Verwalten einer DB-Instance in einer Domäne - Amazon Relational Database Service
Domänen-MitgliedschaftKerberos-Schlüssel mit erzwungener Rotation

Verwalten einer DB-Instance in einer Domäne

Sie können die Konsole, die CLI oder die RDS-API verwenden, um Ihre DB-Instance und ihre Beziehung zu Ihrem Microsoft Active Directory zu verwalten. Sie können z. B. ein Microsoft Active Directory zuordnen, um die Kerberos-Authentifizierung zu aktivieren. Sie können auch die Zuordnung eines Microsoft Active Directory trennen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch eine DB-Instance verschieben, die von einem Microsoft Active Directory zu einem anderen extern authentifiziert wird.

Sie können z. B. mithilfe der CLI Folgendes tun:

  • Um erneut zu versuchen, die Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren, verwenden Sie den CLI-Befehl modify-db-instance und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft für die Option --domain an.

  • Um die Kerberos-Authentifizierung auf einer DB-Instance zu deaktivieren, verwenden Sie den CLI-Befehl modify-db-instance und geben Sie none für die Option --domain an.

  • Um eine DB-Instance von einer Domäne zu einer anderen zu verschieben, verwenden Sie den CLI-Befehl modify-db-instance und geben Sie den Domänenbezeichner der neuen Domäne für die Option --domain an.

Anzeigen des Status einer Domänen-Mitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder modifiziert haben, wird die DB-Instance ein Mitglied der Domäne. Sie können den Status der Domänenmitgliedschaft für die DB-Instance in der Konsole anzeigen oder den CLI-Befehl describe-db-instances ausführen. Der Status der DB-Instance kann einer der folgenden sein:

  • kerberos-enabled – Für die DB-Instance ist die Kerberos-Authentifizierung aktiviert.

  • enabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu aktivieren.

  • pending-enable-kerberos – Das Aktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.

  • pending-maintenance-enable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.

  • pending-disable-kerberos – Das Deaktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.

  • pending-maintenance-disable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.

  • enable-kerberos-failed – Ein Konfigurationsproblem hat AWS daran gehindert, die Kerberos-Authentifizierung auf der DB-Instance zu aktivieren. Beheben Sie das Konfigurationsproblem, bevor Sie den Befehl zum Ändern der DB-Instance erneut ausgeben.

  • disabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu deaktivieren.

Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. Wenn der Versuch, die Kerberos-Authentifizierung zu aktivieren, fehlschlägt, wenn Sie eine DB-Instance erstellen oder ändern, stellen Sie sicher, dass Sie die richtige IAM-Rolle verwenden. Ändern Sie dann die DB-Instance, um der Domäne beizutreten.

Anmerkung

Nur die Kerberos-Authentifizierung mit Amazon RDS for Oracle sendet Datenverkehr an die DNS-Server der Domäne. Alle anderen DNS-Anforderungen werden als ausgehender Netzwerkzugriff auf Ihren DB-Instances behandelt, auf denen Oracle ausgeführt wird. Weitere Informationen zu ausgehendem Netzwerkzugriff mit Amazon RDS für Oracle finden Sie unter Einrichten eines benutzerdefinierten DNS-Servers.

Kerberos-Schlüssel mit erzwungener Rotation

Ein geheimer Schlüssel wird zwischen AWS Managed Microsoft AD und Amazon RDS for Oracle für die Oracle DB-Instance geteilt. Dieser Schlüssel wird alle 45 Tage automatisch rotiert. Sie können die folgende Amazon RDS-Prozedur verwenden, um die Rotation dieses Schlüssels zu erzwingen.

SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;
Anmerkung

In einer Lesereplikat-Konfiguration ist diese Vorgehensweise nur auf der Quell-DB-Instance und nicht auf dem Lesereplikat verfügbar.

Die Anweisung SELECT gibt die ID der Aufgabe in einem VARCHAR2-Datentyp zurück. Sie können den Status einer laufenden Aufgabe in einer bdump-Datei einsehen. Die bdump-Dateien befinden sich im Verzeichnis /rdsdbdata/log/trace. Jeder bdump-Dateiname weist das folgende Format auf.

dbtask-task-id.log

Sie können das Ergebnis anzeigen, indem Sie die Ausgabedatei der Aufgabe anzeigen.

SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));

Ersetzen Sie task-id durch die von der Prozedur zurückgegebene Aufgaben-ID.

Anmerkung

Die Aufgaben werden asynchron ausgeführt.