Cara menggunakan otentikasi direktori aktif mysql

Database MySQL tidak memiliki mekanisme bawaan untuk mendukung otorisasi Active Directory (AD). Namun, dimungkinkan untuk mengonfigurasi otorisasi AD menggunakan plugin dan modul pihak ketiga, dengan beberapa batasan. Solusi semacam itu tidak tersedia untuk semua versi MySQL dan biasanya kompleks dalam implementasi dan pemeliharaan

Artikel ini menjelaskan bagaimana otorisasi AD dapat dengan mudah dilakukan dengan Perangkat Lunak DataSunrise, yaitu dengan fitur Otentikasi Proxy

Diasumsikan bahwa Anda memiliki konfigurasi berikut

• Kotak Active Directory dapat dijangkau dari host DataSunrise
• Perangkat lunak DataSunrise dikonfigurasi untuk bekerja dalam mode Proxy
• Database MySQL dilindungi oleh firewall DataSunrise

Langkah-langkah berikut menguraikan konfigurasi autentikasi AD untuk MySQL dan menentukan prasyarat untuk konfigurasi tersebut

Langkah 1. Konfigurasikan DataSunrise untuk Berinteraksi dengan DC Menggunakan Protokol LDAP

Masuk ke DataSunrise menggunakan antarmuka web dan buka Pengaturan Sistem. Dalam parameter AD/LDAP tentukan parameter berikut

• Tuan Rumah Server LDAP. Tentukan IP atau nama host kotak Active Directory
• Pelabuhan Server LDAP. Tentukan port server LPAD. Biasanya port 389 digunakan untuk koneksi TCP dan UDP dan 636 untuk LDAP melalui SSL
• SSL. Aktifkan kotak centang jika koneksi SSL digunakan, jika tidak, biarkan tidak dicentang
• Domain LDAP. Tentukan nama domain Direktori Aktif
• Masuk LDAP. Tentukan pengguna Active Directory yang memiliki akses ke grup AD
• Kata Sandi LDAP. Tentukan sandi pengguna Active Directory
• Jenis Otentikasi ke DataSunrise UI. Pilih "Sederhana" sebagai nilai jenis autentikasi
• Filter Pengguna. Parameter untuk mencari nama pengguna di server LDAP
• Dasar dn. Nama khusus dari sebuah database

Tekan tombol Test untuk memastikan parameter yang Anda tentukan sudah benar

Di lingkungan saya, saya tidak menggunakan koneksi SSL, jadi konfigurasinya terlihat seperti ini

192. 168. 0. 100 adalah alamat IP dari kotak AD saya. CONTOH adalah nama domain. [email dilindungi] adalah pengguna AD

Untuk mengonfigurasi “Base dn for LPAD search” di antarmuka Web, buka System Settings->Additional. Temukan parameter LdapBaseDN dan tentukan nilai untuk Pencarian Base DN dan tekan tombol Simpan

Menggunakan antarmuka Web pergi ke Konfigurasi->Database. Pilih database dan tekan Edit. Di halaman Edit Database, tekan tombol Auth Proxy Setting. Tekan tombol Enable dan tentukan Ketik sebagai "Config"

Tekan tombol Aktifkan

Langkah 3. Tentukan Pemetaan Pengguna

Tekan tombol Pemetaan + dan tentukan parameter pemetaan untuk Active Directory dan Database

• Jenis IKLAN. Tentukan "Masuk" untuk memetakan akun AD individual ke akun basis data. Untuk memetakan grup AD ke akun database, gunakan nilai "Grup".
• login AD. Tentukan login pengguna AD. Perhatikan bahwa kami tidak menyediakan domain sebagai bagian dari login
• Login DB. Tentukan pengguna database yang akan digunakan untuk membuat koneksi database. Kata Sandi DB. Tentukan kata sandi untuk pengguna basis data
• Tipe Hash. Pilih nilai "SHA-256".
• Server LDAP. Cukup jelas

Sekarang konfigurasi sudah selesai, jadi untuk mengujinya cukup masuk dengan kredensial domain

Panduan di atas untuk Otentikasi Direktori Aktif untuk Database MySQL saat menggunakan DataSunrise Database Protection Suite menunjukkan bahwa ini adalah proses 3 langkah mudah yang ditujukan untuk membuat pengalaman perlindungan database menjadi lebih sederhana bagi pelanggan kami. Untuk database MySQL Anda dapat memiliki Pemantauan Aktivitas, Masking Dinamis, Firewall, Pemantauan Kinerja, dll

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahannya berbeda dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris

Sekarang Anda dapat menggunakan autentikasi Kerberos untuk mengautentikasi pengguna saat mereka terhubung ke instans DB MySQL. Instans DB bekerja dengan AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengaktifkan autentikasi Kerberos. Saat pengguna mengautentikasi instans DB MySQL bergabung ke kepercayaan domain, permintaan autentikasi diteruskan. File yang diteruskan ke direktori domain yang Anda buat AWS Directory Service

Membersihkan semua kredensial Anda di direktori yang sama dapat menghemat waktu dan tenaga Anda. Dengan pendekatan ini, Anda memiliki tempat terbatas guna menyimpan dan mengelola kredensial untuk beberapa instans DB. Menggunakan direktori juga dapat meningkatkan keamanan profil Anda secara keseluruhan

Ketersediaan dan dukungan fitur bervariasi di seluruh versi khusus dari setiap basis data mesin, dan di seluruh Wilayah AWS. Untuk informasi selengkapnya tentang versi dan ketersediaan Wilayah Amazon RDS dengan otentikasi Kerberos, lihatAutentikasi Kerberos

Tinjauan tentang penembakan autentikasi Kerberos untuk instans DB MySQL

Untuk menyiapkan autentikasi Kerberos untuk instans DB MySQL, selesaikan langkah-langkah umum berikut, yang dijelaskan secara lebih detail nanti

1. Gunakan AWS Managed Microsoft AD untuk membuat direktori AWS Managed Microsoft AD. Anda dapat menggunakan AWS Management Console, yang AWS CLI, atau AWS Directory Service untuk membuat direktori. Untuk detail tentang melakukannya, lihat Buat direktori AWS Managed Microsoft AD dalam Panduan Administrasi AWS Directory Service

2. Buat peran AWS Identity and Access Management (IAM) yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess. Peran ini memungkinkan Amazon RDS untuk melakukan panggilan ke direktori Anda

   Untuk peran untuk membuka akses,endpoint AWS Security Token Service(AWS STS) harus diaktifkan diWilayah AWSuntukAWSakun. AWS STSendpoint aktif secara default di semuaWilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat dalamPanduan Pengguna IAM

3. Buat dan konfigurasikan pengguna dalam direktori AWS Managed Microsoft AD menggunakan alat Direktori Aktif Microsoft. Untuk informasi selengkapnya tentang membuat pengguna di Direktori Aktif Anda, lihat Mengelola pengguna dan grup di Microsoft AD yang mengelola AWS dalam Panduan Administrasi AWS Directory Service

4. Buat atau ubah instans DB MySQL. Jika Anda menggunakan API CLI atau RDS untuk menghapus DB instan dengan fitur ini aktif, akan terjadi penundaan