Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos
<a name="aurora-mysql-kerberos-connecting"></a>

Untuk menghindari kesalahan, gunakan klien MySQL dengan versi 8.0.26 atau lebih tinggi pada platform Unix, 8.0.27 atau lebih tinggi di Windows.

## Menggunakan login Kerberos Aurora MySQL untuk terhubung ke klaster DB
<a name="aurora-mysql-kerberos-connecting.login"></a>

Untuk membuat koneksi ke Aurora MySQL dengan autentikasi Kerberos, Anda masuk sebagai pengguna basis data yang Anda buat menggunakan instruksi di [Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins).

Pada prompt perintah, buat koneksi ke salah satu titik akhir yang terkait dengan klaster DB Aurora MySQL Anda. Saat Anda diminta memasukkan kata sandi, masukkan kata sandi Kerberos yang terkait dengan nama penggunanya.

Saat Anda mengautentikasi dengan Kerberos, sebuah *tiket pemberian tiket* (TGT) dibuat jika belum ada. Plugin `authentication_kerberos` menggunakan TGT untuk mendapatkan *tiket layanan*, yang kemudian disajikan ke server basis data Aurora MySQL.

Anda dapat menggunakan klien MySQL untuk terhubung ke Aurora MySQL dengan autentikasi Kerberos menggunakan Windows atau Unix.

### Unix
<a name="aurora-mysql-kerberos-connecting.login.unix"></a>

Anda dapat terhubung dengan menggunakan salah satu metode berikut:
+ Dapatkan TGT secara manual. Dalam hal ini, Anda tidak perlu memberikan kata sandi ke klien MySQL.
+ Berikan kata sandi untuk login Active Directory langsung ke klien MySQL.

Plugin sisi klien didukung pada platform Unix untuk klien MySQL versi 8.0.26 dan yang lebih tinggi.

**Terhubung dengan mendapatkan TGT secara manual**

1. Pada antarmuka baris perintah, gunakan perintah berikut untuk mendapatkan TGT.

   ```
   kinit user_name
   ```

1. Gunakan perintah `mysql` berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.

   ```
   mysql -h DB_instance_endpoint -P 3306 -u user_name -p
   ```
**catatan**  
Autentikasi dapat gagal jika keytab dirotasi pada instans DB. Dalam hal ini, dapatkan TGT baru dengan menjalankan ulang `kinit`.

**Terhubung secara langsung**

1. Pada antarmuka baris perintah, gunakan perintah `mysql` berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.

   ```
   mysql -h DB_instance_endpoint -P 3306 -u user_name -p
   ```

1. Masukkan kata sandi untuk pengguna Direktori Aktif.

### Windows
<a name="aurora-mysql-kerberos-connecting.login.win"></a>

Pada Windows, autentikasi biasanya dilakukan pada waktu login, jadi Anda tidak perlu mendapatkan TGT secara manual untuk terhubung ke klaster DB Aurora MySQL. Huruf besar/kecil pada nama pengguna basis data harus sesuai dengan karakter pengguna di Active Directory. Misalnya, jika pengguna di Active Directory muncul sebagai `Admin`, nama pengguna basis data harus `Admin`.

Plugin sisi klien didukung pada Windows untuk klien MySQL versi 8.0.27 dan yang lebih tinggi.

**Terhubung secara langsung**
+ Pada antarmuka baris perintah, gunakan perintah `mysql` berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.

  ```
  mysql -h DB_instance_endpoint -P 3306 -u user_name
  ```

## Autentikasi Kerberos dengan basis data global Aurora
<a name="aurora-mysql-kerberos-connecting.global"></a>

Autentikasi Kerberos untuk Aurora MySQL didukung untuk basis data global Aurora. Untuk mengautentikasi pengguna pada klaster DB sekunder menggunakan Active Directory klaster DB primer, lakukan replikasi Active Directory ke Wilayah AWS sekunder. Anda mengaktifkan autentikasi Kerberos pada klaster sekunder menggunakan ID domain yang sama seperti untuk klaster primer. Replikasi AWS Managed Microsoft AD hanya didukung dengan versi Active Directory Enterprise. Untuk informasi selengkapnya, lihat [Replikasi Multi-Wilayah](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_configure_multi_region_replication.html) di *Panduan Administrasi AWS Directory Service*.

## Migrasi dari RDS for MySQL ke Aurora MySQL
<a name="aurora-mysql-kerberos-connecting.rds"></a>

Setelah Anda bermigrasi dari RDS for MySQL dengan autentikasi Kerberos diaktifkan ke Aurora MySQL, ubah pengguna yang dibuat dengan plugin `auth_pam` untuk menggunakan plugin `authentication_kerberos`. Sebagai contoh:

```
ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```

## Mencegah caching tiket
<a name="aurora-mysql-kerberos.destroy-tickets"></a>

Jika TGT yang valid tidak ada saat aplikasi klien MySQL dimulai, aplikasi dapat memperoleh dan meng-cache TGT. Jika Anda ingin mencegah caching TGT, atur parameter konfigurasi dalam file `/etc/krb5.conf`.

**catatan**  
Konfigurasi ini hanya berlaku untuk host klien yang menjalankan Unix, bukan Windows.

**Mencegah caching TGT**
+ Tambahkan bagian `[appdefaults]` ke `/etc/krb5.conf` seperti berikut:

  ```
  [appdefaults]
    mysql = {
      destroy_tickets = true
    }
  ```

## Pencatatan log untuk autentikasi Kerberos
<a name="aurora-mysql-kerberos.logging"></a>

Variabel lingkungan `AUTHENTICATION_KERBEROS_CLIENT_LOG` menetapkan tingkat pencatatan log untuk autentikasi Kerberos. Anda dapat menggunakan log untuk debugging sisi klien.

Nilai yang diizinkan adalah 1-5. Pesan log ditulis ke output kesalahan standar. Tabel berikut ini menjelaskan setiap tingkat pencatatan log.


| Tingkat pencatatan log | Deskripsi | 
| --- | --- | 
| 1 atau tidak diatur | Tidak ada pencatatan log | 
| 2  | Pesan kesalahan | 
| 3 | Pesan kesalahan dan peringatan | 
| 4 | Pesan kesalahan, peringatan, dan informasi | 
| 5 | Pesan kesalahan, peringatan, informasi, dan debug |