# Gerenciamento de uma instância de banco de dados em um domínio
<a name="oracle-kerberos-managing"></a>

É possível usar o console, a CLI ou a API do RDS para gerenciar a instância de banco de dados e suas relações com o Microsoft Active Directory. Por exemplo, é possível associar um Microsoft Active Directory para permitir a autenticação Kerberos. Também é possível desassociar um Microsoft Active Directory para desabilitar a autenticação Kerberos. Também é possível mover uma instância de banco de dados para ser autenticada externamente por um Microsoft Active Directory para outra.

Por exemplo, usando a CLI, é possível fazer o seguinte: 
+ Para tentar habilitar a autenticação Kerberos novamente para uma assinatura com falha, use o comando [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) da CLI e especifique o ID do diretório atual da assinatura para a opção `--domain`.
+ Para desabilitar a autenticação Kerberos em uma instância de banco de dados, use o comando [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) da CLI e especifique `none` para a opção `--domain`.
+ Para mover uma instância de banco de dados de um domínio para outro, use o comando [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) da CLI e especifique o identificador de domínio do novo domínio para a opção `--domain`.

## Visualizar o status da associação ao domínio
<a name="oracle-kerberos-managing.understanding"></a>

Após criar ou modificar a instância de banco de dados, ela se tornará um membro do domínio. É possível visualizar o status da assinatura do domínio para a instância de banco de dados no console ou executando o comando [describe-db-instances](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html) da CLI. O status da instância de banco de dados pode ser um dos seguintes: 
+ `kerberos-enabled` – a instância de banco de dados que tem a autenticação Kerberos habilitada.
+ `enabling-kerberos`: a AWS está no processo de habilitar a autenticação Kerberos nessa instância de bancos de dados.
+ `pending-enable-kerberos` – a habilitação da autenticação Kerberos está pendente nessa instância de banco de dados.
+ `pending-maintenance-enable-kerberos`: a AWS tentará habilitar a autenticação Kerberos na instância de bancos de dados durante a próxima janela de manutenção programada.
+ `pending-disable-kerberos` – a desabilitação da autenticação Kerberos está pendente nessa instância de banco de dados.
+ `pending-maintenance-disable-kerberos`: a AWS tentará desabilitar a autenticação Kerberos na instância de banco de dados durante a próxima janela de manutenção programada.
+ `enable-kerberos-failed`: um problema de configuração impediu que a AWS habilitasse a autenticação Kerberos na instância de banco de dados. Corrija o problema de configuração antes de emitir o comando novamente para modificar a instância de banco de dados.
+ `disabling-kerberos`: a AWS está no processo de desabilitar a autenticação Kerberos nessa instância de bancos de dados.

Uma solicitação para habilitar a autenticação Kerberos pode falhar por conta de um novo problema de conectividade de rede ou de uma função do IAM incorreta. Se a tentativa de habilitar a autenticação Kerberos falhar ao criar ou modificar uma instância de banco de dados, verifique se você está usando a função do IAM correta. Depois, modifique a instância de banco de dados para ingressar no domínio.

**nota**  
Somente a autenticação Kerberos com o Amazon RDS para Oracle envia tráfego para os servidores DNS do domínio. Todas as outras solicitações de DNS são tratadas como acesso à rede de saída nas instâncias de bancos de dados que executam o Oracle. Para obter mais informações sobre o acesso à rede de saída com o Amazon RDS para Oracle, consulte [Configuração de um servidor DNS personalizado](Appendix.Oracle.CommonDBATasks.System.md#Appendix.Oracle.CommonDBATasks.CustomDNS).

## Chaves Kerberos de alternância forçada
<a name="oracle-kerberos-managing.rotation"></a>

Uma chave secreta é compartilhada entre AWS Managed Microsoft AD e o Amazon RDS para Oracle para a instância de banco de dados Oracle. Essa chave é alternada automaticamente a cada 45 dias. É possível usar o procedimento do Amazon RDS a seguir para forçar a rotação dessa chave.

```
SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;
```

**nota**  
Em uma configuração de réplica de leitura, esse procedimento está disponível apenas na instância de banco de dados de origem e não na réplica de leitura.

A instrução `SELECT` retorna o ID da tarefa em um tipo de dados `VARCHAR2`. Você pode visualizar o status de uma tarefa em andamento em um arquivo bdump. Os arquivos bdump estão localizados no diretório `/rdsdbdata/log/trace`. Cada nome de arquivo bdump está no seguinte formato.

```
dbtask-{{task-id}}.log
```

Você pode visualizar o resultado exibindo o arquivo de saída da tarefa.

```
SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-{{task-id}}.log'));
```

Substitua {{`task-id`}} pelo ID da tarefa retornado pelo procedimento.

**nota**  
As tarefas são executadas de forma assíncrona.