Utilisation de l'authentification Windows avec une instance de base de données Microsoft SQL Server – Serveur d’impression
Essayez-le maintenant et dites-nous ce que vous pensez. Passer au nouveau look >>
Vous pouvez revenir à l'aspect d'origine en sélectionnant l'anglais dans le sélecteur de langue.
au dessus de.
Vous pouvez utiliser l'authentification Windows pour authentifier les utilisateurs lorsqu'ils se connectent à votre
Amazon RDS
Instance de base de données exécutant Microsoft SQL Server. L'instance de base de données fonctionne avec AWS Directory
Service pour Microsoft Active Directory, également
appelé AW AD géré Microsoft AD, pour activer l'authentification Windows. Quand
les utilisateurs s'authentifient avec une instance de base de données SQL Server jointe au domaine de confiance,
les demandes d'authentification sont transférées au répertoire du domaine que vous avez créé avec
Service d'annuaire AWS.
Amazon RDS prend en charge l'authentification Windows pour SQL Server dans toutes les régions AWS, sauf
le
Suivant:
Amazon RDS utilise l'authentification en mode mixte pour Windows. Cette approche signifie que le
utilisateur principal (le nom et le mot de passe utilisés pour créer votre serveur SQL Server
Instance de base de données) utilise l’authentification SQL. Parce que le compte utilisateur principal est un compte privilégié
informations d'identification, vous devez restreindre l'accès à ce compte.
Pour obtenir l'authentification Windows à l'aide d'un serveur Microsoft Active local ou auto-hébergé
Répertoire, vous devez créer une approbation de forêt. Pour plus d'informations sur la configuration
forêt
approbations utilisant AWS Directory Service, voir Créer une confiance
Relation (Microsoft AD géré par ADS).
Pour configurer l'authentification Windows pour une instance de base de données SQL Server, procédez comme suit
(expliqué plus en détail dans cette section):
-
Utilisez le service d'annuaire AWS pour Microsoft Active Directory, également appelé AWS géré
Microsoft AD, à partir de la console AWS
ou l'API AWS Directory Service pour créer un annuaire AW AD Microsoft ADS géré. -
Si vous utilisez l'AWS CLI ou l'API Amazon RDS pour créer votre instance de base de données SQL Server, vous
avoir besoin
créer un rôle AWS Identity and Access Management (IAM) qui utilise le gestionnaire
Politique IAM
AmazonRDSDirectoryServiceAccess. Le rôle permet à Amazon RDS d’appeler votre
annuaire. Si vous utilisez la console AWS pour créer votre instance de base de données SQL Server, AWS
crée le rôle IAM pour vous.Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit
être activé dans le
Région AWS pour votre compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans tous les cas.
Régions AWS, et
vous pouvez les utiliser sans aucune autre action. Pour plus d'informations, voir
Activation et désactivation d'AWS STS dans une région AWS dans le
Guide de l'utilisateur IAM. -
Créer et configurer des utilisateurs et des groupes dans le AW AD géré Microsoft AD répertoire à l'aide des outils Microsoft Active Directory. Pour
Pour plus d'informations sur la création d'utilisateurs et de groupes dans votre annuaire Active Directory, voir
Ajouter des utilisateurs et des groupes (Simple AD et AW AD Managed Microsoft AD)
dans la documentation du service d'annuaire AWS. Ajouter des utilisateurs et des groupes (Simple
AD et AWS géré Microsoft AD). -
Utilisez Amazon RDS pour créer une nouvelle instance de base de données SQL Server à partir de la console AWS.
AWS CLI ou API Amazon RDS. Dans la demande de création, vous fournissez l'identifiant de domaine.
("ré-*"
identifiant) généré lors de la création de votre répertoire et le nom de
le
rôle que vous avez créé. Vous pouvez également modifier une instance de base de données SQL Server existante à utiliser.
L’authentification Windows en définissant la domaine et
Rôle IAM des paramètres pour l'instance de base de données, et
localiser l'instance de base de données dans le même VPC que le répertoire du domaine. -
Utilisez Amazon RDS utilisateur principal pouvoirs pour
connectez-vous à l'instance de base de données SQL Server comme toute autre instance de base de données. Parce que
l'instance de base de données est jointe à la AW AD géré Microsoft AD
domaine, vous pouvez configurer les connexions SQL Server et les utilisateurs à partir du répertoire Active Directory.
les utilisateurs et les groupes de leur domaine (appelées connexions SQL Server "Windows"). Base de données
les autorisations sont gérées via des autorisations SQL Server standard accordées et révoquées
à ces connexions Windows.
Création du noeud final pour
Authentification Kerberos
L'authentification basée sur Kerberos nécessite que le noeud final soit celui spécifié par le client.
nom d’hôte, une période, puis le nom de domaine complet (FQDN). Par exemple,
le
Voici un exemple de noeud final que vous utiliseriez avec l'authentification basée sur Kerberos.
Dans cet exemple, le nom d'hôte de l'instance de base de données SQL Server est test publicitaire
et le
le nom de domaine est corp-ad.company.com
:
ad-test.corp-ad.company.com
Si vous souhaitez vérifier que votre connexion utilise Kerberos, vous pouvez exécuter le
requête suivante:
SELECT net_transport, auth_scheme
FROM sys.dm_exec_connections
WHERE session_id = @@ SPID;
Configuration de l'authentification Windows pour
Instances de base de données SQL Server
Vous utilisez AWS Directory Service pour Microsoft Active Directory, également appelé AW AD géré Microsoft AD,
configurer l'authentification Windows pour une instance de base de données SQL Server. Pour configurer Windows
Authentification, vous suivez les étapes suivantes:
Étape 1: créer un
Répertoire utilisant AWS Directory Service pour Microsoft Active Directory
AWS Directory Service crée une base de données Microsoft Active Directory entièrement gérée dans AWS.
nuage. Quand vous créez
AWS Directory Service, un annuaire Microsoft AD géré AWS géré, crée deux domaines
contrôleurs et serveurs DNS sur
votre nom. Les serveurs d’annuaire sont créés dans deux sous-réseaux de deux
Zones de disponibilité dans un VPC. Cette redondance permet de garantir que votre répertoire
reste accessible même en cas d'échec.
Lorsque vous créez un AW AD géré Microsoft AD répertoire, AWS
Le service d'annuaire effectue les tâches suivantes en votre nom:
-
Configure un Microsoft Active Directory dans le VPC.
-
Crée un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et
le mot de passe spécifié. Vous utilisez ce compte pour gérer votre répertoire.Remarque
Veillez à enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe
et
il ne peut pas être récupéré ou réinitialisé. -
Crée un groupe de sécurité pour les contrôleurs d'annuaire.
Lorsque vous lancez un service d'annuaire AWS pour Microsoft Active Directory, AWS crée
une unité organisationnelle (UO) qui
contient tous les objets de votre répertoire. Cette unité d'organisation, qui porte le nom NetBIOS
toi
tapé lorsque vous avez créé votre répertoire, est situé à la racine du domaine. Le domaine
root appartient et est géré par AWS.
le admin compte créé avec votre
AW AD géré Microsoft AD répertoire a les autorisations pour le
activités administratives les plus courantes pour votre unité d'organisation:
-
Créer une mise à jour ou supprimer des utilisateurs, des groupes et des ordinateurs
-
Ajoutez des ressources à votre domaine, telles que des serveurs de fichiers ou d’impression, puis
attribuer des autorisations pour ces ressources aux utilisateurs et aux groupes de votre unité d'organisation -
Créer des unités d'organisation et des conteneurs supplémentaires
-
Autorité de déléguation
-
Créer et lier des stratégies de groupe
-
Restaurer les objets supprimés de la corbeille Active Directory
-
Exécuter des modules Windows PowerShell AD et DNS sur le Web Active Directory
Un service
le admin compte a également le droit d'effectuer
les activités de domaine suivantes:
-
Gérer les configurations DNS (ajouter, supprimer ou mettre à jour des enregistrements, des zones et
transitaires) -
Afficher les journaux d'événements DNS
-
Afficher les journaux des événements de sécurité
Pour créer un répertoire avec AWS Managed Microsoft AD
-
Dans la navigation de la console AWS Directory Service
volet, sélectionnez Répertoires et
choisir Répertoire de configuration. -
Choisir AW AD géré Microsoft AD. AW AD géré Microsoft AD
est la seule option actuellement prise en charge pour une utilisation avec Amazon RDS. -
Choisir Prochain.
-
Sur le Entrez les informations du répertoire page, fournissez les informations suivantes:
- Édition
-
Choisissez l'édition qui répond à vos exigences.
- Nom DNS du répertoire
-
Le nom complet du répertoire, tel que
corp.example.com. - Nom du répertoire NetBIOS
-
Un nom abrégé facultatif pour le répertoire, tel que
CORP
. - Description du répertoire
-
Une description facultative pour le répertoire.
- mot de passe administrateur
-
Le mot de passe de l'administrateur du répertoire. Le répertoire
processus de création crée un compte administrateur avec l'utilisateur
nom Admin et ce mot de passe.Le mot de passe administrateur du répertoire et ne peut pas inclure le
mot "admin." Le mot de passe est sensible à la casse et doit être compris entre
8 et 64 caractères, inclusivement. Il doit également contenir
au moins un personnage parmi trois des quatre suivants
catégories: - Confirmez le mot de passe
-
Retapez le mot de passe administrateur.
-
Choisir Prochain.
-
Sur le Choisissez un VPC et des sous-réseaux page, fournissez les informations suivantes:
- VPC
-
Sélectionnez le VPC pour le répertoire. La base de données SQL Server
instance doit être créé dans ce même VPC. - Sous-réseaux
-
Sélectionnez les sous-réseaux pour les serveurs d'annuaire. Les deux sous-réseaux
doit être dans différentes zones de disponibilité.
-
Choisir Prochain.
-
Vérifiez les informations du répertoire. Si des modifications sont nécessaires, choisissez précédent. Quand le
l'information est correcte, choisissez Créer
annuaire.
La création du répertoire prend plusieurs minutes. Quand il a été
créé avec succès, le Statut changements de valeur à
actif.
Pour afficher des informations sur votre répertoire, choisissez l'ID de répertoire dans le répertoire.
référencement. Notez le ID de répertoire
. Vous aurez besoin de cette valeur lorsque vous créez ou modifiez
votre instance de base de données SQL Server.
Étape 2: Créez le
Rôle IAM pour l'utilisation par Amazon RDS
Si vous utilisez la console AWS pour créer votre instance de base de données SQL Server, vous pouvez ignorer cette
étape.
Si vous avez utilisé l'API AWS CLI ou Amazon RDS pour créer votre instance de base de données SQL Server,
vous devez
créer un rôle IAM utilisant la stratégie IAM gérée AmazonRDSDirectoryServiceAccess. Ce rôle permet à Amazon RDS d’appeler le
AWS Directory Service pour vous.
Si vous utilisez une stratégie personnalisée pour rejoindre un domaine, plutôt que d'utiliser la stratégie gérée par AWS
AmazonRDSDirectoryServiceAccess
politique, vous devez autoriser le
Action "ds: GetAuthorizedApplicationDetails". Ceci est effectif à partir de juillet 2019,
dû
à une modification de l'API de AWS Directory Service.
La stratégie IAM suivante, AmazonRDSDirectoryServiceAccess, fournit un accès à l'annuaire AWS
Un service:
"Version": "2012-10-17",
"Déclaration": [
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effet": "Autoriser",
"Ressource": "*"
]
Créez un rôle IAM à l'aide de cette stratégie. Pour plus d'informations sur la création d'IAM
rôles, voir Création de stratégies gérées par le client.
Étape 3: Créer et
Configurer les utilisateurs et les groupes
Vous pouvez créer des utilisateurs et des groupes avec les utilisateurs et ordinateurs Active Directory.
outil, qui fait partie des services de domaine Active Directory et Active Directory
Outils de services d'annuaire légers. Les utilisateurs représentent des personnes ou des entités individuelles
qui ont accès à votre répertoire. Les groupes sont très utiles pour donner ou nier
privilèges à des groupes d’utilisateurs, plutôt que d’appliquer ces privilèges à
chaque
utilisateur individuel.
Pour créer des utilisateurs et des groupes dans un répertoire AWS Directory Service, vous devez être connecté.
à un
Instance Windows EC2 membre du répertoire du service d'annuaire AWS,
et être
connecté en tant qu'utilisateur disposant de privilèges pour créer des utilisateurs et des groupes. Pour plus
informations, voir Ajouter
Utilisateurs et groupes (AD simple géré et Microsoft AD géré par AWS).
Étape 4: Créer ou
Modifier une instance de base de données SQL Server
Ensuite, vous créez ou modifiez une instance de base de données Microsoft SQL Server à utiliser avec
annuaire. Vous pouvez le faire de l’une des manières suivantes:
-
Créer une nouvelle instance de base de données SQL Server
-
Modifier une instance de base de données SQL Server existante
-
Restaurer une instance de base de données SQL Server à partir d'un instantané de base de données
-
Restaurer une instance de base de données SQL Server à partir d'une restauration à un moment donné
L’authentification Windows est uniquement prise en charge pour les instances de base de données SQL Server dans un VPC,
et l'instance de base de données doit se trouver dans le même VPC que le répertoire.
Plusieurs paramètres sont requis pour que l’instance de base de données puisse utiliser le domaine.
répertoire que vous avez créé:
-
Pour le domaine paramètre, vous devez entrer
l'identifiant de domaine (identifiant "d- *") généré lors de la création du
annuaire. -
Utilisez le même VPC que celui utilisé lors de la création du répertoire.
-
Utilisez un groupe de sécurité qui autorise la sortie dans le VPC afin que l’instance de base de données
peut communiquer avec l'annuaire.
Étape 5: Créer Windows
Authentification des connexions SQL Server
Utilisez Amazon RDS utilisateur principal pouvoirs pour
connectez-vous à l'instance de base de données SQL Server comme toute autre instance de base de données. Parce que
l'instance de base de données est jointe à la AW AD géré Microsoft AD
domaine, vous pouvez configurer les connexions SQL Server et les utilisateurs à partir du répertoire Active Directory.
utilisateurs et groupes de votre domaine. Les autorisations de base de données sont gérées de manière standard
Autorisations SQL Server accordées et révoquées pour ces connexions Windows.
Pour permettre à un utilisateur Active Directory de s’authentifier auprès de SQL Server, un serveur SQL Server
La connexion Windows doit exister pour l'utilisateur ou un groupe dont l'utilisateur est membre.
Le contrôle d'accès à granularité fine est géré par l'octroi et la révocation d'autorisations
sur
ces connexions SQL Server. Si un utilisateur n'a pas de connexion SQL Server correspondante
et n'est pas membre d'un groupe avec une connexion SQL Server correspondante, cet utilisateur
ne peut pas accéder à l'instance de base de données SQL Server.
L’autorisation ALTER ANY LOGIN est requise pour créer un SQL Active Directory.
Connexion au serveur. Si vous n'avez pas encore créé de connexions avec cette permission, connectez-vous.
comme l'instance de base de données utilisateur principal en utilisant SQL Server
Authentification. Exécutez la commande DDL (Data Definition Language) suivante pour créer
une
Connexion SQL Server pour un utilisateur ou un groupe Active Directory:
CRÉER UNE CONNEXION[[]À PARTIR DE WINDOWS AVEC DEFAULT_DATABASE = [master],
DEFAULT_LANGUAGE = [us_english];
Les utilisateurs ou les groupes doivent être spécifiés à l’aide du nom de connexion antérieur à Windows 2000 dans
format nom de domaineidentifiant. Vous ne pouvez pas utiliser un nom de principe d'utilisateur (UPN) au format
identifiant@Nom de domaine. Pour plus d'informations sur CREATE LOGIN, visitez le site https://msdn.microsoft.com/en-us/library/ms189751.aspx.
Documentation du réseau de développeurs.
Les utilisateurs (humains et applications) de votre domaine peuvent désormais se connecter au RDS.
Instance SQL Server d'un ordinateur client joint à un domaine sous Windows
authentification.
Gestion d'une instance de base de données dans un
Domaine
Vous pouvez utiliser la console AWS, l'AWS CLI ou l'API Amazon RDS pour gérer votre instance de base de données.
et
sa relation avec votre domaine, telle que le déplacement de l'instance de base de données vers, sur,
ou
entre les domaines.
Par exemple, à l'aide de l'API Amazon RDS, vous pouvez effectuer les opérations suivantes:
-
Pour réessayer une jointure de domaine après un échec, utilisez la commande ModifyDBInstance Opération API et spécifiez le courant
ID de l'annuaire des membres. -
Pour mettre à jour le nom de rôle IAM pour l'appartenance, utilisez la commande ModifyDBInstance Opération API et spécifiez les membres actuels
ID de répertoire et nouveau rôle IAM. -
Pour supprimer une instance de base de données d’un domaine, utilisez la commande ModifyDBInstance Opération d'API et spécifiez «aucun» comme domaine
paramètre. -
Pour déplacer une instance de base de données d’un domaine à un autre, utilisez la commande ModifyDBInstance Opération d'API et spécifiez le domaine
identifiant du nouveau domaine en tant que paramètre de domaine. -
Pour répertorier les membres de chaque instance de base de données, utilisez la commande DescribeDBInstances Fonctionnement de l'API.
Comprendre le domaine
Adhésion
Une fois que vous avez créé ou modifié votre instance de base de données, l’instance devient membre de
domaine. La console AWS indique le statut de l’appartenance au domaine de la
DB
exemple. Le statut de l'instance de base de données peut être l'un des suivants:
-
join – l'instance est membre du domaine.
-
rejoindre – L’instance est en train de devenir membre du
domaine. -
waiting-join – L'adhésion à l'instance est en attente.
-
waiting-maintenance-join – AWS tentera de faire de l'instance un membre.
du domaine lors de la prochaine fenêtre de maintenance planifiée. -
En attente de suppression – La suppression de l'instance du domaine est en attente.
-
En attente de maintenance-suppression – AWS tentera de supprimer l'instance.
depuis le domaine lors de la prochaine fenêtre de maintenance planifiée. -
failed – Un problème de configuration a empêché l'instance de se joindre
le domaine. Vérifiez et corrigez votre configuration avant de réexécuter l'instance.
modifier la commande. -
remove – L'instance est en cours de suppression du domaine.
Une demande pour devenir membre d'un domaine peut échouer à cause d'un réseau
problème de connectivité ou un rôle IAM incorrect. Si vous créez une instance de base de données ou modifiez
une instance existante et la tentative de devenir membre d'un domaine échouent, vous
doit relancer la commande de modification ou modifier l'instance nouvellement créée pour se joindre
le
domaine.
Connexion à SQL Server avec Windows
Authentification
Pour vous connecter à SQL Server avec l'authentification Windows, vous devez être connecté à un
ordinateur appartenant à un domaine en tant qu'utilisateur de domaine. Après le lancement de SQL Server Management
Studio,
choisir Authentification Windows comme l'authentification
type, comme indiqué ci-dessous.
Restauration d'une instance de base de données SQL Server et
puis l'ajouter à un domaine
Vous pouvez restaurer un instantané de base de données ou effectuer une restauration ponctuelle pour une base de données SQL Server.
exemple, puis ajoutez-le à un domaine. Une fois l'instance de base de données restaurée, modifiez
le
exemple en utilisant le processus expliqué dans la section Étape 4: Créer ou
Modifier une instance de base de données SQL Server ajouter l'instance de base de données
à un domaine.
Commentaires
Laisser un commentaire