Serveur d'impression

Utilisation de l'authentification Windows avec une instance de base de données Microsoft SQL Server – Serveur d’impression

Le 27 octobre 2019 - 18 minutes de lecture

Le site Web de la documentation AWS fait peau neuve!
Essayez-le maintenant et dites-nous ce que vous pensez. Passer au nouveau look >>

Vous pouvez revenir à l'aspect d'origine en sélectionnant l'anglais dans le sélecteur de langue.
                        au dessus de.

Vous pouvez utiliser l'authentification Windows pour authentifier les utilisateurs lorsqu'ils se connectent à votre
                        Amazon RDS
                        Instance de base de données exécutant Microsoft SQL Server. L'instance de base de données fonctionne avec AWS Directory
                        Service pour Microsoft Active Directory, également
                        appelé AW AD géré Microsoft AD, pour activer l'authentification Windows. Quand
                        les utilisateurs s'authentifient avec une instance de base de données SQL Server jointe au domaine de confiance,
                        les demandes d'authentification sont transférées au répertoire du domaine que vous avez créé avec
                        Service d'annuaire AWS.

Amazon RDS prend en charge l'authentification Windows pour SQL Server dans toutes les régions AWS, sauf
                        le
                        Suivant:

Amazon RDS utilise l'authentification en mode mixte pour Windows. Cette approche signifie que le
utilisateur principal (le nom et le mot de passe utilisés pour créer votre serveur SQL Server
                        Instance de base de données) utilise l’authentification SQL. Parce que le compte utilisateur principal est un compte privilégié
                        informations d'identification, vous devez restreindre l'accès à ce compte.

Pour obtenir l'authentification Windows à l'aide d'un serveur Microsoft Active local ou auto-hébergé
                        Répertoire, vous devez créer une approbation de forêt. Pour plus d'informations sur la configuration
                        forêt
                        approbations utilisant AWS Directory Service, voir Créer une confiance
                           Relation (Microsoft AD géré par ADS)
.

Pour configurer l'authentification Windows pour une instance de base de données SQL Server, procédez comme suit
                        (expliqué plus en détail dans cette section):

  1. Utilisez le service d'annuaire AWS pour Microsoft Active Directory, également appelé AWS géré
                                     Microsoft AD, à partir de la console AWS
                                     ou l'API AWS Directory Service pour créer un annuaire AW AD Microsoft ADS géré.

  2. Si vous utilisez l'AWS CLI ou l'API Amazon RDS pour créer votre instance de base de données SQL Server, vous
                                     avoir besoin
                                     créer un rôle AWS Identity and Access Management (IAM) qui utilise le gestionnaire
                                     Politique IAM
                                     AmazonRDSDirectoryServiceAccess. Le rôle permet à Amazon RDS d’appeler votre
                                     annuaire. Si vous utilisez la console AWS pour créer votre instance de base de données SQL Server, AWS
                                     crée le rôle IAM pour vous.

    Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit
                                     être activé dans le
                                     Région AWS pour votre compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans tous les cas.
                                     Régions AWS, et
                                     vous pouvez les utiliser sans aucune autre action. Pour plus d'informations, voir

    Activation et désactivation d'AWS STS dans une région AWS
    dans le
    Guide de l'utilisateur IAM.

  3. Créer et configurer des utilisateurs et des groupes dans le AW AD géré Microsoft AD répertoire à l'aide des outils Microsoft Active Directory. Pour
                                     Pour plus d'informations sur la création d'utilisateurs et de groupes dans votre annuaire Active Directory, voir
    Ajouter des utilisateurs et des groupes (Simple AD et AW AD Managed Microsoft AD)
    dans la documentation du service d'annuaire AWS. Ajouter des utilisateurs et des groupes (Simple
                                        AD et AWS géré Microsoft AD)
    .

  4. Utilisez Amazon RDS pour créer une nouvelle instance de base de données SQL Server à partir de la console AWS.
                                     AWS CLI ou API Amazon RDS. Dans la demande de création, vous fournissez l'identifiant de domaine.
                                     ("ré-*"
                                     identifiant) généré lors de la création de votre répertoire et le nom de
                                     le
                                     rôle que vous avez créé. Vous pouvez également modifier une instance de base de données SQL Server existante à utiliser.
                                     L’authentification Windows en définissant la domaine et
    Rôle IAM des paramètres pour l'instance de base de données, et
                                     localiser l'instance de base de données dans le même VPC que le répertoire du domaine.

  5. Utilisez Amazon RDS utilisateur principal pouvoirs pour
                                     connectez-vous à l'instance de base de données SQL Server comme toute autre instance de base de données. Parce que
                                     l'instance de base de données est jointe à la AW AD géré Microsoft AD
    domaine, vous pouvez configurer les connexions SQL Server et les utilisateurs à partir du répertoire Active Directory.
                                     les utilisateurs et les groupes de leur domaine (appelées connexions SQL Server "Windows"). Base de données
                                     les autorisations sont gérées via des autorisations SQL Server standard accordées et révoquées
                                     à ces connexions Windows.

Création du noeud final pour
                        Authentification Kerberos

L'authentification basée sur Kerberos nécessite que le noeud final soit celui spécifié par le client.
                        nom d’hôte, une période, puis le nom de domaine complet (FQDN). Par exemple,
                        le
                        Voici un exemple de noeud final que vous utiliseriez avec l'authentification basée sur Kerberos.
                        Dans cet exemple, le nom d'hôte de l'instance de base de données SQL Server est test publicitaire et le
                        le nom de domaine est corp-ad.company.com:

ad-test.corp-ad.company.com

Si vous souhaitez vérifier que votre connexion utilise Kerberos, vous pouvez exécuter le
                        requête suivante:

SELECT net_transport, auth_scheme
  FROM sys.dm_exec_connections
 WHERE session_id = @@ SPID;

Configuration de l'authentification Windows pour
                        Instances de base de données SQL Server

Vous utilisez AWS Directory Service pour Microsoft Active Directory, également appelé AW AD géré Microsoft AD,
                        configurer l'authentification Windows pour une instance de base de données SQL Server. Pour configurer Windows
                        Authentification, vous suivez les étapes suivantes:

Étape 1: créer un
                        Répertoire utilisant AWS Directory Service pour Microsoft Active Directory

AWS Directory Service crée une base de données Microsoft Active Directory entièrement gérée dans AWS.
                        nuage. Quand vous créez
                        AWS Directory Service, un annuaire Microsoft AD géré AWS géré, crée deux domaines
                        contrôleurs et serveurs DNS sur
                        votre nom. Les serveurs d’annuaire sont créés dans deux sous-réseaux de deux
                        Zones de disponibilité dans un VPC. Cette redondance permet de garantir que votre répertoire
                        reste accessible même en cas d'échec.

Lorsque vous créez un AW AD géré Microsoft AD répertoire, AWS
                        Le service d'annuaire effectue les tâches suivantes en votre nom:

  • Configure un Microsoft Active Directory dans le VPC.

  • Crée un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et
                                     le mot de passe spécifié. Vous utilisez ce compte pour gérer votre répertoire.

    Remarque

    Veillez à enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe
                                        et
                                        il ne peut pas être récupéré ou réinitialisé.

  • Crée un groupe de sécurité pour les contrôleurs d'annuaire.

Lorsque vous lancez un service d'annuaire AWS pour Microsoft Active Directory, AWS crée
                        une unité organisationnelle (UO) qui
                        contient tous les objets de votre répertoire. Cette unité d'organisation, qui porte le nom NetBIOS
                        toi
                        tapé lorsque vous avez créé votre répertoire, est situé à la racine du domaine. Le domaine
                        root appartient et est géré par AWS.

le admin compte créé avec votre
AW AD géré Microsoft AD répertoire a les autorisations pour le
                        activités administratives les plus courantes pour votre unité d'organisation:

  • Créer une mise à jour ou supprimer des utilisateurs, des groupes et des ordinateurs

  • Ajoutez des ressources à votre domaine, telles que des serveurs de fichiers ou d’impression, puis
                                     attribuer des autorisations pour ces ressources aux utilisateurs et aux groupes de votre unité d'organisation

  • Créer des unités d'organisation et des conteneurs supplémentaires

  • Autorité de déléguation

  • Créer et lier des stratégies de groupe

  • Restaurer les objets supprimés de la corbeille Active Directory

  • Exécuter des modules Windows PowerShell AD et DNS sur le Web Active Directory
                                     Un service

le admin compte a également le droit d'effectuer
                        les activités de domaine suivantes:

  • Gérer les configurations DNS (ajouter, supprimer ou mettre à jour des enregistrements, des zones et
                                     transitaires)

  • Afficher les journaux d'événements DNS

  • Afficher les journaux des événements de sécurité

Pour créer un répertoire avec AWS Managed Microsoft AD

  1. Dans la navigation de la console AWS Directory Service
                                  volet, sélectionnez Répertoires et
                                  choisir Répertoire de configuration.

  2. Choisir AW AD géré Microsoft AD. AW AD géré Microsoft AD
                                  est la seule option actuellement prise en charge pour une utilisation avec Amazon RDS.

  3. Choisir Prochain.

  4. Sur le Entrez les informations du répertoire page, fournissez les informations suivantes:

    Édition

    Choisissez l'édition qui répond à vos exigences.

    Nom DNS du répertoire

    Le nom complet du répertoire, tel que
                                           corp.example.com.

    Nom du répertoire NetBIOS

    Un nom abrégé facultatif pour le répertoire, tel que CORP.

    Description du répertoire

    Une description facultative pour le répertoire.

    mot de passe administrateur

    Le mot de passe de l'administrateur du répertoire. Le répertoire
                                           processus de création crée un compte administrateur avec l'utilisateur
                                           nom Admin et ce mot de passe.

    Le mot de passe administrateur du répertoire et ne peut pas inclure le
                                           mot "admin." Le mot de passe est sensible à la casse et doit être compris entre
                                           8 et 64 caractères, inclusivement. Il doit également contenir
                                           au moins un personnage parmi trois des quatre suivants
                                           catégories:

    Confirmez le mot de passe

    Retapez le mot de passe administrateur.

  5. Choisir Prochain.

  6. Sur le Choisissez un VPC et des sous-réseaux page, fournissez les informations suivantes:

    VPC

    Sélectionnez le VPC pour le répertoire. La base de données SQL Server
                                           instance doit être créé dans ce même VPC.

    Sous-réseaux

    Sélectionnez les sous-réseaux pour les serveurs d'annuaire. Les deux sous-réseaux
                                           doit être dans différentes zones de disponibilité.

  7. Choisir Prochain.

  8. Vérifiez les informations du répertoire. Si des modifications sont nécessaires, choisissez précédent. Quand le
                                  l'information est correcte, choisissez Créer
                                     annuaire
    .

La création du répertoire prend plusieurs minutes. Quand il a été
                        créé avec succès, le Statut changements de valeur à
actif.

Pour afficher des informations sur votre répertoire, choisissez l'ID de répertoire dans le répertoire.
                        référencement. Notez le ID de répertoire. Vous aurez besoin de cette valeur lorsque vous créez ou modifiez
                        votre instance de base de données SQL Server.

Étape 2: Créez le
                        Rôle IAM pour l'utilisation par Amazon RDS

Si vous utilisez la console AWS pour créer votre instance de base de données SQL Server, vous pouvez ignorer cette
                        étape.
                        Si vous avez utilisé l'API AWS CLI ou Amazon RDS pour créer votre instance de base de données SQL Server,
                        vous devez
                        créer un rôle IAM utilisant la stratégie IAM gérée AmazonRDSDirectoryServiceAccess. Ce rôle permet à Amazon RDS d’appeler le
                        AWS Directory Service pour vous.

Si vous utilisez une stratégie personnalisée pour rejoindre un domaine, plutôt que d'utiliser la stratégie gérée par AWS
AmazonRDSDirectoryServiceAccess politique, vous devez autoriser le
                        Action "ds: GetAuthorizedApplicationDetails". Ceci est effectif à partir de juillet 2019,
                        dû
                        à une modification de l'API de AWS Directory Service.

La stratégie IAM suivante, AmazonRDSDirectoryServiceAccess, fournit un accès à l'annuaire AWS
                        Un service:




  "Version": "2012-10-17",
  "Déclaration": [
    
      "Action": [
            "ds:DescribeDirectories", 
            "ds:AuthorizeApplication", 
            "ds:UnauthorizeApplication",
            "ds:GetAuthorizedApplicationDetails"
        ],
      "Effet": "Autoriser",
      "Ressource": "*"
    
  ]				
			

Créez un rôle IAM à l'aide de cette stratégie. Pour plus d'informations sur la création d'IAM
                        rôles, voir Création de stratégies gérées par le client.

Étape 3: Créer et
                        Configurer les utilisateurs et les groupes

Vous pouvez créer des utilisateurs et des groupes avec les utilisateurs et ordinateurs Active Directory.
                        outil, qui fait partie des services de domaine Active Directory et Active Directory
                        Outils de services d'annuaire légers. Les utilisateurs représentent des personnes ou des entités individuelles
                        qui ont accès à votre répertoire. Les groupes sont très utiles pour donner ou nier
                        privilèges à des groupes d’utilisateurs, plutôt que d’appliquer ces privilèges à
                        chaque
                        utilisateur individuel.

Pour créer des utilisateurs et des groupes dans un répertoire AWS Directory Service, vous devez être connecté.
                        à un
                        Instance Windows EC2 membre du répertoire du service d'annuaire AWS,
                        et être
                        connecté en tant qu'utilisateur disposant de privilèges pour créer des utilisateurs et des groupes. Pour plus
                        informations, voir Ajouter
                           Utilisateurs et groupes (AD simple géré et Microsoft AD géré par AWS)
.

Étape 4: Créer ou
                        Modifier une instance de base de données SQL Server

Ensuite, vous créez ou modifiez une instance de base de données Microsoft SQL Server à utiliser avec
                        annuaire. Vous pouvez le faire de l’une des manières suivantes:

  • Créer une nouvelle instance de base de données SQL Server

  • Modifier une instance de base de données SQL Server existante

  • Restaurer une instance de base de données SQL Server à partir d'un instantané de base de données

  • Restaurer une instance de base de données SQL Server à partir d'une restauration à un moment donné

L’authentification Windows est uniquement prise en charge pour les instances de base de données SQL Server dans un VPC,
                        et l'instance de base de données doit se trouver dans le même VPC que le répertoire.

Plusieurs paramètres sont requis pour que l’instance de base de données puisse utiliser le domaine.
                        répertoire que vous avez créé:

  • Pour le domaine paramètre, vous devez entrer
                                     l'identifiant de domaine (identifiant "d- *") généré lors de la création du
                                     annuaire.

  • Utilisez le même VPC que celui utilisé lors de la création du répertoire.

  • Utilisez un groupe de sécurité qui autorise la sortie dans le VPC afin que l’instance de base de données
                                     peut communiquer avec l'annuaire.

Étape 5: Créer Windows
                        Authentification des connexions SQL Server

Utilisez Amazon RDS utilisateur principal pouvoirs pour
                        connectez-vous à l'instance de base de données SQL Server comme toute autre instance de base de données. Parce que
                        l'instance de base de données est jointe à la AW AD géré Microsoft AD
domaine, vous pouvez configurer les connexions SQL Server et les utilisateurs à partir du répertoire Active Directory.
                        utilisateurs et groupes de votre domaine. Les autorisations de base de données sont gérées de manière standard
                        Autorisations SQL Server accordées et révoquées pour ces connexions Windows.

Pour permettre à un utilisateur Active Directory de s’authentifier auprès de SQL Server, un serveur SQL Server
                        La connexion Windows doit exister pour l'utilisateur ou un groupe dont l'utilisateur est membre.
                        Le contrôle d'accès à granularité fine est géré par l'octroi et la révocation d'autorisations
                        sur
                        ces connexions SQL Server. Si un utilisateur n'a pas de connexion SQL Server correspondante
                        et n'est pas membre d'un groupe avec une connexion SQL Server correspondante, cet utilisateur
                        ne peut pas accéder à l'instance de base de données SQL Server.

L’autorisation ALTER ANY LOGIN est requise pour créer un SQL Active Directory.
                        Connexion au serveur. Si vous n'avez pas encore créé de connexions avec cette permission, connectez-vous.
                        comme l'instance de base de données utilisateur principal en utilisant SQL Server
                        Authentification. Exécutez la commande DDL (Data Definition Language) suivante pour créer
                        une
                        Connexion SQL Server pour un utilisateur ou un groupe Active Directory:

CRÉER UNE CONNEXION[[]À PARTIR DE WINDOWS AVEC DEFAULT_DATABASE = [master],
   DEFAULT_LANGUAGE = [us_english];

Les utilisateurs ou les groupes doivent être spécifiés à l’aide du nom de connexion antérieur à Windows 2000 dans
                        format nom de domaineidentifiant. Vous ne pouvez pas utiliser un nom de principe d'utilisateur (UPN) au format
identifiant@Nom de domaine. Pour plus d'informations sur CREATE LOGIN, visitez le site https://msdn.microsoft.com/en-us/library/ms189751.aspx.
                        Documentation du réseau de développeurs.

Les utilisateurs (humains et applications) de votre domaine peuvent désormais se connecter au RDS.
                        Instance SQL Server d'un ordinateur client joint à un domaine sous Windows
                        authentification.

Gestion d'une instance de base de données dans un
                        Domaine

Vous pouvez utiliser la console AWS, l'AWS CLI ou l'API Amazon RDS pour gérer votre instance de base de données.
                        et
                        sa relation avec votre domaine, telle que le déplacement de l'instance de base de données vers, sur,
                        ou
                        entre les domaines.

Par exemple, à l'aide de l'API Amazon RDS, vous pouvez effectuer les opérations suivantes:

  • Pour réessayer une jointure de domaine après un échec, utilisez la commande ModifyDBInstance Opération API et spécifiez le courant
                                     ID de l'annuaire des membres.

  • Pour mettre à jour le nom de rôle IAM pour l'appartenance, utilisez la commande ModifyDBInstance Opération API et spécifiez les membres actuels
                                     ID de répertoire et nouveau rôle IAM.

  • Pour supprimer une instance de base de données d’un domaine, utilisez la commande ModifyDBInstance Opération d'API et spécifiez «aucun» comme domaine
                                     paramètre.

  • Pour déplacer une instance de base de données d’un domaine à un autre, utilisez la commande ModifyDBInstance Opération d'API et spécifiez le domaine
                                     identifiant du nouveau domaine en tant que paramètre de domaine.

  • Pour répertorier les membres de chaque instance de base de données, utilisez la commande DescribeDBInstances Fonctionnement de l'API.

Comprendre le domaine
                        Adhésion

Une fois que vous avez créé ou modifié votre instance de base de données, l’instance devient membre de
                        domaine. La console AWS indique le statut de l’appartenance au domaine de la
                        DB
                        exemple. Le statut de l'instance de base de données peut être l'un des suivants:

  • join – l'instance est membre du domaine.

  • rejoindre – L’instance est en train de devenir membre du
                                     domaine.

  • waiting-join – L'adhésion à l'instance est en attente.

  • waiting-maintenance-join – AWS tentera de faire de l'instance un membre.
                                     du domaine lors de la prochaine fenêtre de maintenance planifiée.

  • En attente de suppression – La suppression de l'instance du domaine est en attente.

  • En attente de maintenance-suppression – AWS tentera de supprimer l'instance.
                                     depuis le domaine lors de la prochaine fenêtre de maintenance planifiée.

  • failed – Un problème de configuration a empêché l'instance de se joindre
                                     le domaine. Vérifiez et corrigez votre configuration avant de réexécuter l'instance.
                                     modifier la commande.

  • remove – L'instance est en cours de suppression du domaine.

Une demande pour devenir membre d'un domaine peut échouer à cause d'un réseau
                        problème de connectivité ou un rôle IAM incorrect. Si vous créez une instance de base de données ou modifiez
                        une instance existante et la tentative de devenir membre d'un domaine échouent, vous
                        doit relancer la commande de modification ou modifier l'instance nouvellement créée pour se joindre
                        le
                        domaine.

Connexion à SQL Server avec Windows
                        Authentification

Pour vous connecter à SQL Server avec l'authentification Windows, vous devez être connecté à un
                        ordinateur appartenant à un domaine en tant qu'utilisateur de domaine. Après le lancement de SQL Server Management
                        Studio,
                        choisir Authentification Windows comme l'authentification
                        type, comme indiqué ci-dessous.

Restauration d'une instance de base de données SQL Server et
                        puis l'ajouter à un domaine

Vous pouvez restaurer un instantané de base de données ou effectuer une restauration ponctuelle pour une base de données SQL Server.
                        exemple, puis ajoutez-le à un domaine. Une fois l'instance de base de données restaurée, modifiez
                        le
                        exemple en utilisant le processus expliqué dans la section Étape 4: Créer ou
                           Modifier une instance de base de données SQL Server
ajouter l'instance de base de données
                        à un domaine.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.