Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan Kerberos otentikasi untuk Amazon RDS untuk instans Db2 DB
Anda menggunakan AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengatur Kerberos otentikasi untuk RDS untuk instans Db2 DB. Untuk mengatur autentikasi Kerberos, ikuti langkah-langkah ini:
**Topics**
+ [Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD](#db2-kerberos-setting-up.create-directory)
+ [Langkah 2: Buat kepercayaan](#db2-kerberos-setting-up-create-forest-trust)
+ [Langkah 3: Buat peran IAM untuk Amazon RDS untuk mengakses Directory Service](#db2-kerberos-setting-up-create-iam-role)
+ [Langkah 4: Buat dan konfigurasikan pengguna](#db2-kerberos-setting-up.create-users)
+ [Langkah 5: Buat RDS untuk grup admin Db2 di AWS Managed Microsoft AD](#db2-kerberos-setting-up-vpc-peering)
+ [Langkah 6: Ubah parameter DB](#db2-kerberos-setting-up-modify-db-parameter)
+ [Langkah 7: Buat atau modifikasi RDS untuk instans Db2 DB](#db2-kerberos-setting-up-create-modify)
+ [Langkah 8: Ambil SID grup Active Directory di PowerShell](#db2-kerberos-setting-up-retrieve-ad-group-sid)
+ [Langkah 9: Tambahkan SID ke GroupName pemetaan ke RDS Anda untuk instans Db2 DB](#db2-kerberos-setting-up-add-sid-group-mapping)
+ [Langkah 10: Konfigurasikan klien Db2](#db2-kerberos-setting-up-create-logins)
## Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD
Directory Service menciptakan yang dikelola sepenuhnya Active Directory di AWS Cloud. Saat Anda membuat AWS Managed Microsoft AD direktori, Directory Service buat dua pengontrol domain dan server DNS untuk Anda. Server-server direktori dibuat di subnet yang berbeda di VPC. Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses meskipun terjadi kegagalan.
Saat Anda membuat AWS Managed Microsoft AD direktori, Directory Service lakukan tugas-tugas berikut atas nama Anda:
+ Menyiapkan Active Directory di dalam VPC Anda.
+ Membuat akun administrator direktori dengan nama pengguna `Admin` dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori Anda.
**penting**
Pastikan untuk menyimpan kata sandi ini. Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil atau diatur ulang.
+ Membuat grup keamanan untuk pengontrol direktori. Grup keamanan harus mengizinkan komunikasi dengan instans basis data RDS for Db2.
Saat Anda meluncurkan AWS Directory Service for Microsoft Active Directory, AWS buat unit organisasi (OU) yang berisi semua objek direktori Anda. OU ini memiliki nama NetBIOS yang Anda masukkan saat membuat direktori, dan terletak di root domain. Root domain dimiliki dan dikelola oleh AWS.
`Admin`Akun yang dibuat dengan AWS Managed Microsoft AD direktori Anda memiliki izin untuk kegiatan administratif yang paling umum untuk OU Anda:
+ Membuat, memperbarui, atau menghapus pengguna.
+ Menambahkan sumber daya ke domain Anda seperti server file atau cetak, lalu menetapkan izin untuk sumber daya tersebut kepada pengguna di OU Anda.
+ Membuat OU dan kontainer tambahan.
+ Mendelegasikan otoritas.
+ Memulihkan objek-objek yang dihapus dari Keranjang Sampah Active Directory.
+ Menjalankan modul-modul Active Directory dan Domain Name Service (DNS) untuk Windows PowerShell di Directory Service.
Akun `Admin` juga memiliki hak melakukan aktivitas-aktivitas selingkup domain berikut:
+ Mengelola konfigurasi DNS (menambahkan, menghapus, atau memperbarui catatan, zona, dan penerus).
+ Lihat log peristiwa DNS.
+ Lihat log peristiwa keamanan.
**Untuk membuat direktori dengan AWS Managed Microsoft AD**
1. Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Pilih **Siapkan direktori**.
1. Pilih **AWS Managed Microsoft AD**. AWS Managed Microsoft AD adalah satu-satunya pilihan yang saat ini didukung untuk digunakan dengan Amazon RDS.
1. Pilih ******Berikutnya******.
1. Di halaman ******Masukkan informasi direktori******, berikan informasi berikut:
+ **Edisi** – Pilih edisi yang memenuhi kebutuhan Anda.
+ **Nama DNS direktori**** **– Nama berkualifikasi penuh untuk direktori, seperti `corp.example.com`.
+ **Nama NetBIOS direktori**** **– Nama pendek opsional untuk direktori, seperti `CORP`.
+ **Deskripsi direktori** – Deskripsi opsional untuk direktori.
+ **Kata sandi admin**** **– Kata sandi untuk administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna `Admin` dan kata sandi ini.
Kata sandi administrator direktori tidak boleh menyertakan kata “admin.” Kata sandi peka terhadap huruf besar/kecil dan harus terdiri dari 8–64 karakter. Kata sandi juga harus berisi setidaknya satu karakter dari tiga di antara empat kategori berikut:
+ Huruf kecil (a-z)
+ Huruf besar (A-Z)
+ Angka (0–9)
+ Karakter non-alfanumerik (\~\!@\#$%^&\*\_-\+=`\|\\(){}[]:;"'<>,.?/)
+ Ulangi kata sandi – Ketik ulang kata sandi administrator.
**penting**
Pastikan Anda menyimpan kata sandi ini. Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil atau diatur ulang.
1. Pilih **Berikutnya**.
1. Di halaman **Pilih VPC dan subnet**, berikan informasi berikut:
+ **VPC** – Pilih VPC untuk direktori. Anda dapat membuat instans basis data RDS for Db2 dalam VPC yang sama ini atau dalam VPC yang berbeda.
+ **Subnet** – Pilih subnet untuk server direktori. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.
1. Pilih **Berikutnya**.
1. Tinjau informasi direktori. Jika ada yang perlu diubah, pilih **Sebelumnya** dan lakukan perubahan. Jika informasi sudah benar, pilih **Buat direktori**.
Dibutuhkan beberapa menit sampai direktori terbuat. Setelah direktori berhasil dibuat, nilai **Status** berubah menjadi **Aktif**.
Untuk melihat informasi tentang direktori Anda, pilih ID direktori di **ID Direktori**. Buat catatan tentang nilai **ID Direktori**. Anda memerlukan nilai ini saat membuat atau mengubah instans basis data RDS for Db2.
## Langkah 2: Buat kepercayaan
Jika Anda berencana untuk menggunakan Microsoft AD yang AWS Dikelola saja, lewati ke[Langkah 3: Buat peran IAM untuk Amazon RDS untuk mengakses Directory Service](#db2-kerberos-setting-up-create-iam-role).
Untuk mengaktifkan otentikasi Kerberos menggunakan Active Directory yang dikelola sendiri, Anda harus membuat hubungan kepercayaan hutan antara Active Directory yang dikelola sendiri dan Active Directory. Forest trust adalah hubungan kepercayaan antara Microsoft AD dan Active Directory yang dikelola sendiri dan yang AWS Managed Microsoft AD dibuat pada langkah sebelumnya. Kepercayaan juga dapat bersifat dua arah, di mana kedua Active Directory saling mempercayai. Untuk informasi selengkapnya tentang cara menyiapkan trust hutan Directory Service, lihat [Kapan membuat hubungan kepercayaan](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust.html) di *AWS Directory Service Administration Guide*.
## Langkah 3: Buat peran IAM untuk Amazon RDS untuk mengakses Directory Service
Agar Amazon RDS memanggil Directory Service Anda, Anda Akun AWS memerlukan peran IAM yang menggunakan kebijakan IAM terkelola. `AmazonRDSDirectoryServiceAccess` Peran ini memungkinkan Amazon RDS melakukan panggilan ke Directory Service.
Saat Anda membuat instans DB menggunakan Konsol Manajemen AWS dan akun pengguna konsol Anda memiliki `iam:CreateRole` izin, konsol akan membuat peran IAM yang diperlukan secara otomatis. Dalam hal ini, nama perannya adalah `rds-directoryservice-kerberos-access-role`. Jika tidak, Anda harus membuat peran IAM secara manual. Saat Anda membuat peran IAM ini, pilih`Directory Service`, dan lampirkan kebijakan AWS terkelola `AmazonRDSDirectoryServiceAccess` padanya.
Untuk informasi selengkapnya tentang membuat peran IAM untuk layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.
**catatan**
Peran IAM yang digunakan untuk autentikasi Windows untuk RDS for Microsoft SQL Server tidak dapat digunakan untuk RDS for Db2.
Sebagai alternatif untuk penggunaan kebijakan terkelola `AmazonRDSDirectoryServiceAccess`, Anda dapat membuat kebijakan dengan izin-izin yang diperlukan. Dalam hal ini, peran IAM harus memiliki kebijakan kepercayaan IAM berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.amazonaws.com",
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Peran ini juga harus memiliki kebijakan peran IAM berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Langkah 4: Buat dan konfigurasikan pengguna
Anda dapat membuat pengguna dengan alat Active Directory Users and Computers. Inilah salah satu alat Active Directory Domain Services dan Active Directory Lightweight Directory Services. Lihat informasi yang lebih lengkap di [Add Users and Computers to the Active Directory domain](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/create-an-active-directory-server#add-users-and-computers-to-the-active-directory-domain) dalam dokumentasi Microsoft. Dalam hal ini, pengguna adalah orang atau entitas lain, seperti komputer, yang merupakan bagian dari domain dan yang identitasnya dipelihara di dalam direktori.
Untuk membuat pengguna di Directory Service direktori, Anda harus terhubung ke instans Amazon EC2 Windows berbasis yang merupakan anggota direktori. Directory Service Pada saat yang sama, Anda harus masuk sebagai pengguna yang memiliki privilese membuat pengguna. Lihat informasi yang lebih lengkap di [Membuat pengguna](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups_create_user.html) dalam *Panduan Administrasi AWS Directory Service *.
## Langkah 5: Buat RDS untuk grup admin Db2 di AWS Managed Microsoft AD
RDS for Db2 tidak mendukung autentikasi Kerberos untuk pengguna master atau dua pengguna yang dicadangkan Amazon RDS `rdsdb` dan `rdsadmin`. Sebagai gantinya, Anda perlu membuat grup baru yang dipanggil `masterdba` AWS Managed Microsoft AD. Lihat informasi yang lebih lengkap di [Create a Group Account in Active Directory](https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/create-a-group-account-in-active-directory) dalam dokumentasi Microsoft. Semua pengguna yang Anda tambahkan ke grup ini akan memiliki privilese pengguna master.
Setelah Anda mengaktifkan autentikasi Kerberos, pengguna master kehilangan peran `masterdba`. Akibatnya, pengguna master tidak akan dapat mengakses keanggotaan grup pengguna lokal instans kecuali Anda menonaktifkan autentikasi Kerberos. Untuk terus menggunakan pengguna master dengan login kata sandi, buat pengguna di AWS Managed Microsoft AD dengan nama yang sama dengan pengguna master. Lalu, tambahkan pengguna itu ke grup `masterdba`.
## Langkah 6: Ubah parameter DB
Jika Anda berencana untuk menggunakan AWS Managed Microsoft AD saja, lewati ke[Langkah 7: Buat atau modifikasi RDS untuk instans Db2 DBLangkah 7: Membuat atau memodifikasi instans DB](#db2-kerberos-setting-up-create-modify).
Untuk mengaktifkan otentikasi Kerberos menggunakan Active Directory yang dikelola sendiri, Anda harus mengatur parameter `rds.active_directory_configuration` ke `AWS_MANAGED_AD_WITH_TRUST` dalam grup parameter Anda. Secara default, parameter ini diatur `AWS_MANAGED_AD` untuk menggunakan Microsoft AD AWS Terkelola saja.
Untuk informasi tentang memodifikasi parameter DB, lihat[Memodifikasi parameter dalam kelompok parameter](db2-supported-parameters.md#db2-modifying-parameter-group-parameters).
## Langkah 7: Buat atau modifikasi RDS untuk instans Db2 DB
Buat atau ubah instans basis data RDS for Db2 untuk digunakan dengan direktori Anda. Anda dapat menggunakan Konsol Manajemen AWS, AWS CLI, atau RDS API untuk mengaitkan instans basis data dengan direktori. Anda dapat melakukannya dengan salah satu cara berikut:
+ Buat instans basis data RDS for Db2 baru dengan menggunakan konsol, perintah [https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html), atau operasi API [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html). Lihat petunjuknya di [Membuat instans DB Amazon RDS](USER_CreateDBInstance.md).
+ Ubah instans basis data RDS for Db2 yang ada dengan menggunakan konsol, perintah [https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html), atau operasi API [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html). Lihat petunjuknya di [Memodifikasi instans DB Amazon RDS](Overview.DBInstance.Modifying.md).
+ Pulihkan instans basis data RDS for Db2 dari cuplikan basis data dengan menggunakan konsol, perintah [https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html), atau operasi API [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html). Lihat petunjuknya di [Memulihkan ke instans DB](USER_RestoreFromSnapshot.md).
+ Pulihkan instans basis data RDS for Db2 ke suatu titik waktu dengan menggunakan konsol, perintah [https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html), atau operasi API [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html). Lihat petunjuknya di [Memulihkan instans DB ke waktu yang ditentukan untuk Amazon RDS](USER_PIT.md).
Autentikasi Kerberos hanya didukung untuk instans basis data RDS for Db2 dalam VPC. Instans basis data boleh berada dalam VPC yang sama dengan direktori, atau dalam VPC yang berbeda. Instans basis data harus menggunakan grup keamanan yang memungkinkan data masuk dan keluar di dalam VPC direktori, sehingga instans basis data dapat berkomunikasi dengan direktori.
### Konsol
Saat Anda menggunakan konsol untuk membuat, mengubah, atau memulihkan instans basis data, pilih **Autentikasi kata sandi dan Kerberos** di bagian **Autentikasi basis data**. Kemudian, pilih **Telusuri direktori**. Pilih direktori atau pilih **Buat direktori** untuk menggunakan Directory Service.
### AWS CLI
Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan direktori yang Anda buat:
+ Untuk parameter `--domain`, gunakan pengidentifikasi domain (pengidentifikasi "`d-*`") yang dihasilkan saat Anda membuat direktori.
+ Untuk parameter `--domain-iam-role-name`, gunakan peran yang Anda buat dengan menggunakan kebijakan IAM terkelola `AmazonRDSDirectoryServiceAccess`.
Contoh berikut mengubah instans basis data untuk menggunakan direktori. Ganti penampung nilai berikut dalam contoh dengan nilai-nilai Anda sendiri:
+ {{db\_instance\_name}}— Nama RDS Anda untuk instans Db2 DB.
+ {{directory\_id}}— ID AWS Directory Service for Microsoft Active Directory direktori yang Anda buat.
+ {{role\_name}}— Nama peran IAM yang Anda buat.
```
aws rds modify-db-instance --db-instance-identifier {{db_instance_name}} --domain d-{{directory_id}} --domain-iam-role-name {{role_name}}
```
**penting**
Jika Anda mengubah instans basis data untuk mengaktifkan autentikasi Kerberos, boot ulang instans basis data setelah membuat perubahan.
## Langkah 8: Ambil SID grup Active Directory di PowerShell
ID keamanan (SID) secara unik mengidentifikasi prinsip keamanan atau grup keamanan. Ketika grup keamanan atau akun dibuat di Active Directory, Active Directory menetapkan SID ke grup. Untuk mengambil SID grup keamanan AD dari Active Directory, gunakan `Get-ADGroup` cmdlet di mesin klien Windows yang merupakan bagian dari domain Active Directory. `Identity`Parameter menentukan nama grup Active Directory yang Anda inginkan SID untuk.
Contoh berikut mengembalikan SID dari grup Active Directory`adgroup1`.
```
C:\Users\Admin> Get-ADGroup -Identity adgroup1 | select SID
SID
-----------------------------------------------
S-1-5-21-3168537779-1985441202-1799118680-1612
```
Anda harus membuat pemetaan ini untuk semua grup yang relevan dengan database.
## Langkah 9: Tambahkan SID ke GroupName pemetaan ke RDS Anda untuk instans Db2 DB
Anda perlu menambahkan SID ke GroupName pemetaan yang dibuat pada langkah sebelumnya ke RDS Anda untuk instans Db2 DB. Untuk setiap pemetaan, hubungi prosedur tersimpan berikut. Ganti {{SID}} dan {{group\_name}} dengan informasi Anda sendiri.
```
db2 connect to rdsadmin
db2 "call rdsadmin.set_sid_group_mapping(?, '{{SID}}','{{group_name}}')"
```
Untuk informasi selengkapnya, lihat [rdsadmin.set\_sid\_group\_mapping](db2-sp-granting-revoking-privileges.md#db2-sp-set-sid-group-mapping).
Untuk informasi tentang memeriksa status tugas, lihat[rdsadmin.get\_task\_status](db2-user-defined-functions.md#db2-udf-get-task-status).
## Langkah 10: Konfigurasikan klien Db2
**Untuk mengonfigurasikan klien Db2**
1. Buat file**/etc/krb5.conf** (atau setara) untuk menunjuk ke domain.
**catatan**
Untuk sistem operasi Windows, buat file **C:\\windows\\krb5.ini**.
1. Verifikasi bahwa lalu lintas dapat mengalir antara host klien dan Directory Service. Gunakan utilitas jaringan seperti Netcat untuk tugas-tugas berikut:
1. Periksa lalu lintas atas DNS untuk port 53.
1. Verifikasi lalu lintas TCP/UDP untuk port 53 dan untukKerberos, yang mencakup port 88 dan 464 untuk Directory Service.
1. Periksa bahwa lalu lintas dapat mengalir antara host klien dan instans basis data melalui port basis data. Anda dapat menggunakan perintah `db2` untuk menghubungkan dan mengakses basis data.
Contoh berikut adalah etc/krb5 /.conf konten file untuk: AWS Managed Microsoft AD
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
```