Bagaimana cara mengaktifkan otentikasi di mysql?

Question

Anda dapat menggunakan autentikasi Kerberos untuk mengautentikasi pengguna saat mereka terhubung ke instans MySQL DB Anda. Instans DB berfungsi dengan AWS Directory Service untuk Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengaktifkan autentikasi Kerberos. Saat pengguna mengautentikasi dengan instance MySQL DB yang bergabung ke domain tepercaya, permintaan autentikasi akan diteruskan. Permintaan yang diteruskan masuk ke direktori domain yang Anda buat dengan AWS Directory Service

Table of Contents Show

Gambaran umum tentang Menyiapkan autentikasi Kerberos untuk instans DB MySQL
Menyiapkan autentikasi Kerberos untuk instance MySQL DB
Langkah 1. Buat direktori menggunakan AWS Managed Microsoft AD
Langkah 2. Buat peran IAM untuk digunakan oleh Amazon RDS
Langkah 3. Buat dan konfigurasikan pengguna
Langkah 4. Membuat atau memodifikasi instance MySQL DB
Langkah 5. Buat otentikasi Kerberos login MySQL
Mengelola instans DB di domain
Memahami keanggotaan domain
Menghubungkan ke MySQL dengan otentikasi Kerberos
Memulihkan instance MySQL DB dan menambahkannya ke domain
Otentikasi Kerberos Batasan MySQL
Bagaimana cara mengatur otentikasi di MySQL?
Bagaimana cara mengaktifkan otentikasi kata sandi di MySQL?
Apa otentikasi default di MySQL?
Bagaimana cara memeriksa metode otentikasi di MySQL?

Menyimpan semua kredensial Anda di direktori yang sama dapat menghemat waktu dan tenaga Anda. Dengan pendekatan ini, Anda memiliki tempat terpusat untuk menyimpan dan mengelola kredensial untuk beberapa instans DB. Menggunakan direktori juga dapat meningkatkan profil keamanan Anda secara keseluruhan

Ketersediaan dan dukungan fitur bervariasi di seluruh versi spesifik dari setiap mesin database, dan di seluruh Wilayah AWS. Untuk informasi selengkapnya tentang ketersediaan versi dan Wilayah Amazon RDS dengan autentikasi Kerberos, lihat autentikasi Kerberos

Gambaran umum tentang Menyiapkan autentikasi Kerberos untuk instans DB MySQL

Untuk menyiapkan autentikasi Kerberos untuk instans DB MySQL, selesaikan langkah-langkah umum berikut, yang akan dijelaskan lebih mendetail nanti

Gunakan AWS Managed Microsoft AD untuk membuat direktori AWS Managed Microsoft AD. Anda dapat menggunakan AWS Management Console, AWS CLI, atau AWS Directory Service untuk membuat direktori. Untuk detail tentang cara melakukannya, lihat Membuat direktori AWS Managed Microsoft AD di AWS Directory Service Administration Guide
Buat peran AWS Identity and Access Management (IAM) yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess. Peran tersebut memungkinkan Amazon RDS melakukan panggilan ke direktori Anda
Agar peran mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di Wilayah AWS untuk akun AWS Anda. Titik akhir AWS STS aktif secara default di semua Wilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat di Panduan Pengguna IAM
Buat dan konfigurasikan pengguna di direktori AWS Managed Microsoft AD menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna di Active Directory Anda, lihat Mengelola pengguna dan grup di Microsoft AD yang dikelola AWS di AWS Directory Service Administration Guide
Membuat atau memodifikasi instance MySQL DB. Jika Anda menggunakan CLI atau RDS API dalam permintaan pembuatan, tentukan pengenal domain dengan parameter Domain. Gunakan pengidentifikasi d-* yang dihasilkan saat Anda membuat direktori dan nama peran yang Anda buat
Jika Anda mengubah instans DB MySQL yang ada untuk menggunakan autentikasi Kerberos, tetapkan parameter peran domain dan IAM untuk instans DB. Temukan instans DB di VPC yang sama dengan direktori domain

Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans DB MySQL. Buat pengguna di MySQL menggunakan klausa CREATE USER

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

0. Pengguna yang Anda buat dengan cara ini dapat masuk ke instans MySQL DB menggunakan autentikasi Kerberos

Menyiapkan autentikasi Kerberos untuk instance MySQL DB

Anda menggunakan AWS Managed Microsoft AD untuk menyiapkan autentikasi Kerberos untuk instans DB MySQL. Untuk menyiapkan autentikasi Kerberos, Anda melakukan langkah-langkah berikut

Langkah 1. Buat direktori menggunakan AWS Managed Microsoft AD

AWS Directory Service membuat Active Directory yang dikelola sepenuhnya di AWS Cloud. Saat Anda membuat direktori AWS Managed Microsoft AD, AWS Directory Service membuat dua pengontrol domain dan server Domain Name System (DNS) atas nama Anda. Server direktori dibuat di subnet yang berbeda di VPC. Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses meskipun terjadi kegagalan

Saat Anda membuat direktori AWS Managed Microsoft AD, AWS Directory Service melakukan tugas berikut atas nama Anda

Menyiapkan Direktori Aktif dalam VPC
Membuat akun administrator direktori dengan nama pengguna Admin dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori Anda
Pastikan untuk menyimpan kata sandi ini. AWS Directory Service tidak menyimpannya. Anda dapat mengatur ulang, tetapi Anda tidak dapat mengambilnya kembali
Membuat grup keamanan untuk pengontrol direktori

Saat Anda meluncurkan AWS Managed Microsoft AD, AWS membuat Unit Organisasi (OU) yang berisi semua objek direktori Anda. OU ini memiliki nama NetBIOS yang Anda ketikkan saat membuat direktori dan terletak di akar domain. Root domain dimiliki dan dikelola oleh AWS

Akun Admin yang dibuat dengan direktori AWS Managed Microsoft AD Anda memiliki izin untuk aktivitas administratif paling umum untuk OU Anda

Membuat, memperbarui, atau menghapus pengguna
Tambahkan sumber daya ke domain Anda seperti server file atau cetak, lalu berikan izin untuk sumber daya tersebut kepada pengguna di OU Anda
Buat OU dan penampung tambahan
Mendelegasikan wewenang
Mengembalikan objek yang dihapus dari Recycle Bin Direktori Aktif
Jalankan modul AD dan DNS Windows PowerShell di Layanan Web Direktori Aktif

Akun Admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut

Kelola konfigurasi DNS (tambah, hapus, atau perbarui rekaman, zona, dan penerusan)
Lihat log peristiwa DNS
Lihat log peristiwa keamanan

Untuk membuat direktori dengan AWS Managed Microsoft AD

Masuk ke AWS Management Console dan buka konsol AWS Directory Service di https. //menghibur. aws. amazon. com/directoryservicev2/
Di panel navigasi, pilih Direktori dan pilih Siapkan Direktori
Pilih AWS Managed Microsoft AD. AWS Managed Microsoft AD adalah satu-satunya opsi yang saat ini dapat Anda gunakan dengan Amazon RDS
Masukkan informasi berikut
Nama DNS direktori
Nama direktori yang sepenuhnya memenuhi syarat, seperti
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}		
```
1
Nama direktori NetBIOS
Nama pendek untuk direktori, seperti
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}		
```
2
Deskripsi direktori
(Opsional) Deskripsi untuk direktori
kata sandi administrator
Kata sandi untuk administrator direktori. Proses pembuatan direktori membuat akun administrator dengan nama pengguna Admin dan kata sandi ini
Kata sandi administrator direktori dan tidak boleh menyertakan kata "admin. " Kata sandi peka huruf besar-kecil dan panjangnya harus 8–64 karakter. Itu juga harus mengandung setidaknya satu karakter dari tiga dari empat kategori berikut
- Huruf kecil (a–z)
- Huruf besar (A–Z)
- Angka (0–9)
- Karakter non-alfanumerik (~. @#$%^&*_-+=`. \(){}[]. ;"'<>,. ?/)
Konfirmasi sandi
Kata sandi administrator diketik ulang
Pilih Berikutnya
Masukkan informasi berikut di bagian Jaringan, lalu pilih Berikutnya
VPC
VPC untuk direktori. Buat instance MySQL DB di VPC yang sama ini
Subnet
Subnet untuk server direktori. Kedua subnet harus berada di Availability Zone yang berbeda
Tinjau informasi direktori dan lakukan perubahan yang diperlukan. Jika informasi sudah benar, pilih Buat direktori

Dibutuhkan beberapa menit untuk membuat direktori. Setelah berhasil dibuat, nilai Status berubah menjadi Aktif

Untuk melihat informasi tentang direktori Anda, pilih nama direktori di daftar direktori. Catat nilai ID Direktori karena Anda memerlukan nilai ini saat membuat atau memodifikasi instans MySQL DB

Langkah 2. Buat peran IAM untuk digunakan oleh Amazon RDS

Agar Amazon RDS memanggil AWS Directory Service untuk Anda, diperlukan peran IAM yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess. Peran ini memungkinkan Amazon RDS melakukan panggilan ke AWS Directory Service

Ketika instans DB dibuat menggunakan AWS Management Console dan pengguna konsol memiliki izin

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

4, konsol membuat peran ini secara otomatis. Dalam hal ini, nama peran adalah

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

5. Jika tidak, Anda harus membuat peran IAM secara manual. Saat Anda membuat peran IAM ini, pilih

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

6, dan lampirkan kebijakan terkelola AWS AmazonRDSDirectoryServiceAccess padanya

Untuk informasi selengkapnya tentang membuat peran IAM untuk layanan, lihat Membuat peran untuk mendelegasikan izin ke layanan AWS di Panduan Pengguna IAM

Peran IAM yang digunakan untuk Otentikasi Windows untuk RDS untuk SQL Server tidak dapat digunakan untuk RDS untuk MySQL

Secara opsional, Anda dapat membuat kebijakan dengan izin yang diperlukan alih-alih menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess. Dalam hal ini, peran IAM harus memiliki kebijakan kepercayaan IAM berikut

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

_

Peran tersebut juga harus memiliki kebijakan peran IAM berikut

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Langkah 3. Buat dan konfigurasikan pengguna

Anda dapat membuat pengguna dengan alat Pengguna dan Komputer Direktori Aktif. Alat ini merupakan bagian dari Layanan Domain Direktori Aktif dan alat Layanan Direktori Ringan Direktori Aktif. Pengguna mewakili individu atau entitas yang memiliki akses ke direktori Anda

Untuk membuat pengguna di direktori AWS Directory Service, Anda harus terhubung ke instans Amazon EC2 berbasis Microsoft Windows. Instance ini harus menjadi anggota direktori AWS Directory Service dan masuk sebagai pengguna yang memiliki hak istimewa untuk membuat pengguna. Untuk informasi selengkapnya, lihat Kelola pengguna dan grup di AWS Managed Microsoft AD di AWS Directory Service Administration Guide

Langkah 4. Membuat atau memodifikasi instance MySQL DB

Buat atau modifikasi instans DB MySQL untuk digunakan dengan direktori Anda. Anda dapat menggunakan konsol, CLI, atau RDS API untuk mengaitkan instans DB dengan direktori. Anda dapat melakukannya dengan salah satu cara berikut

Autentikasi Kerberos hanya didukung untuk instans MySQL DB di VPC. Instance DB dapat berada di VPC yang sama dengan direktori, atau di VPC yang berbeda. Instans DB harus menggunakan grup keamanan yang memungkinkan jalan keluar dalam VPC direktori sehingga instans DB dapat berkomunikasi dengan direktori

Saat Anda menggunakan konsol untuk membuat instans DB, pilih Otentikasi Kata Sandi dan Kerberos di bagian Otentikasi basis data. Pilih Telusuri Direktori lalu pilih direktori, atau pilih Buat direktori baru

Saat Anda menggunakan konsol untuk memodifikasi atau memulihkan instans DB, pilih direktori di bagian autentikasi Kerberos, atau pilih Buat direktori baru

Gunakan CLI atau RDS API untuk mengaitkan instans DB dengan direktori. Parameter berikut diperlukan agar instans DB dapat menggunakan direktori domain yang Anda buat

Untuk parameter

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

_9, gunakan pengidentifikasi domain ("d-*" identifier) yang dihasilkan saat Anda membuat direktori

Untuk parameter

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

_0, gunakan peran yang Anda buat yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess

Misalnya, perintah CLI berikut memodifikasi instans DB untuk menggunakan direktori

Untuk Linux, macOS, atau Unix

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

_

Untuk Windows

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

Jika Anda memodifikasi instans DB untuk mengaktifkan autentikasi Kerberos, reboot instans DB setelah melakukan perubahan

Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans DB MySQL seperti yang Anda lakukan pada instans DB lainnya. Instans DB digabungkan ke domain AWS Managed Microsoft AD. Dengan demikian, Anda dapat menyediakan login dan pengguna MySQL dari pengguna Active Directory di domain Anda. Izin basis data dikelola melalui izin MySQL standar yang diberikan dan dicabut dari login ini

Anda dapat mengizinkan pengguna Active Directory untuk mengautentikasi dengan MySQL. Untuk melakukannya, pertama-tama gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans DB MySQL seperti instans DB lainnya. Setelah Anda masuk, buat pengguna yang diautentikasi secara eksternal dengan PAM (Pluggable Authentication Modules) di MySQL seperti yang ditunjukkan berikut ini

CREATE USER 'testuser'@'%' IDENTIFIED WITH 'auth_pam';

Ganti

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

_2 dengan nama pengguna. Pengguna (manusia dan aplikasi) dari domain Anda sekarang dapat terhubung ke instans DB dari mesin klien yang bergabung dengan domain menggunakan autentikasi Kerberos

Kami sangat menyarankan agar klien menggunakan koneksi SSL/TLS saat menggunakan otentikasi PAM. Jika mereka tidak menggunakan koneksi SSL/TLS, kata sandi mungkin dikirim sebagai teks biasa dalam beberapa kasus. Untuk meminta koneksi terenkripsi SSL/TLS untuk pengguna AD Anda, jalankan perintah berikut

UPDATE mysql.user SET ssl_type = 'any' WHERE ssl_type = '' AND PLUGIN = 'auth_pam' and USER = 'testuser';
FLUSH PRIVILEGES;

Untuk informasi lebih lanjut, lihat

Mengelola instans DB di domain

Anda dapat menggunakan CLI atau RDS API untuk mengelola instans DB Anda dan hubungannya dengan Direktori Aktif terkelola Anda. Misalnya, Anda dapat mengaitkan Direktori Aktif untuk autentikasi Kerberos dan memutuskan kaitan Direktori Aktif untuk menonaktifkan autentikasi Kerberos. Anda juga dapat memindahkan instans DB untuk diautentikasi secara eksternal oleh satu Direktori Aktif ke Direktori Aktif lainnya

Misalnya, menggunakan API Amazon RDS, Anda dapat melakukan hal berikut

Untuk mencoba kembali mengaktifkan autentikasi Kerberos untuk keanggotaan yang gagal, gunakan operasi API

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

3 dan tentukan ID direktori keanggotaan saat ini

Untuk memperbarui nama peran IAM untuk keanggotaan, gunakan operasi API

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

3 dan tentukan ID direktori keanggotaan saat ini dan peran IAM baru

Untuk menonaktifkan autentikasi Kerberos pada instans DB, gunakan operasi API

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

3 dan tentukan

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

6 sebagai parameter domain

Untuk memindahkan instans DB dari satu domain ke domain lain, gunakan operasi API
```
aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name
            
```
3 dan tentukan pengidentifikasi domain dari domain baru sebagai parameter domain
Untuk membuat daftar keanggotaan untuk setiap instans DB, gunakan operasi API ________9______8

Memahami keanggotaan domain

Setelah Anda membuat atau memodifikasi instans DB, instans tersebut menjadi anggota domain. Anda dapat melihat status keanggotaan domain untuk instans DB dengan menjalankan perintah CLI explain-db-instances. Status instans DB dapat berupa salah satu dari berikut ini

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

_9 – Instans DB mengaktifkan autentikasi Kerberos

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

_0 – AWS sedang dalam proses mengaktifkan autentikasi Kerberos pada instans DB ini

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

_1 – Pengaktifan autentikasi Kerberos tertunda pada instans DB ini

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

2 – AWS akan mencoba mengaktifkan autentikasi Kerberos pada instans DB selama jendela pemeliharaan terjadwal berikutnya

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

_3 – Penonaktifan autentikasi Kerberos tertunda pada instans DB ini

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

4 – AWS akan mencoba menonaktifkan autentikasi Kerberos pada instans DB selama jendela pemeliharaan terjadwal berikutnya

```
aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name 
            
```
_5 – Masalah konfigurasi telah mencegah AWS mengaktifkan autentikasi Kerberos pada instans DB. Periksa dan perbaiki konfigurasi Anda sebelum menerbitkan kembali perintah modifikasi instans DB

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

_6 – AWS sedang dalam proses menonaktifkan autentikasi Kerberos pada instans DB ini

Permintaan untuk mengaktifkan autentikasi Kerberos bisa gagal karena masalah konektivitas jaringan atau peran IAM yang salah. Misalnya, Anda membuat instans DB atau mengubah instans DB yang sudah ada dan upaya untuk mengaktifkan autentikasi Kerberos gagal. Jika ini terjadi, keluarkan ulang perintah modifikasi atau modifikasi instans DB yang baru dibuat untuk bergabung dengan domain

Menghubungkan ke MySQL dengan otentikasi Kerberos

Untuk terhubung ke MySQL dengan autentikasi Kerberos, Anda harus masuk menggunakan tipe autentikasi Kerberos

Untuk membuat pengguna database yang dapat Anda hubungi menggunakan autentikasi Kerberos, gunakan klausa

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

7 pada pernyataan CREATE USER. Untuk instruksi, lihat

Untuk menghindari kesalahan, gunakan klien MariaDB ________11______9. Anda dapat mengunduh perangkat lunak MariaDB di https. //mengunduh. mariadb. org/

Pada prompt perintah, sambungkan ke salah satu titik akhir yang terkait dengan instans DB MySQL Anda. Ikuti prosedur umum dalam Menghubungkan ke instans DB yang menjalankan mesin database MySQL. Saat Anda dimintai kata sandi, masukkan kata sandi Kerberos yang terkait dengan nama pengguna tersebut

Memulihkan instance MySQL DB dan menambahkannya ke domain

Anda dapat memulihkan snapshot DB atau menyelesaikan pemulihan point-in-time untuk instans DB MySQL, lalu menambahkannya ke domain. Setelah instans DB dipulihkan, ubah instans DB menggunakan proses yang dijelaskan untuk menambahkan instans DB ke domain

Otentikasi Kerberos Batasan MySQL

Batasan berikut berlaku untuk autentikasi Kerberos untuk MySQL

Hanya AWS Managed Microsoft AD yang didukung. Namun, Anda dapat menggabungkan instans DB RDS untuk MySQL ke domain AD Microsoft Terkelola bersama yang dimiliki oleh akun berbeda di Wilayah AWS yang sama
Anda harus mem-boot ulang instans DB setelah mengaktifkan fitur
Panjang nama domain tidak boleh lebih dari 61 karakter
Anda tidak dapat mengaktifkan autentikasi Kerberos dan autentikasi IAM secara bersamaan. Pilih satu metode autentikasi atau lainnya untuk instans MySQL DB Anda
Jangan ubah port instans DB setelah mengaktifkan fitur
Jangan gunakan autentikasi Kerberos dengan replika baca
Jika Anda mengaktifkan pemutakhiran versi minor otomatis untuk instans DB MySQL yang menggunakan autentikasi Kerberos, Anda harus menonaktifkan autentikasi Kerberos, lalu mengaktifkannya kembali setelah pemutakhiran otomatis. Untuk informasi selengkapnya tentang pemutakhiran versi minor otomatis, lihat
Untuk menghapus instans DB dengan mengaktifkan fitur ini, pertama-tama nonaktifkan fitur tersebut. Untuk melakukannya, gunakan perintah
```
CREATE USER 'testuser'@'%' IDENTIFIED WITH 'auth_pam';
```
_0 CLI untuk instans DB dan tentukan
```
aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name
            
```
6 untuk parameter
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}		
```
9

Bagaimana cara mengatur otentikasi di MySQL?

Mengatur plug-in autentikasi default ke mysql_native_password atau metode Enkripsi Kata Sandi Lama .

Hentikan server MySQL

Buka saya. file cnf

Tambahkan entri berikut. [mysqld] default-authentication-plugin=mysql_native_password

Mulai ulang server MySQL

Bagaimana cara mengaktifkan otentikasi kata sandi di MySQL?

Untuk menggunakan autentikasi kata sandi, lakukan. .

Masuk ke shell root MySQL. sudo mysql

Periksa metode autentikasi yang diaktifkan untuk pengguna yang berbeda (opsional) SELECT * FROM mysql. pengguna;

Buat root untuk mengautentikasi dengan kata sandi. ALTER USER 'root'@'localhost' DIIDENTIFIKASI DENGAN mysql_native_password OLEH 'your_password_here';

Apa otentikasi default di MySQL?

Di MySQL8. 0, caching_sha2_password adalah plugin otentikasi default daripada mysql_native_password , yang merupakan default di MySQL 5. 7. Plugin caching_sha2_password sisi server dibangun ke dalam server dan tidak perlu dimuat secara eksplisit

Bagaimana cara memeriksa metode otentikasi di MySQL?

Untuk masuk ke server MySQL lokal menggunakan autentikasi soket Unix, Anda harus masuk ke sistem operasi Anda sebagai nama akun yang cocok . Jadi, jika kita ingin mengautentikasi ke 'mary'@'localhost' menggunakan autentikasi soket Unix, pertama-tama kita harus login ke komputer kita dengan nama pengguna bernama mary.