Utilizzo dell'accesso Kerberos di Aurora MySQL per la connessione al cluster di database Autenticazione Kerberos con i database globali Aurora Migrazione da RDS per MySQL ad Aurora MySQL Memorizzazione del ticket nella cache impedita Registrazione per l'autenticazione Kerberos

Connessione ad Aurora MySQL con l'autenticazione Kerberos

Per evitare errori, usa un client MySQL versione 8.0.26 o successiva su piattaforme Unix e 8.0.27 o successiva su Windows.

Per connetterti ad Aurora MySQL con l'autenticazione Kerberos, accedi come utente del database creato utilizzando le istruzioni riportate in Fase 6: creazione di utenti Aurora MySQL che utilizzano l'autenticazione Kerberos.

Al prompt dei comandi, connettiti a uno degli endpoint associati al cluster di database Aurora MySQL. Quando viene richiesta la password, immetti la password Kerberos associata al nome utente.

Quando ti autentichi con Kerberos, viene generato un ticket di concessione (TGT) se non ne esiste già uno. Il plugin authentication_kerberos utilizza il TGT per ottenere un ticket di servizio, che viene poi inviato al server di database Aurora MySQL.

Puoi utilizzare il client MySQL per connetterti ad Aurora MySQL con l'autenticazione Kerberos usando Windows o Unix.

Puoi connetterti usando i seguenti metodi:

Ottieni il TGT manualmente. In questo caso, non è necessario fornire la password al client MySQL.
Fornisci la password per l'accesso ad Active Directory direttamente al client MySQL.

Il plugin lato client è supportato nelle piattaforme Unix per i client MySQL versione 8.0.26 e successive.

Per connettersi ottenendo il TGT manualmente

Nell'interfaccia della linea di comando, utilizza il seguente comando per ottenere il TGT.
```
kinit user_name
```
Usa il comando mysql seguente per accedere all'endpoint dell'istanza database del cluster di database.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name -p
```
Nota
L'autenticazione non riesce se il keytab viene ruotato sull'istanza database. In questo caso, ottieni un nuovo TGT eseguendo nuovamente kinit.

Per connettersi direttamente

Nell'interfaccia della linea di comando usa il comando mysql seguente per accedere all'endpoint dell'istanza database del cluster di database.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name -p
```
Immetti la password per l'utente di Active Directory.

In Windows, l'autenticazione viene solitamente eseguita al momento dell'accesso, quindi non è necessario ottenere il TGT manualmente per connettersi al cluster di database Aurora MySQL. Le maiuscole e minuscole del nome utente del database devono corrispondere alle maiuscole e minuscole dell'utente in Active Directory. Ad esempio, se l'utente in Active Directory è Admin, il nome utente del database deve essere Admin.

Il plug-in lato client è supportato su Windows per i client MySQL versione 8.0.27 e successive.

Per connettersi direttamente

Nell'interfaccia della linea di comando usa il comando mysql seguente per accedere all'endpoint dell'istanza database del cluster di database.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name
```

Autenticazione Kerberos con i database globali Aurora

L'autenticazione Kerberos per Aurora MySQL è supportata per i database globali Aurora. Per autenticare gli utenti sul cluster di database secondario utilizzando l'Active Directory del cluster di database primario, replica l'Active Directory sulla Regione AWS secondaria. L'autenticazione Kerberos viene attivata sul cluster secondario utilizzando lo stesso ID di dominio del cluster primario. La replica AWS Managed Microsoft AD è supportata solo con la versione Enterprise di Active Directory. Per ulteriori informazioni, consulta Replica multiregionale nella Guida per l'amministrazione di AWS Directory Service.

Migrazione da RDS per MySQL ad Aurora MySQL

Dopo aver eseguito la migrazione da RDS per MySQL ad Aurora MySQL con l'autenticazione Kerberos abilitata, modifica gli utenti creati con il plugin auth_pam per utilizzare il plugin authentication_kerberos. Ad esempio:


ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';

Memorizzazione del ticket nella cache impedita

Se non esiste un TGT valido all'avvio, l'applicazione client MySQL può ottenerlo e memorizzarlo nella cache. Se vuoi evitare che il TGT venga memorizzato nella cache, imposta un parametro di configurazione nel file /etc/krb5.conf.

Nota

Questa configurazione si applica solo agli host client che eseguono Unix, non Windows.

Per impedire la memorizzazione del TGT nella cache

Aggiungi una sezione [appdefaults] a /etc/krb5.conf come segue:


[appdefaults]
  mysql = {
    destroy_tickets = true
  }

Registrazione per l'autenticazione Kerberos

La variabile di ambiente AUTHENTICATION_KERBEROS_CLIENT_LOG imposta il livello di registrazione per l'autenticazione Kerberos. È possibile utilizzare i log per il debug sul lato client.

I valori consentiti sono compresi tra 1 e 5. I messaggi del log vengono scritti nell'output di errore standard. La seguente tabella descrive ciascun livello di registrazione.

Livello di logging	Descrizione
1 o non impostato	Nessuna registrazione
2	Messaggi di errore
3	Messaggi di errore e avviso
4	Messaggi di errore, avviso e informazioni
5	Messaggi di errore, avviso, informazioni e debug

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione dell'autenticazione Kerberos per Aurora MySQL

Gestione di un cluster di database in un dominio