Verwalten einer DB-Instance in einer Domäne - Amazon Relational Database Service
Domänen-MitgliedschaftKerberos-Schlüssel mit erzwungener Rotation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten einer DB-Instance in einer Domäne

Sie können die Konsole, die CLI oder die RDS-API verwenden, um Ihre DB-Instance und ihre Beziehung zu Ihrem Microsoft Active Directory zu verwalten. Sie können z. B. ein Microsoft Active Directory zuordnen, um die Kerberos-Authentifizierung zu aktivieren. Sie können auch die Zuordnung eines Microsoft Active Directory trennen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch eine DB-Instance verschieben, die von einem Microsoft Active Directory zu einem anderen extern authentifiziert wird.

Sie können z. B. mithilfe der CLI Folgendes tun:

  • Um erneut zu versuchen, die Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren, verwenden Sie den CLI-Befehl modify-db-instance und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft für die Option --domain an.

  • Um die Kerberos-Authentifizierung auf einer DB-Instance zu deaktivieren, verwenden Sie den CLI-Befehl modify-db-instance und geben Sie none für die Option --domain an.

  • Um eine DB-Instance von einer Domäne zu einer anderen zu verschieben, verwenden Sie den CLI-Befehl modify-db-instance und geben Sie den Domänenbezeichner der neuen Domäne für die Option --domain an.

Anzeigen des Status einer Domänen-Mitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder modifiziert haben, wird die DB-Instance ein Mitglied der Domäne. Sie können den Status der Domänenmitgliedschaft für die DB-Instance in der Konsole anzeigen oder den CLI-Befehl describe-db-instances ausführen. Der Status der DB-Instance kann einer der folgenden sein:

  • kerberos-enabled – Für die DB-Instance ist die Kerberos-Authentifizierung aktiviert.

  • enabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu aktivieren.

  • pending-enable-kerberos – Das Aktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.

  • pending-maintenance-enable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.

  • pending-disable-kerberos – Das Deaktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.

  • pending-maintenance-disable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.

  • enable-kerberos-failed – Ein Konfigurationsproblem hat AWS daran gehindert, die Kerberos-Authentifizierung auf der DB-Instance zu aktivieren. Beheben Sie das Konfigurationsproblem, bevor Sie den Befehl zum Ändern der DB-Instance erneut ausgeben.

  • disabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu deaktivieren.

Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. Wenn der Versuch, die Kerberos-Authentifizierung zu aktivieren, fehlschlägt, wenn Sie eine DB-Instance erstellen oder ändern, stellen Sie sicher, dass Sie die richtige IAM-Rolle verwenden. Ändern Sie dann die DB-Instance, um der Domäne beizutreten.

Anmerkung

Nur die Kerberos-Authentifizierung mit Amazon RDS for Oracle sendet Datenverkehr an die DNS-Server der Domäne. Alle anderen DNS-Anforderungen werden als ausgehender Netzwerkzugriff auf Ihren DB-Instances behandelt, auf denen Oracle ausgeführt wird. Weitere Informationen zu ausgehendem Netzwerkzugriff mit Amazon RDS für Oracle finden Sie unter Einrichten eines benutzerdefinierten DNS-Servers.

Kerberos-Schlüssel mit erzwungener Rotation

Ein geheimer Schlüssel wird zwischen AWS Managed Microsoft AD und Amazon RDS for Oracle für die Oracle DB-Instance geteilt. Dieser Schlüssel wird alle 45 Tage automatisch rotiert. Sie können die folgende Amazon RDS-Prozedur verwenden, um die Rotation dieses Schlüssels zu erzwingen.

SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;
Anmerkung

In einer Lesereplikat-Konfiguration ist diese Vorgehensweise nur auf der Quell-DB-Instance und nicht auf dem Lesereplikat verfügbar.

Die Anweisung SELECT gibt die ID der Aufgabe in einem VARCHAR2-Datentyp zurück. Sie können den Status einer laufenden Aufgabe in einer bdump-Datei einsehen. Die bdump-Dateien befinden sich im Verzeichnis /rdsdbdata/log/trace. Jeder bdump-Dateiname weist das folgende Format auf.

dbtask-task-id.log

Sie können das Ergebnis anzeigen, indem Sie die Ausgabedatei der Aufgabe anzeigen.

SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));

Ersetzen Sie task-id durch die von der Prozedur zurückgegebene Aufgaben-ID.

Anmerkung

Die Aufgaben werden asynchron ausgeführt.