Mengelola instans DB dalam domain

Anda bisa menggunakan konsol, CLI, atau RDS API untuk mengelola instans DB dan hubungannya dengan Microsoft Active Directory. Misalnya, Anda dapat mengaitkan Microsoft Active Directory untuk mengaktifkan autentikasi Kerberos. Anda juga dapat membatalkan pengaitan Microsoft Active Directory untuk menonaktifkan autentikasi Kerberos. Anda juga dapat memindahkan instans DB untuk diautentikasi secara eksternal oleh satu Microsoft Active Directory ke yang lain.

Misalnya, dengan CLI, Anda dapat melakukan hal berikut:

• Untuk mengulangi upaya aktivasi autentikasi Kerberos untuk keanggotaan yang gagal, gunakan perintah CLI modify-db-instance dan tentukan ID direktori keanggotaan saat ini untuk opsi --domain.

• Untuk menonaktifkan autentikasi Kerberos pada instans DB, gunakan perintah CLI modify-db-instance dan tentukan none untuk opsi --domain.

• Untuk memindahkan instans DB dari satu domain ke domain lain, gunakan perintah CLI modify-db-instance dan tentukan pengidentifikasi domain pada domain baru untuk opsi --domain.

Melihat status keanggotaan domain

Instans DB yang telah Anda buat atau modifikasi akan menjadi anggota domain. Anda dapat melihat status keanggotaan domain untuk instans DB di konsol atau dengan menjalankan perintah CLI describe-db-instances. Status instans DB dapat berupa salah satu dari daftar berikut:

• kerberos-enabled – Instans DB mengaktifkan autentikasi Kerberos.

• enabling-kerberos – AWS sedang mengaktifkan autentikasi Kerberos pada instans DB ini.

• pending-enable-kerberos – Aktivasi autentikasi Kerberos pada instans DB ini tertunda.

• pending-maintenance-enable-kerberos – AWS akan mencoba mengaktifkan autentikasi Kerberos pada instans DB pada jendela pemeliharaan terjadwal berikutnya.

• pending-disable-kerberos – Penonaktifan autentikasi Kerberos pada instans DB ini tertunda.

• pending-maintenance-disable-kerberos – AWS akan mencoba menonaktifkan autentikasi Kerberos pada instans DB pada jendela pemeliharaan terjadwal berikutnya.

• enable-kerberos-failed – Masalah konfigurasi membuat AWS tidak dapat mengaktifkan autentikasi Kerberos pada instans DB. Perbaiki masalah konfigurasi tersebut sebelum menerbitkan ulang perintah untuk memodifikasi instans DB.

• disabling-kerberos – AWS sedang menonaktifkan autentikasi Kerberos pada instans DB ini.

Permintaan untuk mengaktifkan autentikasi Kerberos dapat gagal karena masalah koneksi jaringan atau kesalahan peran IAM. Jika upaya aktivasi autentikasi Kerberos gagal saat Anda membuat atau memodifikasi instans DB, pastikan peran IAM yang digunakan sudah benar. Kemudian modifikasi instans DB untuk menggabungkan domain.

catatan

Hanya autentikasi Kerberos dengan Amazon RDS for Oracle yang mengirimkan lalu lintas ke server DNS domain. Semua permintaan DNS lainnya diperlakukan sebagai akses jaringan keluar pada instans DB Anda yang menjalankan Oracle. Untuk informasi selengkapnya tentang akses jaringan keluar dengan Amazon RDS for Oracle, lihat Menyiapkan DNS server khusus.

Rotasi paksa kunci Kerberos

Kunci rahasia dibagikan di antara instans DB Amazon RDS for Oracle dan AWS Managed Microsoft AD. Kunci ini dirotasi secara otomatis setiap 45 hari. Anda dapat menggunakan prosedur Amazon RDS berikut untuk memaksa rotasi kunci ini.

SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;

catatan

Dalam konfigurasi replika baca, prosedur ini hanya tersedia pada instans DB sumber dan tidak tersedia pada replika baca.

Pernyataan SELECT mengembalikan ID tugas dalam jenis data VARCHAR2. Anda dapat melihat status tugas yang sedang berlangsung di file bdump. File bdump terletak di direktori /rdsdbdata/log/trace. Setiap nama file bdump memiliki format berikut.

dbtask-task-id.log

Anda dapat melihat hasilnya dengan menampilkan file output tugas.

SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));

Ganti task-id dengan ID tugas yang dikembalikan oleh prosedur.

catatan

Tugas dijalankan secara asinkron.