Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD Langkah 2: Buat kepercayaan Langkah 3: Buat peran IAM untuk mengakses AWS Directory Service Langkah 4: Buat dan konfigurasikan pengguna Langkah 5: Buat grup admin Db2 di AWS Managed Microsoft AD Langkah 6: Ubah parameter DB Langkah 7: Membuat atau memodifikasi instans DB Langkah 8: Ambil SID grup Direktori Aktif di PowerShell Langkah 9: Tambahkan SID ke GroupName pemetaan ke instans DB Anda Langkah 10: Konfigurasikan klien Db2

Menyiapkan Kerberos otentikasi untuk Amazon RDS untuk instans Db2 DB

Anda menggunakan AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengatur Kerberos otentikasi untuk RDS untuk instans Db2 DB. Untuk mengatur autentikasi Kerberos, ikuti langkah-langkah ini:

Topik

Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD
Langkah 2: Buat kepercayaan
Langkah 3: Buat peran IAM untuk Amazon RDS untuk mengakses AWS Directory Service
Langkah 4: Buat dan konfigurasikan pengguna
Langkah 5: Buat RDS untuk grup admin Db2 di AWS Managed Microsoft AD
Langkah 6: Ubah parameter DB
Langkah 7: Buat atau modifikasi RDS untuk instans Db2 DB
Langkah 8: Ambil SID grup Active Directory di PowerShell
Langkah 9: Tambahkan SID ke GroupName pemetaan ke RDS Anda untuk instans Db2 DB
Langkah 10: Konfigurasikan klien Db2

Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD

AWS Directory Service menciptakan yang dikelola sepenuhnya Active Directory di AWS Cloud. Saat Anda membuat AWS Managed Microsoft AD direktori, AWS Directory Service buat dua pengontrol domain dan server DNS untuk Anda. Server-server direktori dibuat di subnet yang berbeda di VPC. Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses meskipun terjadi kegagalan.

Saat Anda membuat AWS Managed Microsoft AD direktori, AWS Directory Service lakukan tugas-tugas berikut atas nama Anda:

Menyiapkan Active Directory di dalam VPC Anda.
Membuat akun administrator direktori dengan nama pengguna Admin dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori Anda.

penting
Pastikan untuk menyimpan kata sandi ini. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil atau diatur ulang.
Membuat grup keamanan untuk pengontrol direktori. Grup keamanan harus mengizinkan komunikasi dengan instans basis data RDS for Db2.

Saat Anda meluncurkan AWS Directory Service for Microsoft Active Directory, AWS buat unit organisasi (OU) yang berisi semua objek direktori Anda. OU ini memiliki nama NetBIOS yang Anda masukkan saat membuat direktori, dan terletak di root domain. Root domain dimiliki dan dikelola oleh AWS.

AdminAkun yang dibuat dengan AWS Managed Microsoft AD direktori Anda memiliki izin untuk kegiatan administratif yang paling umum untuk OU Anda:

Membuat, memperbarui, atau menghapus pengguna.
Menambahkan sumber daya ke domain Anda seperti server file atau cetak, lalu menetapkan izin untuk sumber daya tersebut kepada pengguna di OU Anda.
Buat tambahan OUs dan wadah.
Mendelegasikan otoritas.
Memulihkan objek-objek yang dihapus dari Keranjang Sampah Active Directory.
Menjalankan modul-modul Active Directory dan Domain Name Service (DNS) untuk Windows PowerShell di AWS Directory Service.

Akun Admin juga memiliki hak melakukan aktivitas-aktivitas selingkup domain berikut:

Mengelola konfigurasi DNS (menambahkan, menghapus, atau memperbarui catatan, zona, dan penerus).
Lihat log peristiwa DNS.
Lihat log peristiwa keamanan.

Untuk membuat direktori dengan AWS Managed Microsoft AD

Masuk ke AWS Management Console dan buka AWS Directory Service konsol di https://console.aws.amazon.com/directoryservicev2/.
Pilih Siapkan direktori.
Pilih AWS Managed Microsoft AD. AWS Managed Microsoft AD adalah satu-satunya pilihan yang saat ini didukung untuk digunakan dengan Amazon RDS.
Pilih Berikutnya.
Di halaman Masukkan informasi direktori, berikan informasi berikut:
- Edisi – Pilih edisi yang memenuhi kebutuhan Anda.
- Nama DNS direktori – Nama berkualifikasi penuh untuk direktori, seperti corp.example.com.
- Nama NetBIOS direktori – Nama pendek opsional untuk direktori, seperti CORP.
- Deskripsi direktori – Deskripsi opsional untuk direktori.
- Kata sandi admin – Kata sandi untuk administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna Admin dan kata sandi ini.
  
  Kata sandi administrator direktori tidak boleh menyertakan kata “admin.” Kata sandi peka terhadap huruf besar/kecil dan harus terdiri dari 8–64 karakter. Kata sandi juga harus berisi setidaknya satu karakter dari tiga di antara empat kategori berikut:
  - Huruf kecil (a-z)
  - Huruf besar (A-Z)
  - Angka (0–9)
  - Karakter non-alfanumerik (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
  - Ulangi kata sandi – Ketik ulang kata sandi administrator.
    
    penting
    Pastikan Anda menyimpan kata sandi ini. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil atau diatur ulang.
Pilih Berikutnya.
Di halaman Pilih VPC dan subnet, berikan informasi berikut:
- VPC – Pilih VPC untuk direktori. Anda dapat membuat instans basis data RDS for Db2 dalam VPC yang sama ini atau dalam VPC yang berbeda.
- Subnet – Pilih subnet untuk server direktori. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.
Pilih Berikutnya.
Tinjau informasi direktori. Jika ada yang perlu diubah, pilih Sebelumnya dan lakukan perubahan. Jika informasi sudah benar, pilih Buat direktori.

Dibutuhkan beberapa menit sampai direktori terbuat. Setelah direktori berhasil dibuat, nilai Status berubah menjadi Aktif.

Untuk melihat informasi tentang direktori Anda, pilih ID direktori di ID Direktori. Buat catatan tentang nilai ID Direktori. Anda memerlukan nilai ini saat membuat atau mengubah instans basis data RDS for Db2.

Bagian Detail direktori dengan ID Direktori di AWS Directory Service konsol.

Langkah 2: Buat kepercayaan

Jika Anda berencana untuk menggunakan Microsoft AD yang AWS Dikelola saja, lewati keLangkah 3: Buat peran IAM untuk Amazon RDS untuk mengakses AWS Directory Service.

Untuk mengaktifkan otentikasi Kerberos menggunakan Active Directory yang dikelola sendiri, Anda harus membuat hubungan kepercayaan hutan antara Active Directory yang dikelola sendiri dan Active Directory. Forest trust adalah hubungan kepercayaan antara Microsoft AD dan Active Directory yang dikelola sendiri dan yang AWS Managed Microsoft AD dibuat pada langkah sebelumnya. Kepercayaan juga dapat bersifat dua arah, di mana kedua Active Directory saling mempercayai. Untuk informasi selengkapnya tentang cara menyiapkan trust hutan AWS Directory Service, lihat Kapan membuat hubungan kepercayaan di AWS Directory Service Administration Guide.

Langkah 3: Buat peran IAM untuk Amazon RDS untuk mengakses AWS Directory Service

Agar Amazon RDS memanggil AWS Directory Service Anda, Anda Akun AWS memerlukan peran IAM yang menggunakan kebijakan IAM terkelola. AmazonRDSDirectoryServiceAccess Peran ini memungkinkan Amazon RDS melakukan panggilan ke AWS Directory Service.

Saat Anda membuat instans DB menggunakan AWS Management Console dan akun pengguna konsol Anda memiliki iam:CreateRole izin, konsol akan membuat peran IAM yang diperlukan secara otomatis. Dalam hal ini, nama perannya adalah rds-directoryservice-kerberos-access-role. Jika tidak, Anda harus membuat peran IAM secara manual. Saat Anda membuat peran IAM ini, pilihDirectory Service, dan lampirkan kebijakan AWS terkelola AmazonRDSDirectoryServiceAccess padanya.

Untuk informasi selengkapnya tentang membuat peran IAM untuk layanan, lihat Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan Pengguna IAM.

catatan

Peran IAM yang digunakan untuk autentikasi Windows untuk RDS for Microsoft SQL Server tidak dapat digunakan untuk RDS for Db2.

Sebagai alternatif untuk penggunaan kebijakan terkelola AmazonRDSDirectoryServiceAccess, Anda dapat membuat kebijakan dengan izin-izin yang diperlukan. Dalam hal ini, peran IAM harus memiliki kebijakan kepercayaan IAM berikut:

Peran ini juga harus memiliki kebijakan peran IAM berikut:

Langkah 4: Buat dan konfigurasikan pengguna

Anda dapat membuat pengguna dengan alat Active Directory Users and Computers. Inilah salah satu alat Active Directory Domain Services dan Active Directory Lightweight Directory Services. Lihat informasi yang lebih lengkap di Add Users and Computers to the Active Directory domain dalam dokumentasi Microsoft. Dalam hal ini, pengguna adalah orang atau entitas lain, seperti komputer, yang merupakan bagian dari domain dan yang identitasnya dipelihara di dalam direktori.

Untuk membuat pengguna di AWS Directory Service direktori, Anda harus terhubung ke EC2 instance Amazon Windows berbasis yang merupakan anggota AWS Directory Service direktori. Pada saat yang sama, Anda harus masuk sebagai pengguna yang memiliki privilese membuat pengguna. Lihat informasi yang lebih lengkap di Membuat pengguna dalam Panduan Administrasi AWS Directory Service .

Langkah 5: Buat RDS untuk grup admin Db2 di AWS Managed Microsoft AD

RDS for Db2 tidak mendukung autentikasi Kerberos untuk pengguna master atau dua pengguna yang dicadangkan Amazon RDS rdsdb dan rdsadmin. Sebagai gantinya, Anda perlu membuat grup baru yang dipanggil masterdba AWS Managed Microsoft AD. Lihat informasi yang lebih lengkap di Create a Group Account in Active Directory dalam dokumentasi Microsoft. Semua pengguna yang Anda tambahkan ke grup ini akan memiliki privilese pengguna master.

Setelah Anda mengaktifkan autentikasi Kerberos, pengguna master kehilangan peran masterdba. Akibatnya, pengguna master tidak akan dapat mengakses keanggotaan grup pengguna lokal instans kecuali Anda menonaktifkan autentikasi Kerberos. Untuk terus menggunakan pengguna master dengan login kata sandi, buat pengguna di AWS Managed Microsoft AD dengan nama yang sama dengan pengguna master. Lalu, tambahkan pengguna itu ke grup masterdba.

Langkah 6: Ubah parameter DB

Jika Anda berencana untuk menggunakan AWS Managed Microsoft AD saja, lewati keLangkah 7: Buat atau modifikasi RDS untuk instans Db2 DB.

Untuk mengaktifkan otentikasi Kerberos menggunakan Active Directory yang dikelola sendiri, Anda harus mengatur parameter rds.active_directory_configuration ke AWS_MANAGED_AD_WITH_TRUST dalam grup parameter Anda. Secara default, parameter ini diatur AWS_MANAGED_AD untuk menggunakan Microsoft AD AWS Terkelola saja.

Untuk informasi tentang memodifikasi parameter DB, lihatMemodifikasi parameter dalam kelompok parameter.

Langkah 7: Buat atau modifikasi RDS untuk instans Db2 DB

Buat atau ubah instans basis data RDS for Db2 untuk digunakan dengan direktori Anda. Anda dapat menggunakan AWS Management Console, AWS CLI, atau RDS API untuk mengaitkan instans basis data dengan direktori. Anda dapat melakukannya dengan salah satu cara berikut:

Buat instans basis data RDS for Db2 baru dengan menggunakan konsol, perintah create-db-instance, atau operasi API CreateDBInstance. Lihat petunjuknya di Membuat instans DB Amazon RDS.
Ubah RDS yang ada untuk instans Db2 DB menggunakan konsol, modify-db-instanceperintah, atau operasi Modify DBInstance API. Lihat petunjuknya di Memodifikasi instans Amazon RDS DB.
Pulihkan instans basis data RDS for Db2 dari cuplikan basis data dengan menggunakan konsol, perintah restore-db-instance-from-db-snapshot, atau operasi API RestoreDBInstanceFromDBSnapshot. Lihat petunjuknya di Memulihkan ke instans DB.
Pulihkan instans RDS untuk Db2 DB ke point-in-time menggunakan konsol, restore-db-instance-to-point-in-timeperintah, atau operasi API. RestoreDBInstanceToPointInTime Lihat petunjuknya di Memulihkan instans DB ke waktu yang ditentukan untuk Amazon RDS.

Autentikasi Kerberos hanya didukung untuk instans basis data RDS for Db2 dalam VPC. Instans basis data boleh berada dalam VPC yang sama dengan direktori, atau dalam VPC yang berbeda. Instans basis data harus menggunakan grup keamanan yang memungkinkan data masuk dan keluar di dalam VPC direktori, sehingga instans basis data dapat berkomunikasi dengan direktori.

Saat Anda menggunakan konsol untuk membuat, mengubah, atau memulihkan instans basis data, pilih Autentikasi kata sandi dan Kerberos di bagian Autentikasi basis data. Kemudian, pilih Telusuri direktori. Pilih direktori atau pilih Buat direktori untuk menggunakan Directory Service.

Bagian otentikasi Database dengan Password dan otentikasi Kerberos dipilih di konsol Amazon RDS.

Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan direktori yang Anda buat:

Untuk parameter --domain, gunakan pengidentifikasi domain (pengidentifikasi "d-*") yang dihasilkan saat Anda membuat direktori.
Untuk parameter --domain-iam-role-name, gunakan peran yang Anda buat dengan menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess.

Contoh berikut mengubah instans basis data untuk menggunakan direktori. Ganti penampung nilai berikut dalam contoh dengan nilai-nilai Anda sendiri:

db_instance_name— Nama RDS Anda untuk instans Db2 DB.
directory_id— ID AWS Directory Service for Microsoft Active Directory direktori yang Anda buat.
role_name— Nama peran IAM yang Anda buat.


aws rds modify-db-instance --db-instance-identifier db_instance_name --domain d-directory_id --domain-iam-role-name role_name

penting

Jika Anda mengubah instans basis data untuk mengaktifkan autentikasi Kerberos, boot ulang instans basis data setelah membuat perubahan.

Langkah 8: Ambil SID grup Active Directory di PowerShell

ID keamanan (SID) secara unik mengidentifikasi prinsip keamanan atau grup keamanan. Ketika grup keamanan atau akun dibuat di Active Directory, Active Directory menetapkan SID ke grup. Untuk mengambil SID grup keamanan AD dari Active Directory, gunakan Get-ADGroup cmdlet di mesin klien Windows yang merupakan bagian dari domain Active Directory. IdentityParameter menentukan nama grup Active Directory yang Anda inginkan SID untuk.

Contoh berikut mengembalikan SID dari grup Active Directoryadgroup1.


C:\Users\Admin> Get-ADGroup -Identity adgroup1 | select SID

             SID
-----------------------------------------------
S-1-5-21-3168537779-1985441202-1799118680-1612

Anda harus membuat pemetaan ini untuk semua grup yang relevan dengan database.

Langkah 9: Tambahkan SID ke GroupName pemetaan ke RDS Anda untuk instans Db2 DB

Anda perlu menambahkan SID ke GroupName pemetaan yang dibuat pada langkah sebelumnya ke RDS Anda untuk instans Db2 DB. Untuk setiap pemetaan, hubungi prosedur tersimpan berikut. Ganti SID dan group_name dengan informasi Anda sendiri.


db2 connect to rdsadmin
db2 "call rdsadmin.set_sid_group_mapping(?, 'SID','group_name')"

Untuk informasi selengkapnya, lihat rdsadmin.set_sid_group_mapping.

Untuk informasi tentang memeriksa status tugas, lihatrdsadmin.get_task_status.

Langkah 10: Konfigurasikan klien Db2

Untuk mengonfigurasikan klien Db2

Buat file /etc/krb5.conf (atau setara) untuk menunjuk ke domain.

catatan
Untuk sistem operasi Windows, buat file C:\windows\krb5.ini.
Verifikasi bahwa lalu lintas dapat mengalir antara host klien dan AWS Directory Service. Gunakan utilitas jaringan seperti Netcat untuk tugas-tugas berikut:
1. Periksa lalu lintas atas DNS untuk port 53.
2. Verifikasi lalu lintas TCP/UDP untuk port 53 dan untukKerberos, yang mencakup port 88 dan 464 untuk AWS Directory Service.
Periksa bahwa lalu lintas dapat mengalir antara host klien dan instans basis data melalui port basis data. Anda dapat menggunakan perintah db2 untuk menghubungkan dan mengakses basis data.

Contoh berikut adalah /etc/krb5.conf konten file untuk: AWS Managed Microsoft AD


[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan autentikasi Kerberos

Menghubungkan dengan Kerberos autentikasi