Configuration de Kerberos l'authentification pour Amazon RDS pour les instances de base de données DB2 - Amazon Relational Database Service
Étape 1 : créer un répertoire à l'aide du AWS Managed Microsoft ADÉtape 2 : Créer une approbationÉtape 3 : créer un rôle IAM pour accéder AWS Directory Service Étape 4 : Créer et configurer des utilisateurs Étape 5 : créer un groupe d'administrateurs DB2 dans AWS Managed Microsoft ADÉtape 6 : Modifier le paramètre de base de donnéesÉtape 7 : créer ou modifier une instance de base de donnéesÉtape 8 : récupérer le SID du groupe Active Directory dans PowerShellÉtape 9 : ajouter un SID aux GroupName mappages vers votre instance de base de donnéesÉtape 10 : Configuration d'un client DB2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de Kerberos l'authentification pour Amazon RDS pour les instances de base de données DB2

Vous utilisez AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) pour configurer l'Kerberosauthentification pour une instance de base de données RDS pour DB2. Pour configurer Kerberos l'authentification, procédez comme suit :

Étape 1 : créer un répertoire à l'aide de AWS Managed Microsoft AD

AWS Directory Service crée un système entièrement géré Active Directory dans le AWS Cloud. Lorsque vous créez un AWS Managed Microsoft AD annuaire, il AWS Directory Service crée deux contrôleurs de domaine et deux serveurs DNS pour vous. Les serveurs de répertoire sont créés dans des sous-réseaux différents d'un VPC. Cette redondance permet de s'assurer que votre répertoire reste accessible y compris en cas de défaillance.

Lorsque vous créez un AWS Managed Microsoft AD répertoire, AWS Directory Service exécute les tâches suivantes en votre nom :

  • Configure un Active Directory au sein de votre VPC.

  • Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et le mot de passe spécifié. Ce compte est utilisé pour gérer votre annuaire.

    Important

    Assurez-vous d'enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré ou réinitialisé.

  • Création d'un groupe de sécurité pour les contrôleurs de l'annuaire. Le groupe de sécurité doit autoriser la communication avec le RDS pour l'instance de base de données DB2.

Lorsque vous lancez AWS Directory Service for Microsoft Active Directory, AWS crée une unité organisationnelle (UO) contenant tous les objets de votre répertoire. Cette unité d'organisation, qui porte le nom NetBIOS que vous avez entré lorsque vous avez créé votre annuaire, est située dans la racine du domaine. La racine du domaine est détenue et gérée par AWS.

Le Admin compte créé avec votre AWS Managed Microsoft AD annuaire dispose d'autorisations pour les activités administratives les plus courantes de votre unité d'organisation :

  • Créez, mettez à jour ou supprimez des utilisateurs.

  • Ajoutez des ressources à votre domaine, telles que des serveurs de fichiers ou d'impression, puis attribuez des autorisations pour ces ressources aux utilisateurs de votre unité d'organisation.

  • Créez OUs des conteneurs supplémentaires.

  • Déléguer des autorités.

  • Restaurez les objets supprimés de la Active Directory corbeille.

  • Exécutez Active Directory et les modules DNS (Domain Name Service) pour Windows PowerShell le AWS Directory Service.

Le compte Admin dispose également de droits pour exécuter les activités suivantes au niveau du domaine :

  • Gérer les configurations DNS (ajouter, supprimer ou mettre à jour des enregistrements, des zones et des redirecteurs)

  • Afficher les journaux d'événements DNS.

  • Afficher les journaux d'événements de sécurité.

Pour créer un répertoire avec AWS Managed Microsoft AD

  1. Connectez-vous à la AWS Directory Service console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/directoryservicev2/.

  2. Choisissez Configurer le répertoire.

  3. Choisissez AWS Managed Microsoft AD. AWS Managed Microsoft AD est la seule option actuellement prise en charge pour une utilisation avec Amazon RDS.

  4. Choisissez Suivant.

  5. Sur la page Enter directory information (Saisir les détails du répertoire), renseignez les informations suivantes :

    • Édition — Choisissez l'édition qui répond à vos besoins.

    • Nom DNS du répertoire : nom complet du répertoire, tel quecorp.example.com.

    • Nom NetBIOS du répertoire : nom abrégé facultatif pour le répertoire, tel que. CORP

    • Description du répertoire : description facultative du répertoire.

    • Mot de passe administrateur : mot de passe de l'administrateur du répertoire. Le processus de création du répertoire crée un compte administrateur avec le nom d'utilisateur Admin et ce mot de passe.

      Le mot de passe de l'administrateur de l'annuaire ne peut pas contenir le terme « admin ». Le mot de passe est sensible à la casse et doit comporter entre 8 et 64 caractères. Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :

      • Lettres minuscules (a–z)

      • Lettres majuscules (A–Z)

      • Chiffres (0–9)

      • Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

      • Confirmer le mot de passe — Entrez à nouveau le mot de passe administrateur.

        Important

        Assurez-vous d'enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré ou réinitialisé.

  6. Choisissez Suivant.

  7. Sur la page Choose VPC and subnets (Choisir un VPC et des sous-réseaux), indiquez les informations suivantes :

    • VPC — Choisissez le VPC pour le répertoire. Vous pouvez créer l'instance de base de données RDS pour Db2 dans ce même VPC ou dans un autre VPC.

    • Sous-réseaux : choisissez les sous-réseaux pour les serveurs d'annuaire. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.

  8. Choisissez Suivant.

  9. Vérifiez les informations du répertoire. Si vous devez apporter des modifications, choisissez Previous (Précédent) et entrez ces modifications. Lorsque les informations sont correctes, choisissez Create directory (Créer l'annuaire).

    La fenêtre Vérifier et créer lors de la création du répertoire dans la AWS Directory Service console.

La création de l'annuaire prend plusieurs minutes. Lorsqu'il est créé, la valeur du champ Status (Statut) devient Active (Actif).

Pour consulter les informations relatives à votre répertoire, choisissez l'ID du répertoire sous ID du répertoire. Notez la valeur de Directory ID (ID du répertoire). Vous avez besoin de cette valeur lorsque vous créez ou modifiez votre instance de base de données RDS pour DB2.

La section Détails du répertoire avec l'ID du répertoire dans la AWS Directory Service console.

Étape 2 : Créer une approbation

Si vous prévoyez d'utiliser AWS Managed Microsoft AD uniquement, passez àÉtape 3 : créer un rôle IAM auquel Amazon RDS pourra accéder AWS Directory Service.

Pour activer l'authentification Kerberos à l'aide de votre Active Directory autogéré, vous devez créer une relation de confiance forestière entre votre Active Directory autogéré et le. Une approbation forestière est une relation de confiance entre un Microsoft AD et un Active Directory autogéré et AWS Managed Microsoft AD créé à l'étape précédente. L'approbation peut également être bidirectionnelle. Dans ce cas, les deux Active Directory s'approuvent mutuellement. Pour plus d'informations sur la configuration des approbations forestières à l'aide AWS Directory Service de la section Quand créer une relation d'approbation dans le Guide d'administration du AWS Directory Service.

Étape 3 : créer un rôle IAM auquel Amazon RDS pourra accéder AWS Directory Service

Pour qu'Amazon RDS puisse vous appeler AWS Directory Service , vous avez Compte AWS besoin d'un rôle IAM qui utilise la politique IAM gérée. AmazonRDSDirectoryServiceAccess Ce rôle permet à Amazon RDS de passer des appels à AWS Directory Service.

Lorsque vous créez une instance de base de données à l'aide de AWS Management Console et que votre compte utilisateur de console dispose de l'iam:CreateRoleautorisation, la console crée automatiquement le rôle IAM nécessaire. Dans ce cas, le nom du rôle est rds-directoryservice-kerberos-access-role. Sinon, vous devez créer le rôle IAM manuellement. Lorsque vous créez ce rôle IAMDirectory Service, choisissez et associez la politique AWS gérée AmazonRDSDirectoryServiceAccess à celui-ci.

Pour plus d'informations sur la création de rôles IAM pour un service, consultez la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le Guide de l'utilisateur IAM.

Note

Le rôle IAM utilisé pour Windows l'authentification pour RDS pour ne Microsoft SQL Server peut pas être utilisé pour RDS pour DB2.

Vous pouvez également créer des stratégies avec les autorisations obligatoires au lieu d'utiliser la politique gérée AmazonRDSDirectoryServiceAccess. Dans ce cas, le rôle IAM doit respecter la politique de confiance IAM suivante :

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Le rôle doit également respecter la politique de rôle IAM suivante :

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Étape 4 : Créer et configurer des utilisateurs

Vous pouvez créer des utilisateurs à l'aide de l'Active Directory Users and Computersoutil. C'est l'un Active Directory Domain Services des Active Directory Lightweight Directory Services outils. Pour plus d'informations, consultez la section Ajouter des utilisateurs et des ordinateurs au Active Directory domaine dans la Microsoft documentation. Dans ce cas, les utilisateurs sont des individus ou d'autres entités, tels que leurs ordinateurs, qui font partie du domaine et dont l'identité est conservée dans l'annuaire.

Pour créer des utilisateurs dans un AWS Directory Service annuaire, vous devez être connecté à une EC2 instance Amazon Windows basée qui est membre de l' AWS Directory Service annuaire. Dans le même temps, vous devez être connecté en tant qu'utilisateur autorisé à créer des utilisateurs. Pour plus d'informations, consultez Créer un utilisateur dans le Guide d'administration AWS Directory Service .

Étape 5 : créer un groupe d'administrateurs RDS pour DB2 dans AWS Managed Microsoft AD

RDS pour Db2 ne prend pas en charge Kerberos l'authentification de l'utilisateur principal ou des deux utilisateurs réservés Amazon RDS et. rdsdb rdsadmin Vous devez plutôt créer un nouveau groupe appelé masterdba in AWS Managed Microsoft AD. Pour plus d'informations, voir Créer un compte de groupe Active Directory dans la Microsoft documentation. Tous les utilisateurs que vous ajoutez à ce groupe auront des privilèges d'utilisateur principal.

Une fois Kerberos l'authentification activée, l'utilisateur principal perd son masterdba rôle. Par conséquent, l'utilisateur principal ne pourra pas accéder à l'appartenance au groupe d'utilisateurs local de l'instance à moins que vous ne désactiviez Kerberos l'authentification. Pour continuer à utiliser l'utilisateur principal connecté par mot de passe, créez un utilisateur AWS Managed Microsoft AD portant le même nom que l'utilisateur principal. Ajoutez ensuite cet utilisateur au groupemasterdba.

Étape 6 : Modifier le paramètre de base de données

Si vous prévoyez d'utiliser AWS Managed Microsoft AD uniquement, passez àÉtape 7 : créer ou modifier une instance de base de données RDS pour DB2.

Pour activer l'authentification Kerberos à l'aide de votre Active Directory autogéré, vous devez définir le paramètre sur AWS_MANAGED_AD_WITH_TRUST dans votre groupe rds.active_directory_configuration de paramètres. Par défaut, ce paramètre est défini sur AWS_MANAGED_AD pour l'utilisation de AWS Managed Microsoft AD uniquement.

Pour plus d'informations sur la modification des paramètres de base de données, consultezModification des paramètres dans les groupes de paramètres.

Étape 7 : créer ou modifier une instance de base de données RDS pour DB2

Créez ou modifiez une instance de base de données RDS pour DB2 à utiliser avec votre annuaire. Vous pouvez utiliser l'API AWS Management Console AWS CLI, le ou l'API RDS pour associer une instance de base de données à un annuaire. Vous pouvez effectuer cette opération de différentes manières :

Kerberosl'authentification n'est prise en charge que pour les instances de base de données RDS pour DB2 dans un VPC. L'instance de base de données peut être dans le même VPC que l'annuaire ou dans un VPC différent. L'instance de base de données doit utiliser un groupe de sécurité qui autorise l'entrée et la sortie au sein du VPC du répertoire afin que l'instance de base de données puisse communiquer avec l'annuaire.

Lorsque vous utilisez la console pour créer, modifier ou restaurer une instance de base de données, choisissez Mot de passe et Kerberos authentification dans la section Authentification de base de données. Ensuite, choisissez Browse Directory (Parcourir le répertoire). Sélectionnez le répertoire ou choisissez Create directory pour utiliser le Directory Service.

La section Authentification de base de données avec mot de passe et authentification Kerberos sélectionnée dans la console Amazon RDS.

Lorsque vous utilisez le AWS CLI, les paramètres suivants sont requis pour que l'instance de base de données puisse utiliser le répertoire que vous avez créé :

  • Pour le --domain paramètre, utilisez l'identifiant de domaine (d-*« identifiant ») généré lors de la création du répertoire.

  • Pour le paramètre --domain-iam-role-name, utilisez le rôle que vous avez créé qui utilise la politique IAM gérée AmazonRDSDirectoryServiceAccess.

L'exemple suivant modifie une instance de base de données pour utiliser un répertoire. Remplacez les espaces réservés suivants dans l'exemple par vos propres valeurs :

  • db_instance_name— Le nom de votre instance de base de données RDS pour DB2.

  • directory_id— L'ID du AWS Directory Service for Microsoft Active Directory répertoire que vous avez créé.

  • role_name— Le nom du rôle IAM que vous avez créé.

aws rds modify-db-instance --db-instance-identifier db_instance_name --domain d-directory_id --domain-iam-role-name role_name
Important

Si vous modifiez une instance de base de données pour activer Kerberos l'authentification, redémarrez-la après avoir effectué la modification.

Étape 8 : récupérer le SID du groupe Active Directory dans PowerShell

Un ID de sécurité (SID) identifie de manière unique un principal de sécurité ou un groupe de sécurité. Lorsqu'un groupe ou un compte de sécurité est créé dans Active Directory, Active Directory attribue un SID au groupe. Pour récupérer le SID du groupe de sécurité AD depuis Active Directory, utilisez l'Get-ADGroupapplet de commande sur un ordinateur client Windows qui fait partie du domaine Active Directory. Le Identity paramètre indique le nom du groupe Active Directory pour lequel vous souhaitez obtenir le SID.

L'exemple suivant renvoie le SID du groupe Active Directoryadgroup1.

C:\Users\Admin> Get-ADGroup -Identity adgroup1 | select SID

             SID
-----------------------------------------------
S-1-5-21-3168537779-1985441202-1799118680-1612

Vous devez générer ce mappage pour tous les groupes concernés par la base de données.

Étape 9 : ajouter un SID aux GroupName mappages vers votre instance de base de données RDS pour DB2

Vous devez ajouter le SID aux GroupName mappages créés à l'étape précédente à votre instance de base de données RDS pour DB2. Pour chaque mappage, appelez la procédure stockée suivante. Remplacez le SID et group_name par vos propres informations. 

db2 connect to rdsadmin
db2 "call rdsadmin.set_sid_group_mapping(?, 'SID','group_name')"

Pour de plus amples informations, veuillez consulter rdsadmin.set_sid_group_mapping.

Pour plus d'informations sur la vérification de l'état de la tâche, consultezrdsadmin.get_task_status.

Étape 10 : Configuration d'un client DB2

Pour configurer un client DB2

  1. Créez un fichier /etc/krb5.conf (ou équivalent) pour pointer vers le domaine.

    Note

    Pour les systèmes d'exploitation Windows, créez un fichier C:\windows\krb5.ini.

  2. Vérifiez que le trafic peut circuler entre l'hôte client et AWS Directory Service. Utilisez un utilitaire réseau tel que Netcat pour les tâches suivantes :

    1. Vérifiez le trafic via DNS pour le port 53.

    2. Vérifiez que le trafic est dépassé TCP/UDP pour le port 53 et pourKerberos, y compris les ports 88 et 464 pour AWS Directory Service.

  3. Vérifiez que le trafic peut circuler entre l'hôte du client et l'instance de base de données via le port de la base de données. Vous pouvez utiliser la commande db2 pour vous connecter et accéder à la base de données.

L'exemple suivant est le contenu du fichier /etc/krb5.conf pour : AWS Managed Microsoft AD

[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM