Configuration de l’authentification Kerberos pour les instances de base de données Amazon RDS for Db2 - Amazon Relational Database Service
Étape 1 : créer un répertoire à l'aide du AWS Managed Microsoft ADÉtape 2 : Créer une approbationÉtape 3 : créer un rôle IAM pour accéder Directory Service Étape 4 : Créer et configurer des utilisateurs Étape 5 : créer un groupe d'administrateurs DB2 dans AWS Managed Microsoft ADÉtape 6 : modification du paramètre de base de donnéesÉtape 7 : création ou modification d’une instance de base de donnéesÉtape 8 : récupérer le SID du groupe Active Directory dans PowerShellÉtape 9 : ajouter un SID aux GroupName mappages vers votre instance de base de donnéesÉtape 10 : configuration d’un client Db2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l’authentification Kerberos pour les instances de base de données Amazon RDS for Db2

Vous utilisez AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) pour configurer l'Kerberosauthentification pour une instance de base de données RDS pour DB2. Pour configurer l’authentification Kerberos, procédez comme suit :

Étape 1 : créer un répertoire à l'aide de AWS Managed Microsoft AD

Directory Service crée un système entièrement géré Active Directory dans le AWS Cloud. Lorsque vous créez un AWS Managed Microsoft AD annuaire, il Directory Service crée deux contrôleurs de domaine et deux serveurs DNS pour vous. Les serveurs de répertoire sont créés dans des sous-réseaux différents d’un VPC. Cette redondance permet de s’assurer que votre répertoire reste accessible y compris en cas de défaillance.

Lorsque vous créez un AWS Managed Microsoft AD répertoire, il Directory Service exécute les tâches suivantes en votre nom :

  • Configuration d’un annuaire Active Directory dans votre VPC.

  • Création d’un compte d’administrateur d’annuaire avec le nom d’utilisateur Admin et le mot de passe spécifié. Ce compte est utilisé pour gérer votre annuaire.

    Important

    Assurez-vous d'enregistrer ce mot de passe. Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré ou réinitialisé.

  • Création d’un groupe de sécurité pour les contrôleurs de l’annuaire. Le groupe de sécurité doit autoriser la communication avec l’instance de base de données RDS for Db2.

Lorsque vous lancez AWS Directory Service for Microsoft Active Directory, AWS crée une unité organisationnelle (UO) qui contient tous les objets de votre répertoire. Cette unité organisationnelle, qui porte le nom NetBIOS que vous avez entré lorsque vous avez créé votre annuaire, est située dans la racine du domaine. La racine du domaine est détenue et gérée par AWS.

Le Admin compte créé avec votre AWS Managed Microsoft AD annuaire dispose d'autorisations pour les activités administratives les plus courantes de votre unité d'organisation :

  • Créer, mettre à jour et supprimer des utilisateurs.

  • Ajouter des ressources à votre domaine, comme des serveurs de fichiers ou d’impression, puis attribuer des autorisations pour ces ressources aux utilisateurs dans votre unité organisationnelle.

  • Créez OUs des conteneurs supplémentaires.

  • Déléguer des autorités.

  • Restaurer des objets supprimés de la corbeille Active Directory.

  • Exécuter Active Directory et les modules DNS (Domain Name Service) pour Windows PowerShell sur l’ Directory Service.

Le compte Admin dispose également de droits pour exécuter les activités suivantes au niveau du domaine :

  • Gérer les configurations DNS (ajouter, supprimer ou mettre à jour des enregistrements, des zones et des redirecteurs)

  • Afficher les journaux d'événements DNS.

  • Afficher les journaux d'événements de sécurité.

Pour créer un répertoire avec AWS Managed Microsoft AD

  1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/directoryservicev2/.

  2. Choisissez Configurer le répertoire.

  3. Choisissez AWS Managed Microsoft AD. AWS Managed Microsoft AD est la seule option actuellement prise en charge pour une utilisation avec Amazon RDS.

  4. Choisissez Suivant.

  5. Sur la page Enter directory information (Saisir les détails du répertoire), renseignez les informations suivantes :

    • Édition : choisissez l’édition qui correspond à vos besoins.

    • Nom DNS du répertoire : nom complet du répertoire, par exemple corp.example.com.

    • Nom NetBIOS du répertoire : nom court facultatif pour le répertoire, par exemple CORP.

    • Description du répertoire : description facultative du répertoire.

    • Mot de passe administrateur : mot de passe de l’administrateur du répertoire. Le processus de création d’un annuaire crée un compte d’administrateur avec le nom d’utilisateur Admin et ce mot de passe.

      Le mot de passe de l’administrateur de l’annuaire ne peut pas contenir le terme « admin ». Le mot de passe est sensible à la casse et doit comporter entre 8 et 64 caractères. Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :

      • Lettres minuscules (a–z)

      • Lettres majuscules (A–Z)

      • Chiffres (0–9)

      • Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"’<>,.?/)

      • Confirmer le mot de passe : saisissez à nouveau le mot de passe de l’administrateur.

        Important

        Assurez-vous d'enregistrer ce mot de passe. Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré ou réinitialisé.

  6. Choisissez Suivant.

  7. Sur la page Choose VPC and subnets (Choisir un VPC et des sous-réseaux), indiquez les informations suivantes :

    • VPC : sélectionnez le VPC pour le répertoire. Vous pouvez créer l’instance de base de données RDS for Db2 dans ce même VPC ou dans un autre VPC.

    • Sous-réseaux : choisissez les sous-réseaux pour les serveurs de répertoires. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.

  8. Choisissez Suivant.

  9. Vérifiez les informations du répertoire. Si vous devez apporter des modifications, choisissez Previous (Précédent) et entrez ces modifications. Lorsque les informations sont correctes, choisissez Create directory (Créer l’annuaire).

    La fenêtre Réviser et créer lors de la création du répertoire dans la Directory Service console.

La création de l’annuaire prend plusieurs minutes. Lorsqu’il est créé, la valeur du champ Statut devient Actif.

Pour consulter les informations relatives à votre annuaire, choisissez l’ID d’annuaire sous ID d’annuaire. Notez la valeur de Directory ID (ID du répertoire). Vous en aurez besoin pour créer ou modifier votre instance de base de données RDS for Db2.

La section Détails du répertoire avec l'ID du répertoire dans la Directory Service console.

Étape 2 : Créer une approbation

Si vous prévoyez d'utiliser AWS Managed Microsoft AD uniquement, passez àÉtape 3 : créer un rôle IAM auquel Amazon RDS pourra accéder Directory Service.

Pour activer l’authentification Kerberos à l’aide de votre Active Directory autogéré, vous devez créer une relation d’approbation de forêt entre votre Active Directory autogéré et le . Une approbation forestière est une relation de confiance entre un Microsoft AD et un Active Directory autogéré et AWS Managed Microsoft AD créé à l'étape précédente. L’approbation peut également être bidirectionnelle. Dans ce cas, les deux Active Directory s’approuvent mutuellement. Pour plus d'informations sur la configuration des approbations forestières à l'aide Directory Service de la section Quand créer une relation d'approbation dans le Guide d'administration du AWS Directory Service.

Étape 3 : créer un rôle IAM auquel Amazon RDS pourra accéder Directory Service

Pour qu'Amazon RDS puisse vous appeler Directory Service , vous avez Compte AWS besoin d'un rôle IAM qui utilise la politique IAM gérée. AmazonRDSDirectoryServiceAccess Ce rôle permet à Amazon RDS d’appeler Directory Service.

Lorsque vous créez une instance de base de données à l'aide de AWS Management Console et que votre compte utilisateur de console dispose de l'iam:CreateRoleautorisation, la console crée automatiquement le rôle IAM nécessaire. Dans ce cas, le nom du rôle est rds-directoryservice-kerberos-access-role. Sinon, vous devez créer le rôle IAM manuellement. Lorsque vous créez ce rôle IAMDirectory Service, choisissez et associez la politique AWS gérée AmazonRDSDirectoryServiceAccess à celui-ci.

Pour plus d'informations sur la création de rôles IAM pour un service, consultez la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le Guide de l'utilisateur IAM.

Note

Le rôle IAM utilisé pour l’authentification Windows pour RDS for Microsoft SQL Server ne peut pas être utilisé pour RDS for Db2.

Vous pouvez également créer des stratégies avec les autorisations obligatoires au lieu d’utiliser la politique gérée AmazonRDSDirectoryServiceAccess. Dans ce cas, le rôle IAM doit avoir la politique d’approbation IAM suivante :

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Le rôle doit également avoir la politique de rôle IAM suivante :

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Étape 4 : Créer et configurer des utilisateurs

Vous pouvez créer des utilisateurs à l’aide de l’outil Active Directory Users and Computers. C’est l’un des outils Active Directory Domain Services et Active Directory Lightweight Directory Services. Pour plus d’informations, consultez Ajouter des utilisateurs et des ordinateurs au domaine Active Directory dans la documentation Microsoft. Dans ce cas, les utilisateurs sont des individus ou d’autres entités, tels que leurs ordinateurs, qui font partie du domaine et dont les identités sont conservées dans l’annuaire.

Pour créer des utilisateurs dans un Directory Service annuaire, vous devez être connecté à une EC2 instance Amazon Windows basée qui est membre de l' Directory Service annuaire. Parallèlement, vous devez être connecté en tant qu’utilisateur disposant de privilèges pour créer des utilisateurs. Pour plus d’informations, consultez Créer un utilisateur dans le Guide d’administration AWS Directory Service .

Étape 5 : créer un groupe d'administrateurs RDS pour DB2 dans AWS Managed Microsoft AD

RDS for Db2 ne prend pas en charge l’authentification Kerberos de l’utilisateur principal ou des deux utilisateurs réservés Amazon RDS rdsdb et rdsadmin. Au lieu de cela, vous devez créer un nouveau groupe appelé masterdba in AWS Managed Microsoft AD. Pour plus d’informations, consultez Créer un compte de groupe Active Directory dans la documentation Microsoft. Tous les utilisateurs que vous ajoutez à ce groupe auront des privilèges d’utilisateur principal.

Une fois l’authentification Kerberos activée, l’utilisateur principal perd son rôle masterdba. Par conséquent, l’utilisateur principal ne pourra pas accéder à l’appartenance au groupe d’utilisateurs local de l’instance, sauf si vous désactivez l’authentification Kerberos. Pour continuer à utiliser l’utilisateur principal connecté par mot de passe, créez un utilisateur sur AWS Managed Microsoft AD portant le même nom que l’utilisateur principal. Ajoutez ensuite cet utilisateur au groupe masterdba.

Étape 6 : modification du paramètre de base de données

Si vous prévoyez d'utiliser AWS Managed Microsoft AD uniquement, passez àÉtape 7 : création ou modification d’une instance de base de données RDS for Db2.

Pour activer l’authentification Kerberos à l’aide de votre Active Directory autogéré, vous devez définir le paramètre rds.active_directory_configuration sur AWS_MANAGED_AD_WITH_TRUST dans votre groupe de paramètres. Par défaut, ce paramètre est défini sur AWS_MANAGED_AD pour l'utilisation de AWS Managed Microsoft AD uniquement.

Pour plus d’informations sur la modification des paramètres de base de données, consultez Modification des paramètres dans les groupes de paramètres.

Étape 7 : création ou modification d’une instance de base de données RDS for Db2

Créez ou modifiez une instance de base de données RDS for Db2 en vue de son utilisation avec votre répertoire. Vous pouvez utiliser la AWS Management Console, l’ AWS CLI ou l’API RDS pour associer une instance de base de données à un répertoire. Vous pouvez effectuer cette opération de différentes manières :

L’authentification Kerberos est uniquement prise en charge pour les instances de base de données RDS for Db2 dans un VPC. L’instance de base de données peut être dans le même VPC que l’annuaire ou dans un VPC différent. L’instance de base de données doit utiliser un groupe de sécurité qui accepte les entrées et les sorties du VPC de l’annuaire, afin que l’instance de base de données puisse communiquer avec le répertoire.

Lorsque vous utilisez la console pour créer, modifier ou restaurer une instance de bases de données, choisissez Mot de passe et authentification Kerberos dans la section Authentification de base de données. Ensuite, choisissez Browse Directory (Parcourir le répertoire). Sélectionnez le répertoire ou choisissez Créer un nouveau répertoire pour utiliser Directory Service.

La section Authentification de base de données avec mot de passe et authentification Kerberos sélectionnée dans la console Amazon RDS.

Lorsque vous utilisez le AWS CLI, les paramètres suivants sont requis pour que l'instance de base de données puisse utiliser le répertoire que vous avez créé :

  • Pour le paramètre --domain, vous devez indiquer l’identifiant du domaine (identifiant « d-* ») généré lors de la création de l’annuaire.

  • Pour le paramètre --domain-iam-role-name, utilisez le rôle que vous avez créé qui utilise la politique IAM gérée AmazonRDSDirectoryServiceAccess.

L’exemple suivant modifie une instance de base de données de façon à utiliser un répertoire. Remplacez les placeholders suivants dans l’exemple par vos propres valeurs :

  • db_instance_name— Le nom de votre instance de base de données RDS pour DB2.

  • directory_id— L'ID du AWS Directory Service for Microsoft Active Directory répertoire que vous avez créé.

  • role_name— Le nom du rôle IAM que vous avez créé.

aws rds modify-db-instance --db-instance-identifier db_instance_name --domain d-directory_id --domain-iam-role-name role_name
Important

Si vous modifiez une instance de base de données de façon à activer l’authentification Kerberos, redémarrez l’instance de base de données après avoir effectué la modification.

Étape 8 : récupérer le SID du groupe Active Directory dans PowerShell

Un identifiant de sécurité (SID) permet d’identifier de manière unique un principal ou un groupe de sécurité. Lorsqu’un groupe ou un compte de sécurité est créé dans Active Directory, Active Directory attribue un SID au groupe. Pour récupérer le SID du groupe de sécurité AD depuis Active Directory, utilisez l’applet de commande Get-ADGroup sur un ordinateur client Windows qui fait partie du domaine Active Directory. Le paramètre Identity indique le nom du groupe Active Directory pour lequel vous souhaitez obtenir le SID.

L’exemple suivant renvoie le SID du groupe Active Directory adgroup1.

C:\Users\Admin> Get-ADGroup -Identity adgroup1 | select SID

             SID
-----------------------------------------------
S-1-5-21-3168537779-1985441202-1799118680-1612

Vous devez générer ce mappage pour tous les groupes concernés par la base de données.

Étape 9 : ajouter un SID aux GroupName mappages vers votre instance de base de données RDS pour DB2

Vous devez ajouter le SID aux GroupName mappages créés à l'étape précédente à votre instance de base de données RDS pour DB2. Pour chaque mappage, appelez la procédure stockée suivante. Remplacez le SID et group_name par vos propres informations. 

db2 connect to rdsadmin
db2 "call rdsadmin.set_sid_group_mapping(?, 'SID','group_name')"

Pour de plus amples informations, veuillez consulter rdsadmin.set_sid_group_mapping.

Pour plus d’informations sur la vérification du statut d’une tâche, consultez rdsadmin.get_task_status.

Étape 10 : configuration d’un client Db2

Configuration d’un client Db2

  1. Créez un fichier /etc/krb5.conf (ou équivalent) pointant vers le domaine.

    Note

    Pour les systèmes d’exploitation Windows, créez un fichier C:\windows\krb5.ini.

  2. Vérifiez que le trafic peut circuler entre l'hôte client et Directory Service. Utilisez un utilitaire réseau tel que Netcat pour les tâches suivantes :

    1. Vérifiez le trafic via DNS pour le port 53.

    2. Vérifiez que le trafic est dépassé TCP/UDP pour le port 53 et pourKerberos, y compris les ports 88 et 464 pour Directory Service.

  3. Vérifiez que le trafic peut circuler entre l’hôte du client et l’instance de base de données via le port de la base de données. Vous pouvez utiliser la commande db2 pour vous connecter à la base de données et y accéder.

L'exemple suivant est le contenu du fichier /etc/krb5.conf pour : AWS Managed Microsoft AD

[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM