Fase 1: Creare una cartella utilizzando AWS Managed Microsoft AD Fase 2: creare un ruolo IAM a cui accedere AWS Directory Service Fase 3: creazione e configurazione di utenti Fase 4: Creare un gruppo di amministratori Db2 in AWS Managed Microsoft AD Fase 5: Creare o modificare un'istanza DB Fase 6: Configurazione di un client Db2

Configurazione Kerberos dell'autenticazione per le istanze database Amazon RDS per Db2

Si utilizza AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) per configurare Kerberos l'autenticazione per un'istanza DB RDS for Db2. Per configurare Kerberos l'autenticazione, procedi nel seguente modo:

Argomenti

Passaggio 1: creare una directory utilizzando AWS Managed Microsoft AD
Fase 2: creare un ruolo IAM a cui accedere ad Amazon RDS AWS Directory Service
Fase 3: creazione e configurazione di utenti
Passaggio 4: Creare un gruppo di amministratori RDS for Db2 in AWS Managed Microsoft AD
Passaggio 5: creare o modificare un'istanza DB RDS for Db2
Fase 6: Configurazione di un client Db2

Passaggio 1: creare una directory utilizzando AWS Managed Microsoft AD

AWS Directory Service crea un file completamente gestito Active Directory in Cloud AWS. Quando crei una AWS Managed Microsoft AD directory, AWS Directory Service crea automaticamente due controller di dominio e server DNS. I server di directory vengono creati in sottoreti diverse in un VPC. Questa ridondanza assicura che la directory rimanga accessibile anche se si verifica un errore.

Quando crei una AWS Managed Microsoft AD directory, AWS Directory Service esegue le seguenti attività per tuo conto:

Configura un file Active Directory all'interno del tuo VPC.
Crea un account amministratore della directory con il nome utente Admin e la password specificata. Puoi utilizzare questo account per gestire le directory.

Importante
Assicurati di salvare questa password. AWS Directory Service non memorizza questa password e non può essere recuperata o reimpostata.
Crea un gruppo di sicurezza per i controller della directory. Il gruppo di sicurezza deve consentire la comunicazione con l'istanza DB RDS for Db2.

All'avvio AWS Directory Service for Microsoft Active Directory, AWS crea un'unità organizzativa (OU) che contiene tutti gli oggetti della directory. Questa unità organizzativa, che ha lo stesso nome NetBIOS che hai immesso al momento della creazione della directory, si trova nella radice del dominio. La radice del dominio è di proprietà e gestita da AWS.

L'Adminaccount creato con la AWS Managed Microsoft AD directory dispone delle autorizzazioni per le attività amministrative più comuni dell'unità organizzativa:

Creare, aggiornare o eliminare utenti.
Aggiungi risorse al tuo dominio, ad esempio server di file o di stampa, quindi assegna le autorizzazioni per tali risorse agli utenti dell'unità organizzativa.
Crea contenitori aggiuntivi OUs e.
delega dell'autorità;
Ripristina gli oggetti eliminati dal Active Directory Cestino.
Moduli Run Active Directory e Domain Name Service (DNS) perWindows PowerShell. AWS Directory Service

L'account Admin dispone anche dei diritti per eseguire queste attività in tutto il dominio:

gestione delle configurazioni DNS (aggiunta, eliminazione o aggiornamento di record, zone e server d'inoltro);
visualizzazione di log di eventi DNS;
visualizzazione di log di eventi di sicurezza.

Per creare una directory con AWS Managed Microsoft AD

Accedi a AWS Management Console e apri la AWS Directory Service console all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
Scegli Configura cartella.
Scegli AWS Managed Microsoft AD. AWS Managed Microsoft AD è l'unica opzione attualmente supportata per l'uso con Amazon RDS.
Scegli Next (Successivo).
Nella pagina Enter directory information (Inserisci le informazioni sulla directory) inserisci le seguenti informazioni:
- Edizione: scegli l'edizione che soddisfa i tuoi requisiti.
- Nome DNS della directory: il nome completo per la directory, ad esempiocorp.example.com.
- Nome NetBIOS della directory: un nome breve opzionale per la directory, ad esempio. CORP
- Descrizione della directory: una descrizione facoltativa per la directory.
- Password di amministratore: la password per l'amministratore della directory. Il processo di creazione della directory crea un account amministratore con il nome utente Admin e questa password.
  
  La password dell'amministratore della directory non può includere il termine "admin". La password distingue tra maiuscole e minuscole e la lunghezza deve essere compresa tra 8 e 64 caratteri. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:
  - Lettere minuscole (a–z)
  - Lettere maiuscole (A–Z)
  - Numeri (0–9)
  - Caratteri non alfanumerici (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
  - Conferma password: digita nuovamente la password dell'amministratore.
    
    Importante
    Assicurati di salvare questa password. AWS Directory Service non memorizza questa password e non può essere recuperata o reimpostata.
Scegli Next (Successivo).
Nella pagina Choose VPC and subnets (Scegli VPC e sottoreti) fornire le seguenti informazioni:
- VPC: scegli il VPC per la directory. È possibile creare l'istanza DB RDS for Db2 nello stesso VPC o in un altro VPC.
- Sottoreti: scegli le sottoreti per i server di directory. Le due sottoreti devono trovarsi in diverse zone di disponibilità.
Seleziona Next (Successivo).
Verificare le informazioni della directory Se sono necessarie modifiche, seleziona Previous (Precedente) e apporta le modifiche. Quando le informazioni sono corrette, scegli Create Directory (Crea directory).

Per creare la directory sono necessari alcuni minuti. Una volta creata correttamente la directory, il valore Status (Stato) viene modificato in Active (Attivo).

Per visualizzare le informazioni sulla tua directory, scegli l'ID della directory in Directory ID. Prendere nota del valore Directory ID (ID directory). È necessario questo valore quando si crea o si modifica l'istanza DB RDS for Db2.

La sezione dei dettagli della directory con l'ID della directory nella AWS Directory Service console.

Fase 2: creare un ruolo IAM a cui accedere ad Amazon RDS AWS Directory Service

Affinché Amazon RDS possa AWS Directory Service chiamarti, hai Account AWS bisogno di un ruolo IAM che utilizzi la policy AmazonRDSDirectoryServiceAccess IAM gestita. Questo ruolo consente ad Amazon RDS di effettuare chiamate verso AWS Directory Service.

Quando crei un'istanza DB utilizzando AWS Management Console e l'account utente della console dispone dell'iam:CreateRoleautorizzazione, la console crea automaticamente il ruolo IAM necessario. In questo caso, il nome del ruolo è rds-directoryservice-kerberos-access-role. In caso contrario, è necessario creare manualmente il ruolo IAM. Quando crei questo ruolo IAMDirectory Service, scegli e allega la policy AWS gestita AmazonRDSDirectoryServiceAccess ad esso.

Per ulteriori informazioni sulla creazione di ruoli IAM per un servizio, consulta Creating a role to delegate permissions to an AWS service nella IAM User Guide.

Nota

Il ruolo IAM utilizzato per Windows Authentication for RDS for non Microsoft SQL Server può essere utilizzato per RDS for Db2.

Facoltativamente, puoi creare policy con le autorizzazioni richieste anziché utilizzare la policy AmazonRDSDirectoryServiceAccess gestita. In questo caso, il ruolo IAM deve avere la seguente policy di fiducia IAM:

Il ruolo deve inoltre avere la seguente politica di ruolo IAM:

Fase 3: creazione e configurazione di utenti

È possibile creare utenti utilizzando lo Active Directory Users and Computers strumento. Questo è uno dei Active Directory Domain Services seguenti Active Directory Lightweight Directory Services strumenti. Per ulteriori informazioni, consulta Aggiungere utenti e computer al Active Directory dominio nella Microsoft documentazione. In questo caso, gli utenti sono individui o altre entità, come i rispettivi computer, che fanno parte del dominio e le cui identità vengono mantenute nella directory.

Per creare utenti in una AWS Directory Service directory, devi essere connesso a un' EC2 istanza Amazon Windows basata su Amazon che fa parte della AWS Directory Service directory. Allo stesso tempo, devi accedere come utente con i privilegi per creare utenti. Per ulteriori informazioni, consulta Creazione di un utente nella Guida di amministrazione di AWS Directory Service .

Passaggio 4: Creare un gruppo di amministratori RDS for Db2 in AWS Managed Microsoft AD

RDS per Db2 non supporta Kerberos l'autenticazione per l'utente master o per i due utenti riservati di Amazon RDS e. rdsdb rdsadmin È invece necessario creare un nuovo gruppo chiamato in. masterdba AWS Managed Microsoft AD Per ulteriori informazioni, consulta Creare un account di gruppo Active Directory nella Microsoft documentazione. Tutti gli utenti aggiunti a questo gruppo avranno i privilegi di utente principale.

Dopo aver abilitato Kerberos l'autenticazione, l'utente principale perde il masterdba ruolo. Di conseguenza, l'utente master non sarà in grado di accedere all'appartenenza al gruppo di utenti locale dell'istanza a meno che non si disabiliti Kerberos l'autenticazione. Per continuare a utilizzare l'utente master con accesso tramite password, crea un utente AWS Managed Microsoft AD con lo stesso nome dell'utente principale. Quindi, aggiungi quell'utente al gruppomasterdba.

Passaggio 5: creare o modificare un'istanza DB RDS for Db2

Crea o modifica un'istanza DB RDS for Db2 da utilizzare con la tua directory. È possibile utilizzare l'API AWS Management Console AWS CLI, the o RDS per associare un'istanza DB a una directory. Questa operazione può essere eseguita in uno dei seguenti modi:

Crea una nuova istanza DB RDS for Db2 utilizzando la console, il create-db-instancecomando o l'CreateDBInstanceoperazione API. Per istruzioni, consultare Creazione di un'istanza database Amazon RDS.
Modifica un'istanza DB RDS for Db2 esistente utilizzando la console, il modify-db-instancecomando o l'operazione Modify API. DBInstance Per istruzioni, consultare Modifica di un'istanza Amazon RDS DB.
Ripristina un'istanza DB RDS for Db2 da un'istantanea DB utilizzando la console, il restore-db-instance-from-db-snapshotcomando o l'operazione API. RestoreDBInstanceFromDBSnapshot Per istruzioni, consultare Ripristino su un'istanza DB.
Ripristina un'istanza DB RDS for Db2 point-in-time utilizzando la console, il restore-db-instance-to-point-in-timecomando o l'operazione API. RestoreDBInstanceToPointInTime Per istruzioni, consultare Ripristino di un'istanza DB a un'ora specificata per Amazon RDS.

Kerberosl'autenticazione è supportata solo per le istanze DB RDS per Db2 in un VPC. L'istanza database Oracle può trovarsi nello stesso VPC della directory o in un VPC diverso. L'istanza DB deve utilizzare un gruppo di sicurezza che consenta l'ingresso e l'uscita all'interno del VPC della directory in modo che l'istanza DB possa comunicare con la directory.

Quando usi la console per creare, modificare o ripristinare un'istanza DB, scegli Password e Kerberos autenticazione nella sezione Autenticazione del database. Quindi scegli Sfoglia directory. Seleziona la directory o scegli Crea directory per utilizzare il Directory Service.

La sezione Autenticazione del database con password e autenticazione Kerberos selezionate nella console Amazon RDS.

Quando utilizzi il AWS CLI, sono necessari i seguenti parametri affinché l'istanza DB possa utilizzare la directory che hai creato:

Per il --domain parametro, utilizzate l'identificatore di dominio (» d-* "identificatore) generato al momento della creazione della directory.
Per il parametro --domain-iam-role-name, utilizza il ruolo creato che utilizza la policy IAM gestita AmazonRDSDirectoryServiceAccess.

L'esempio seguente modifica un'istanza DB per utilizzare una directory. Sostituite i seguenti segnaposto dell'esempio con i vostri valori:

db_instance_name— Il nome dell'istanza DB RDS for Db2.
directory_id— L'ID della AWS Directory Service for Microsoft Active Directory directory che hai creato.
role_name— Il nome del ruolo IAM che hai creato.


aws rds modify-db-instance --db-instance-identifier db_instance_name --domain d-directory_id --domain-iam-role-name role_name

Importante

Se modifichi un'istanza DB per abilitare Kerberos l'autenticazione, riavvia l'istanza DB dopo aver apportato la modifica.

Fase 6: Configurazione di un client Db2

Per configurare un client Db2

Crea un file /etc/krb5.conf (o equivalente) per puntare al dominio.

Nota
Per i sistemi operativi Windows, crea un file C:\windows\krb5.ini.
Verificate che il traffico possa fluire tra l'host del client e AWS Directory Service. Utilizzate un'utilità di rete, ad esempio Netcat per le seguenti attività:
1. Verifica il traffico su DNS per la porta 53.
2. Verifica il traffico verso TCP/UDP la porta 53 e versoKerberos, che include le porte 88 e 464 per AWS Directory Service.
Verifica che il traffico scorra senza problemi tra l'host client e l'istanza database sulla porta del database. È possibile utilizzare il comando db2 per connettersi e accedere al database.

L'esempio seguente è il contenuto del file /etc/krb5.conf per: AWS Managed Microsoft AD


[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo dell'autenticazione Kerberos

Connessione con Kerberos autenticazione