Anda dapat menggunakan autentikasi Kerberos untuk mengautentikasi pengguna saat mereka terhubung ke instans MySQL DB Anda. Instans DB berfungsi dengan AWS Directory Service untuk Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengaktifkan autentikasi Kerberos. Saat pengguna mengautentikasi dengan instance MySQL DB yang bergabung ke domain tepercaya, permintaan autentikasi akan diteruskan. Permintaan yang diteruskan masuk ke direktori domain yang Anda buat dengan AWS Directory Service
Menyimpan semua kredensial Anda di direktori yang sama dapat menghemat waktu dan tenaga Anda. Dengan pendekatan ini, Anda memiliki tempat terpusat untuk menyimpan dan mengelola kredensial untuk beberapa instans DB. Menggunakan direktori juga dapat meningkatkan profil keamanan Anda secara keseluruhan
Ketersediaan dan dukungan fitur bervariasi di seluruh versi spesifik dari setiap mesin database, dan di seluruh Wilayah AWS. Untuk informasi selengkapnya tentang ketersediaan versi dan Wilayah Amazon RDS dengan autentikasi Kerberos, lihat autentikasi Kerberos
Gambaran umum tentang Menyiapkan autentikasi Kerberos untuk instans DB MySQL
Untuk menyiapkan autentikasi Kerberos untuk instans DB MySQL, selesaikan langkah-langkah umum berikut, yang akan dijelaskan lebih mendetail nanti
Gunakan AWS Managed Microsoft AD untuk membuat direktori AWS Managed Microsoft AD. Anda dapat menggunakan AWS Management Console, AWS CLI, atau AWS Directory Service untuk membuat direktori. Untuk detail tentang cara melakukannya, lihat Membuat direktori AWS Managed Microsoft AD di AWS Directory Service Administration Guide
Buat peran AWS Identity and Access Management (IAM) yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess. Peran tersebut memungkinkan Amazon RDS melakukan panggilan ke direktori Anda
Agar peran mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di Wilayah AWS untuk akun AWS Anda. Titik akhir AWS STS aktif secara default di semua Wilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat di Panduan Pengguna IAM
Buat dan konfigurasikan pengguna di direktori AWS Managed Microsoft AD menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna di Active Directory Anda, lihat Mengelola pengguna dan grup di Microsoft AD yang dikelola AWS di AWS Directory Service Administration Guide
Membuat atau memodifikasi instance MySQL DB. Jika Anda menggunakan CLI atau RDS API dalam permintaan pembuatan, tentukan pengenal domain dengan parameter Domain. Gunakan pengidentifikasi d-* yang dihasilkan saat Anda membuat direktori dan nama peran yang Anda buat
Jika Anda mengubah instans DB MySQL yang ada untuk menggunakan autentikasi Kerberos, tetapkan parameter peran domain dan IAM untuk instans DB. Temukan instans DB di VPC yang sama dengan direktori domain
Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans DB MySQL. Buat pengguna di MySQL menggunakan klausa CREATE USER { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] } 0. Pengguna yang Anda buat dengan cara ini dapat masuk ke instans MySQL DB menggunakan autentikasi Kerberos
Menyiapkan autentikasi Kerberos untuk instance MySQL DB
Anda menggunakan AWS Managed Microsoft AD untuk menyiapkan autentikasi Kerberos untuk instans DB MySQL. Untuk menyiapkan autentikasi Kerberos, Anda melakukan langkah-langkah berikut
Langkah 1. Buat direktori menggunakan AWS Managed Microsoft AD
AWS Directory Service membuat Active Directory yang dikelola sepenuhnya di AWS Cloud. Saat Anda membuat direktori AWS Managed Microsoft AD, AWS Directory Service membuat dua pengontrol domain dan server Domain Name System (DNS) atas nama Anda. Server direktori dibuat di subnet yang berbeda di VPC. Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses meskipun terjadi kegagalan
Saat Anda membuat direktori AWS Managed Microsoft AD, AWS Directory Service melakukan tugas berikut atas nama Anda
Menyiapkan Direktori Aktif dalam VPC
Membuat akun administrator direktori dengan nama pengguna Admin dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori Anda
Pastikan untuk menyimpan kata sandi ini. AWS Directory Service tidak menyimpannya. Anda dapat mengatur ulang, tetapi Anda tidak dapat mengambilnya kembali
Membuat grup keamanan untuk pengontrol direktori
Saat Anda meluncurkan AWS Managed Microsoft AD, AWS membuat Unit Organisasi (OU) yang berisi semua objek direktori Anda. OU ini memiliki nama NetBIOS yang Anda ketikkan saat membuat direktori dan terletak di akar domain. Root domain dimiliki dan dikelola oleh AWS
Akun Admin yang dibuat dengan direktori AWS Managed Microsoft AD Anda memiliki izin untuk aktivitas administratif paling umum untuk OU Anda
Membuat, memperbarui, atau menghapus pengguna
Tambahkan sumber daya ke domain Anda seperti server file atau cetak, lalu berikan izin untuk sumber daya tersebut kepada pengguna di OU Anda
Buat OU dan penampung tambahan
Mendelegasikan wewenang
Mengembalikan objek yang dihapus dari Recycle Bin Direktori Aktif
Jalankan modul AD dan DNS Windows PowerShell di Layanan Web Direktori Aktif
Akun Admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut
Kelola konfigurasi DNS (tambah, hapus, atau perbarui rekaman, zona, dan penerusan)
Lihat log peristiwa DNS
Lihat log peristiwa keamanan
Untuk membuat direktori dengan AWS Managed Microsoft AD
Masuk ke AWS Management Console dan buka konsol AWS Directory Service di https. //menghibur. aws. amazon. com/directoryservicev2/
Di panel navigasi, pilih Direktori dan pilih Siapkan Direktori
Pilih AWS Managed Microsoft AD. AWS Managed Microsoft AD adalah satu-satunya opsi yang saat ini dapat Anda gunakan dengan Amazon RDS
Masukkan informasi berikut
Nama DNS direktori
Nama direktori yang sepenuhnya memenuhi syarat, seperti { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] } 1
Nama direktori NetBIOSNama pendek untuk direktori, seperti { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] } 2
Deskripsi direktori(Opsional) Deskripsi untuk direktori
kata sandi administratorKata sandi untuk administrator direktori. Proses pembuatan direktori membuat akun administrator dengan nama pengguna Admin dan kata sandi ini
Kata sandi administrator direktori dan tidak boleh menyertakan kata "admin. " Kata sandi peka huruf besar-kecil dan panjangnya harus 8–64 karakter. Itu juga harus mengandung setidaknya satu karakter dari tiga dari empat kategori berikut
Huruf kecil (a–z)
Huruf besar (A–Z)
Angka (0–9)
Karakter non-alfanumerik (~. @#$%^&*_-+=`. \(){}[]. ;"',. ?/)
Kata sandi administrator diketik ulang
Pilih Berikutnya
Masukkan informasi berikut di bagian Jaringan, lalu pilih Berikutnya
VPC
VPC untuk direktori. Buat instance MySQL DB di VPC yang sama ini
SubnetSubnet untuk server direktori. Kedua subnet harus berada di Availability Zone yang berbeda
Tinjau informasi direktori dan lakukan perubahan yang diperlukan. Jika informasi sudah benar, pilih Buat direktori
Dibutuhkan beberapa menit untuk membuat direktori. Setelah berhasil dibuat, nilai Status berubah menjadi Aktif
Untuk melihat informasi tentang direktori Anda, pilih nama direktori di daftar direktori. Catat nilai ID Direktori karena Anda memerlukan nilai ini saat membuat atau memodifikasi instans MySQL DB
Langkah 2. Buat peran IAM untuk digunakan oleh Amazon RDS
Agar Amazon RDS memanggil AWS Directory Service untuk Anda, diperlukan peran IAM yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess. Peran ini memungkinkan Amazon RDS melakukan panggilan ke AWS Directory Service
Ketika instans DB dibuat menggunakan AWS Management Console dan pengguna konsol memiliki izin { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] } 4, konsol membuat peran ini secara otomatis. Dalam hal ini, nama peran adalah { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] } 5. Jika tidak, Anda harus membuat peran IAM secara manual. Saat Anda membuat peran IAM ini, pilih { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] } 6, dan lampirkan kebijakan terkelola AWS AmazonRDSDirectoryServiceAccess padanya
Untuk informasi selengkapnya tentang membuat peran IAM untuk layanan, lihat Membuat peran untuk mendelegasikan izin ke layanan AWS di Panduan Pengguna IAM
Peran IAM yang digunakan untuk Otentikasi Windows untuk RDS untuk SQL Server tidak dapat digunakan untuk RDS untuk MySQL
Secara opsional, Anda dapat membuat kebijakan dengan izin yang diperlukan alih-alih menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess. Dalam hal ini, peran IAM harus memiliki kebijakan kepercayaan IAM berikut
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "directoryservice.rds.amazonaws.com", "rds.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } _Peran tersebut juga harus memiliki kebijakan peran IAM berikut
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] }Langkah 3. Buat dan konfigurasikan pengguna
Anda dapat membuat pengguna dengan alat Pengguna dan Komputer Direktori Aktif. Alat ini merupakan bagian dari Layanan Domain Direktori Aktif dan alat Layanan Direktori Ringan Direktori Aktif. Pengguna mewakili individu atau entitas yang memiliki akses ke direktori Anda
Untuk membuat pengguna di direktori AWS Directory Service, Anda harus terhubung ke instans Amazon EC2 berbasis Microsoft Windows. Instance ini harus menjadi anggota direktori AWS Directory Service dan masuk sebagai pengguna yang memiliki hak istimewa untuk membuat pengguna. Untuk informasi selengkapnya, lihat Kelola pengguna dan grup di AWS Managed Microsoft AD di AWS Directory Service Administration Guide
Langkah 4. Membuat atau memodifikasi instance MySQL DB
Buat atau modifikasi instans DB MySQL untuk digunakan dengan direktori Anda. Anda dapat menggunakan konsol, CLI, atau RDS API untuk mengaitkan instans DB dengan direktori. Anda dapat melakukannya dengan salah satu cara berikut
Autentikasi Kerberos hanya didukung untuk instans MySQL DB di VPC. Instance DB dapat berada di VPC yang sama dengan direktori, atau di VPC yang berbeda. Instans DB harus menggunakan grup keamanan yang memungkinkan jalan keluar dalam VPC direktori sehingga instans DB dapat berkomunikasi dengan direktori
Saat Anda menggunakan konsol untuk membuat instans DB, pilih Otentikasi Kata Sandi dan Kerberos di bagian Otentikasi basis data. Pilih Telusuri Direktori lalu pilih direktori, atau pilih Buat direktori baru
Saat Anda menggunakan konsol untuk memodifikasi atau memulihkan instans DB, pilih direktori di bagian autentikasi Kerberos, atau pilih Buat direktori baru
Gunakan CLI atau RDS API untuk mengaitkan instans DB dengan direktori. Parameter berikut diperlukan agar instans DB dapat menggunakan direktori domain yang Anda buat
Untuk parameter { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] } _9, gunakan pengidentifikasi domain ("d-*" identifier) yang dihasilkan saat Anda membuat direktori
Untuk parameter aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name _0, gunakan peran yang Anda buat yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess
Misalnya, perintah CLI berikut memodifikasi instans DB untuk menggunakan direktori
Untuk Linux, macOS, atau Unix
aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name _Untuk Windows
aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-nameJika Anda memodifikasi instans DB untuk mengaktifkan autentikasi Kerberos, reboot instans DB setelah melakukan perubahan
Langkah 5. Buat otentikasi Kerberos login MySQL
Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans DB MySQL seperti yang Anda lakukan pada instans DB lainnya. Instans DB digabungkan ke domain AWS Managed Microsoft AD. Dengan demikian, Anda dapat menyediakan login dan pengguna MySQL dari pengguna Active Directory di domain Anda. Izin basis data dikelola melalui izin MySQL standar yang diberikan dan dicabut dari login ini
Anda dapat mengizinkan pengguna Active Directory untuk mengautentikasi dengan MySQL. Untuk melakukannya, pertama-tama gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans DB MySQL seperti instans DB lainnya. Setelah Anda masuk, buat pengguna yang diautentikasi secara eksternal dengan PAM (Pluggable Authentication Modules) di MySQL seperti yang ditunjukkan berikut ini
CREATE USER 'testuser'@'%' IDENTIFIED WITH 'auth_pam';Ganti aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name _2 dengan nama pengguna. Pengguna (manusia dan aplikasi) dari domain Anda sekarang dapat terhubung ke instans DB dari mesin klien yang bergabung dengan domain menggunakan autentikasi Kerberos
Kami sangat menyarankan agar klien menggunakan koneksi SSL/TLS saat menggunakan otentikasi PAM. Jika mereka tidak menggunakan koneksi SSL/TLS, kata sandi mungkin dikirim sebagai teks biasa dalam beberapa kasus. Untuk meminta koneksi terenkripsi SSL/TLS untuk pengguna AD Anda, jalankan perintah berikut
UPDATE mysql.user SET ssl_type = 'any' WHERE ssl_type = '' AND PLUGIN = 'auth_pam' and USER = 'testuser'; FLUSH PRIVILEGES;Untuk informasi lebih lanjut, lihat
Mengelola instans DB di domain
Anda dapat menggunakan CLI atau RDS API untuk mengelola instans DB Anda dan hubungannya dengan Direktori Aktif terkelola Anda. Misalnya, Anda dapat mengaitkan Direktori Aktif untuk autentikasi Kerberos dan memutuskan kaitan Direktori Aktif untuk menonaktifkan autentikasi Kerberos. Anda juga dapat memindahkan instans DB untuk diautentikasi secara eksternal oleh satu Direktori Aktif ke Direktori Aktif lainnya
Misalnya, menggunakan API Amazon RDS, Anda dapat melakukan hal berikut
Untuk mencoba kembali mengaktifkan autentikasi Kerberos untuk keanggotaan yang gagal, gunakan operasi API aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name 3 dan tentukan ID direktori keanggotaan saat ini
Untuk memperbarui nama peran IAM untuk keanggotaan, gunakan operasi API aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name 3 dan tentukan ID direktori keanggotaan saat ini dan peran IAM baru
Untuk menonaktifkan autentikasi Kerberos pada instans DB, gunakan operasi API aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name 3 dan tentukan aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name 6 sebagai parameter domain
Untuk memindahkan instans DB dari satu domain ke domain lain, gunakan operasi API aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name 3 dan tentukan pengidentifikasi domain dari domain baru sebagai parameter domain
Untuk membuat daftar keanggotaan untuk setiap instans DB, gunakan operasi API ________9______8
Memahami keanggotaan domain
Setelah Anda membuat atau memodifikasi instans DB, instans tersebut menjadi anggota domain. Anda dapat melihat status keanggotaan domain untuk instans DB dengan menjalankan perintah CLI explain-db-instances. Status instans DB dapat berupa salah satu dari berikut ini
aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name _9 – Instans DB mengaktifkan autentikasi Kerberos
aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name _0 – AWS sedang dalam proses mengaktifkan autentikasi Kerberos pada instans DB ini
aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name _1 – Pengaktifan autentikasi Kerberos tertunda pada instans DB ini
aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name 2 – AWS akan mencoba mengaktifkan autentikasi Kerberos pada instans DB selama jendela pemeliharaan terjadwal berikutnya
aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name _3 – Penonaktifan autentikasi Kerberos tertunda pada instans DB ini
aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name 4 – AWS akan mencoba menonaktifkan autentikasi Kerberos pada instans DB selama jendela pemeliharaan terjadwal berikutnya
aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name _5 – Masalah konfigurasi telah mencegah AWS mengaktifkan autentikasi Kerberos pada instans DB. Periksa dan perbaiki konfigurasi Anda sebelum menerbitkan kembali perintah modifikasi instans DB
aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name _6 – AWS sedang dalam proses menonaktifkan autentikasi Kerberos pada instans DB ini
Permintaan untuk mengaktifkan autentikasi Kerberos bisa gagal karena masalah konektivitas jaringan atau peran IAM yang salah. Misalnya, Anda membuat instans DB atau mengubah instans DB yang sudah ada dan upaya untuk mengaktifkan autentikasi Kerberos gagal. Jika ini terjadi, keluarkan ulang perintah modifikasi atau modifikasi instans DB yang baru dibuat untuk bergabung dengan domain
Menghubungkan ke MySQL dengan otentikasi Kerberos
Untuk terhubung ke MySQL dengan autentikasi Kerberos, Anda harus masuk menggunakan tipe autentikasi Kerberos
Untuk membuat pengguna database yang dapat Anda hubungi menggunakan autentikasi Kerberos, gunakan klausa aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name 7 pada pernyataan CREATE USER. Untuk instruksi, lihat
Untuk menghindari kesalahan, gunakan klien MariaDB ________11______9. Anda dapat mengunduh perangkat lunak MariaDB di https. //mengunduh. mariadb. org/
Pada prompt perintah, sambungkan ke salah satu titik akhir yang terkait dengan instans DB MySQL Anda. Ikuti prosedur umum dalam Menghubungkan ke instans DB yang menjalankan mesin database MySQL. Saat Anda dimintai kata sandi, masukkan kata sandi Kerberos yang terkait dengan nama pengguna tersebut
Memulihkan instance MySQL DB dan menambahkannya ke domain
Anda dapat memulihkan snapshot DB atau menyelesaikan pemulihan point-in-time untuk instans DB MySQL, lalu menambahkannya ke domain. Setelah instans DB dipulihkan, ubah instans DB menggunakan proses yang dijelaskan untuk menambahkan instans DB ke domain
Otentikasi Kerberos Batasan MySQL
Batasan berikut berlaku untuk autentikasi Kerberos untuk MySQL
Hanya AWS Managed Microsoft AD yang didukung. Namun, Anda dapat menggabungkan instans DB RDS untuk MySQL ke domain AD Microsoft Terkelola bersama yang dimiliki oleh akun berbeda di Wilayah AWS yang sama
Anda harus mem-boot ulang instans DB setelah mengaktifkan fitur
Panjang nama domain tidak boleh lebih dari 61 karakter
Anda tidak dapat mengaktifkan autentikasi Kerberos dan autentikasi IAM secara bersamaan. Pilih satu metode autentikasi atau lainnya untuk instans MySQL DB Anda
Jangan ubah port instans DB setelah mengaktifkan fitur
Jangan gunakan autentikasi Kerberos dengan replika baca
Jika Anda mengaktifkan pemutakhiran versi minor otomatis untuk instans DB MySQL yang menggunakan autentikasi Kerberos, Anda harus menonaktifkan autentikasi Kerberos, lalu mengaktifkannya kembali setelah pemutakhiran otomatis. Untuk informasi selengkapnya tentang pemutakhiran versi minor otomatis, lihat
Untuk menghapus instans DB dengan mengaktifkan fitur ini, pertama-tama nonaktifkan fitur tersebut. Untuk melakukannya, gunakan perintah CREATE USER 'testuser'@'%' IDENTIFIED WITH 'auth_pam';_0 CLI untuk instans DB dan tentukan aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name 6 untuk parameter { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] } 9
Bagaimana cara mengatur otentikasi di MySQL?
Mengatur plug-in autentikasi default ke mysql_native_password atau metode Enkripsi Kata Sandi Lama .Hentikan server MySQLBuka saya. file cnfTambahkan entri berikut. [mysqld] default-authentication-plugin=mysql_native_passwordMulai ulang server MySQLBagaimana cara mengaktifkan otentikasi kata sandi di MySQL?
Untuk menggunakan autentikasi kata sandi, lakukan. .Masuk ke shell root MySQL. sudo mysqlPeriksa metode autentikasi yang diaktifkan untuk pengguna yang berbeda (opsional) SELECT * FROM mysql. pengguna;Buat root untuk mengautentikasi dengan kata sandi. ALTER USER 'root'@'localhost' DIIDENTIFIKASI DENGAN mysql_native_password OLEH 'your_password_here';Apa otentikasi default di MySQL?
Di MySQL8. 0, caching_sha2_password adalah plugin otentikasi default daripada mysql_native_password , yang merupakan default di MySQL 5. 7. Plugin caching_sha2_password sisi server dibangun ke dalam server dan tidak perlu dimuat secara eksplisitBagaimana cara memeriksa metode otentikasi di MySQL?
Untuk masuk ke server MySQL lokal menggunakan autentikasi soket Unix, Anda harus masuk ke sistem operasi Anda sebagai nama akun yang cocok . Jadi, jika kita ingin mengautentikasi ke 'mary'@'localhost' menggunakan autentikasi soket Unix, pertama-tama kita harus login ke komputer kita dengan nama pengguna bernama mary.