.

      Das Passwort für den Verzeichnisadministrator darf nicht das Wort "admin" enthalten. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

      • Kleinbuchstaben (a–z)

      • Großbuchstaben (A–Z)

      • Zahlen (0–9)

      • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

      • Passwort bestätigen — Geben Sie das Administratorkennwort erneut ein.

        Wichtig

        Stellen Sie sicher, dass Sie dieses Passwort speichern. AWS Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen oder zurückgesetzt werden.

  6. Wählen Sie Weiter aus.

  7. Geben Sie auf der Seite Choose VPC and subnets (VPC und Subnetze wählen) die folgenden Informationen an.

    • VPC — Wählen Sie die VPC für das Verzeichnis aus. Sie können die DB-Instance RDS for Db2 in derselben VPC oder in einer anderen VPC erstellen.

    • Subnetze — Wählen Sie die Subnetze für die Verzeichnisserver aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  8. Wählen Sie Weiter aus.

  9. Überprüfen Sie die Verzeichnisinformationen. Wenn Änderungen erforderlich sind, klicken Sie auf Previous (Zurück) und nehmen Sie die Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen).

    Das Fenster Überprüfen und erstellen während der Verzeichniserstellung in der AWS Directory Service Konsole.

Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Wenn es erfolgreich erstellt wurde, ändert sich der Wert Status in Active (Aktiv).

Um Informationen zu Ihrem Verzeichnis zu sehen, wählen Sie die Verzeichnis-ID unter Verzeichnis-ID aus. Notieren Sie sich den Wert Directory ID. Sie benötigen diesen Wert, wenn Sie Ihre RDS for Db2-DB-Instance erstellen oder ändern.

Der Abschnitt mit den Verzeichnisdetails mit der Verzeichnis-ID in der AWS Directory Service Konsole.

Schritt 2: Erstellen Sie eine IAM-Rolle, auf die Amazon RDS zugreifen kann AWS Directory Service

Damit Amazon RDS AWS Directory Service für Sie anrufen kann, AWS-Konto benötigen Sie eine IAM-Rolle, die die verwaltete IAM-Richtlinie verwendet. AmazonRDSDirectoryServiceAccess Diese Rolle ermöglicht es Amazon RDS, Anrufe an zu tätigen AWS Directory Service.

Wenn Sie eine DB-Instance mit dem erstellen AWS Management Console und Ihr Konsolen-Benutzerkonto über die iam:CreateRole entsprechende Berechtigung verfügt, erstellt die Konsole automatisch die benötigte IAM-Rolle. In diesem Fall lautet der Rollenname rds-directoryservice-kerberos-access-role. Andernfalls müssen Sie die IAM-Rolle manuell erstellen. Wenn Sie diese IAM-Rolle erstellenDirectory Service, wählen Sie die AWS verwaltete Richtlinie aus und fügen Sie AmazonRDSDirectoryServiceAccess sie ihr hinzu.

Weitere Informationen zum Erstellen von IAM-Rollen für einen Dienst finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst im IAM-Benutzerhandbuch.

Anmerkung

Die für die Windows Authentifizierung für RDS verwendete IAM-Rolle Microsoft SQL Server kann nicht für RDS for Db2 verwendet werden.

Alternativ können Sie Richtlinien mit den erforderlichen Berechtigungen erstellen, anstatt die verwaltete Richtlinie AmazonRDSDirectoryServiceAccess zu verwenden. In diesem Fall muss die IAM-Rolle über die folgende IAM-Vertrauensrichtlinie verfügen:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Die Rolle muss außerdem die folgende IAM-Rollenrichtlinie haben:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Schritt 3: Anlegen und konfigurieren von Benutzern

Sie können Benutzer mithilfe des Active Directory Users and Computers Tools erstellen. Dies ist eines der Active Directory Lightweight Directory Services Tools Active Directory Domain Services und. Weitere Informationen finden Sie in der Microsoft Dokumentation unter Benutzer und Computer zur Active Directory Domäne hinzufügen. In diesem Fall handelt es sich bei Benutzern um Einzelpersonen oder andere Entitäten, z. B. deren Computer, die Teil der Domäne sind und deren Identitäten im Verzeichnis verwaltet werden.

Um Benutzer in einem AWS Directory Service Verzeichnis zu erstellen, müssen Sie mit einer Windows basierten EC2 Amazon-Instance verbunden sein, die Mitglied des AWS Directory Service Verzeichnisses ist. Gleichzeitig müssen Sie als Benutzer angemeldet sein, der über die Rechte zum Erstellen von Benutzern verfügt. Weitere Informationen finden Sie unter Erstellen eines Benutzers im AWS Directory Service Administration Guide.

Schritt 4: Erstellen Sie eine RDS for Db2-Administratorgruppe in AWS Managed Microsoft AD

RDS for Db2 unterstützt keine Kerberos Authentifizierung für den Master-Benutzer oder die beiden reservierten Amazon RDS-Benutzer rdsdb undrdsadmin. Stattdessen müssen Sie eine neue Gruppe mit dem Namen „masterdbaIn AWS Managed Microsoft AD“ erstellen. Weitere Informationen finden Sie Active Directoryin der Microsoft Dokumentation unter Erstellen eines Gruppenkontos. Alle Benutzer, die Sie zu dieser Gruppe hinzufügen, verfügen über Masterbenutzerrechte.

Nachdem Sie die Kerberos Authentifizierung aktiviert haben, verliert der Masterbenutzer die masterdba Rolle. Daher kann der Masterbenutzer nur dann auf die Mitgliedschaft in der lokalen Benutzergruppe der Instanz zugreifen, wenn Sie die Kerberos Authentifizierung deaktivieren. Um den Masterbenutzer mit Kennwortanmeldung weiterhin zu verwenden, erstellen Sie einen Benutzer AWS Managed Microsoft AD mit demselben Namen wie der Masterbenutzer. Fügen Sie diesen Benutzer dann der Gruppe hinzumasterdba.

Schritt 5: Erstellen oder ändern Sie eine RDS for Db2-DB-Instance

Erstellen oder ändern Sie eine RDS for Db2-DB-Instance zur Verwendung mit Ihrem Verzeichnis. Sie können die AWS Management Console, oder die RDS-API verwenden AWS CLI, um eine DB-Instance einem Verzeichnis zuzuordnen. Sie können dafür eine der folgenden Möglichkeiten auswählen:

KerberosDie Authentifizierung wird nur für RDS für Db2-DB-Instances in einer VPC unterstützt. Die DB-Instance kann sich in derselben VPC wie das Verzeichnis oder in einer anderen VPC befinden. Die DB-Instance muss eine Sicherheitsgruppe verwenden, die Ein- und Ausgänge innerhalb der VPC des Verzeichnisses zulässt, damit die DB-Instance mit dem Verzeichnis kommunizieren kann.

Wenn Sie die Konsole verwenden, um eine DB-Instance zu erstellen, zu ändern oder wiederherzustellen, wählen Sie im Abschnitt Datenbankauthentifizierung die Option Passwort und Kerberos Authentifizierung aus. Dann wählen Sie Verzeichnis durchsuchen. Wählen Sie das Verzeichnis aus oder wählen Sie Verzeichnis erstellen, um den Directory Service zu verwenden.

Der Abschnitt Datenbankauthentifizierung mit ausgewählter Passwort- und Kerberos-Authentifizierung in der Amazon RDS-Konsole.

Wenn Sie den verwenden AWS CLI, sind die folgenden Parameter erforderlich, damit die DB-Instance das von Ihnen erstellte Verzeichnis verwenden kann:

  • Verwenden Sie für den --domain Parameter die Domänen-ID (“ d-* "Identifier), die bei der Erstellung des Verzeichnisses generiert wurde.

  • Verwenden Sie für den --domain-iam-role-name-Parameter die von Ihnen erstellte Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet.

Im folgenden Beispiel wird eine DB-Instance so geändert, dass sie ein Verzeichnis verwendet. Ersetzen Sie die folgenden Platzhalter im Beispiel durch Ihre eigenen Werte:

  • db_instance_name— Der Name Ihrer RDS for Db2-DB-Instance.

  • directory_id— Die ID des AWS Directory Service for Microsoft Active Directory Verzeichnisses, das Sie erstellt haben.

  • role_name— Der Name der IAM-Rolle, die Sie erstellt haben.

aws rds modify-db-instance --db-instance-identifier db_instance_name --domain d-directory_id --domain-iam-role-name role_name
Wichtig

Wenn Sie eine DB-Instance ändern, um die Kerberos Authentifizierung zu aktivieren, starten Sie die DB-Instance neu, nachdem Sie die Änderung vorgenommen haben.

Schritt 6: Konfigurieren Sie einen Db2-Client

Um einen Db2-Client zu konfigurieren

  1. Erstellen Sie eine /etc/krb5.conf-Datei (oder eine gleichwertige Datei), die auf die Domäne verweist.

    Anmerkung

    Erstellen Sie für Windows-Betriebssysteme eine Datei C:\windows\krb5.ini.

  2. Stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und fließen kann AWS Directory Service. Verwenden Sie ein Netzwerkdienstprogramm, z. B. Netcat für die folgenden Aufgaben:

    1. Überprüfen Sie den Datenverkehr über DNS für Port 53.

    2. Überprüfen Sie den Datenverkehr TCP/UDP für Port 53 und fürKerberos, einschließlich der Ports 88 und 464 für AWS Directory Service.

  3. Stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und der DB-Instance über den Datenbank-Port fließen kann. Sie können den Befehl verwendendb2, um eine Verbindung zur Datenbank herzustellen und darauf zuzugreifen.

Das folgende Beispiel ist der Inhalt der Datei /etc/krb5.conf für: AWS Managed Microsoft AD

[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM