日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎?wù){(diào)研
輸入文檔關(guān)鍵字查找
首頁 云原生數(shù)據(jù)庫 PolarDB 云原生數(shù)據(jù)庫PolarDB MySQL版 用戶指南 賬號管理 數(shù)據(jù)庫賬號 PolarDB MySQL接入自建AD域

PolarDB MySQL接入自建AD域

更新時間:
產(chǎn)品詳情
相關(guān)技術(shù)圈
我的收藏

本文介紹了在ECS實例如何配置AD域控制器,并且介紹了如何通過基于Kerberos認(rèn)證將PolarDB MySQL版集群接入AD域。

背景介紹

活動目錄AD(Active Directory)是微軟提供的目錄服務(wù)。目錄是一種分層結(jié)構(gòu),用于存儲同一局域網(wǎng)絡(luò)上對象的信息。在目錄中可以收錄公司的電腦賬號、用戶賬號、組等以提供更好的安全性和更便捷的管理能力。

PolarDB MySQL版提供接入AD域功能,通過配置AD域服務(wù)信息,可以關(guān)聯(lián)Active Directory以啟用Kerberos身份驗證。

版本要求

PolarDB MySQL版集群版本需要滿足以下條件:

  • 數(shù)據(jù)庫引擎版本:8.0.1。

  • 內(nèi)核小版本:大于等于8.0.1.1.44.2,如不滿足,則需升級內(nèi)核小版本。

  • 產(chǎn)品版本:企業(yè)版。

  • 系列:集群版。

注意事項

說明

該功能當(dāng)前處于灰度發(fā)布中,您可以點擊此處申請試用。

前提條件

說明

如果您已經(jīng)有AD域和訪問PolarDB MySQL版 Client端的環(huán)境,無需創(chuàng)建ECS實例,直接使用配置AD域服務(wù)信息。

  • 創(chuàng)建ECS實例。PolarDB MySQL版接入自建域必須使用內(nèi)網(wǎng),ECS需要滿足以下條件:

    • 系統(tǒng)鏡像版本選擇Windows Server 2016及以上版本,語言選擇英文。

  • 創(chuàng)建ECS實例。訪問PolarDB MySQL版 Client端認(rèn)證ECS需要滿足以下條件:

    • 訪問PolarDB MySQL版 Client端所在ECS與目標(biāo)PolarDB MySQL版集群處于相同VPC。

    • 訪問PolarDB MySQL版 Client端所在ECS與AD域控制器所在ECS處于相同VPC。

  • 登錄的阿里云賬號為主賬號。

操作步驟

步驟一:ECS實例配置AD域控制器(可選)

  1. 遠(yuǎn)程登錄ECS的Windows Server 2022系統(tǒng)。

    說明

    AD域控制器需要建立在Windows Server操作系統(tǒng)之上,建議使用Windows Server 2016及以上版本,本示例以Windows Server 2022為例。

  2. 搜索Server Manager并打開。

  3. 單擊Add roles and features詳細(xì)參數(shù)進(jìn)行如下設(shè)置。

    頁面名稱

    設(shè)置說明

    Installation Type

    保持默認(rèn)設(shè)置。

    Server Selection

    保持默認(rèn)設(shè)置。

    Server Roles

    • 選中Active Directory Domain Services,并在彈出的對話框中單擊Add Features。

    • 選中DNS Server,并在彈出的對話框中單擊Add Features。如果提示您電腦不是固定IP,建議您修改電腦為固定IP,防止IP自動變更導(dǎo)致DNS服務(wù)器無法使用。

    image

    Features

    保持默認(rèn)設(shè)置。

    AD DS

    保持默認(rèn)設(shè)置。

    DNS Server

    保持默認(rèn)設(shè)置。

    Confirmation

    單擊Install進(jìn)行安裝。

  4. 等待安裝完成后,單擊Close關(guān)閉頁面。

  5. 在左側(cè)導(dǎo)航欄單擊AD DS,然后在右上方單擊More

    image

  6. 單擊Promote this server to a domain...,詳細(xì)參數(shù)進(jìn)行如下設(shè)置。

    image

    頁面名稱

    設(shè)置說明

    Deployment Configuration

    選擇Add a new forest,設(shè)置域名。

    image

    Domain Controller Options

    設(shè)置恢復(fù)模式密碼。

    image

    DNS Options

    取消選中Create DNS delegation選項。

    image

    Additional Options

    保持默認(rèn)設(shè)置。

    Paths

    保持默認(rèn)設(shè)置。

    Review Options

    保持默認(rèn)設(shè)置。

    Prerequisites Check

    單擊Install進(jìn)行安裝。

    說明

    安裝完成后系統(tǒng)會重啟。

  7. 等待系統(tǒng)重啟,再次搜索Server Manager并打開。

  8. 在左側(cè)導(dǎo)航欄單擊AD DS,然后在右側(cè)目標(biāo)域控服務(wù)器上單擊鼠標(biāo)右鍵,選擇Active Directory Users and Computers,進(jìn)入AD用戶管理模塊。

    image

  9. testdomain.net > Users上單擊鼠標(biāo)右鍵,選擇New > User。

    image

  10. 設(shè)置登錄的用戶,然后單擊Next。

    image

  11. 設(shè)置登錄密碼,并設(shè)置密碼永不過期,然后單擊Next > Finish完成創(chuàng)建。

    image

  12. 雙擊新創(chuàng)建的用戶,在Account options里,選定支持Kerberos AES加密方式。

    image

  13. 按照上面創(chuàng)建User的方式,再創(chuàng)建一個User對應(yīng)為polardbm。這里創(chuàng)建的兩個User,polardbmtestuser用戶用于Client訪問,polardbm用戶用于PolarDB MySQL Server端認(rèn)證。

    image

步驟二:配置ECS實例安全組規(guī)則(可選)

  1. 登錄ECS管理控制臺。

  2. 在左側(cè)導(dǎo)航欄,選擇實例與鏡像>實例。

  3. 在頂部菜單欄左上角處,選擇地域。

  4. 實例頁面中,單擊目標(biāo)ECS實例ID。

  5. 在上方導(dǎo)航欄單擊安全組頁簽,然后在目標(biāo)安全組右側(cè)操作列單擊配置規(guī)則。

    說明

    域控制器需要開放較多端口,因此不建議和其他ECS實例共享安全組,建議創(chuàng)建單獨的安全組使用。

  6. 入方向頁簽內(nèi)單擊手動添加,允許如下端口訪問ECS實例。

    協(xié)議類型

    端口范圍

    說明

    TCP

    88

    Kerberos認(rèn)證協(xié)議端口。

    TCP

    135

    遠(yuǎn)程過程調(diào)用協(xié)議(RPC)端口。

    TCP/UDP

    389

    輕型目錄訪問協(xié)議(LDAP)端口。

    TCP

    445

    通用互聯(lián)網(wǎng)文檔系統(tǒng)協(xié)議(CIFS)端口。

    TCP

    3268

    Global Catalog端口。

    TCP/UDP

    53

    DNS端口。

    TCP

    49152~65535

    連接的默認(rèn)動態(tài)端口范圍。輸入格式為:49152/65535。

步驟三:配置PolarDB MySQL版AD域服務(wù)端配置信息

  1. 訪問PolarDB集群列表,在上方選擇地域,然后單擊目標(biāo)集群ID。

  2. 單擊左側(cè)導(dǎo)航欄的賬號管理,選擇AD域服務(wù)信息頁簽。首次打開AD域服務(wù)信息頁簽,包含了兩部分配置:AD域服務(wù)端配置和客戶端信息配置。

    image

  3. 單擊AD域服務(wù)端配置

    image

    Server服務(wù)標(biāo)識:標(biāo)識請求PolarDB MySQL版服務(wù)的類型,這里默認(rèn)polardbm,不可修改。

    Server端訪問地址標(biāo)識:標(biāo)識該服務(wù)的訪問地址的名稱,這里默認(rèn)使用集群ID,不可修改。

    域名:這里對應(yīng)的是ECS自建域創(chuàng)建的根域名或者您也可以使用自己所創(chuàng)建的AD域(POLARDB.DOMAIN)。

    說明

    • 如果您使用的是企業(yè)自身的AD域,比如使用的是Azure Active Directory(現(xiàn)在是Microsoft Enter ID)這里需要輸入AD域?qū)?yīng)的Domain名稱。

    • Server服務(wù)標(biāo)識、Server端訪問地址標(biāo)識、域名對應(yīng)是Kerberos SPN的組成;Kerberos Service Principal Name (SPN) 是Kerberos身份驗證協(xié)議中的一個核心概念,用于唯一標(biāo)識網(wǎng)絡(luò)中的服務(wù)實例。SPN對于確??蛻舳四軌虬踩嘏c正確的服務(wù)進(jìn)行通信至關(guān)重要。SPN的格式通常如下所示:ServiceType/HostName@REALM。

    AD域服務(wù)端用戶:需要在AD域中創(chuàng)建一個用戶賬號,以便用于服務(wù)端服務(wù)認(rèn)證。輸入Server端訪問地址標(biāo)識、域名信息之后,會出現(xiàn)生成Keytab文件的建議命令。

    image

    說明

    Kerberos Keytab(簡稱keytab)是一個二進(jìn)制文件,它存儲了Kerberos安全領(lǐng)域內(nèi)服務(wù)主體(Service Principal Names,SPNs)與相應(yīng)加密密鑰的映射關(guān)系。這個文件對于 Kerberos認(rèn)證過程至關(guān)重要。如果您使用AD域作為Kerberos KDC管理,建議使用ktpass命令生成keytab文件,-out xxx.keytab需要替換成具體生成keytab的名稱,-pass yourPassword需要替換成在AD域創(chuàng)建polardbm用戶時候?qū)?yīng)的密碼。

  4. 生成keytab文件。

    在ECS AD域環(huán)境中生成keytab文件,打開Windows PowerShell。

    image

    執(zhí)行生成keytab命令。

    image

    確認(rèn)輸出信息沒有異常的報錯,通過setspn命令查看polardbm成功映射SPN。

  5. 選擇文件上傳keytab文件,完成AD域Server信息配置。

    需要將AD域生成的keytab文件暫存復(fù)制到本地,點擊選擇文件將暫存在本地的keytab文件進(jìn)行上傳。

    image

    完成后單擊確定

    說明

    提交后系統(tǒng)狀態(tài)將變?yōu)?b data-tag="uicontrol" id="f9440f6ce9o29" class="uicontrol">維護(hù)實例中。

步驟四:配置PolarDB MySQL版客戶端信息

  1. 單擊左側(cè)導(dǎo)航欄的賬號管理,選擇AD域服務(wù)信息頁簽,單擊客戶端信息配置。

    image

  2. 創(chuàng)建AD域客戶端訪問用戶內(nèi),填寫客戶端用戶域名。

    image

    客戶端用戶:在PolarDB MySQL版集群中創(chuàng)建一個基于Kerberos認(rèn)證的訪問用戶,這里對應(yīng)是在ECS自建域創(chuàng)建的Client端用戶(polardbmtestuser)。

    域名:這里對應(yīng)的是ECS自建域創(chuàng)建的根域名(POLARDB.DOMAIN)。

    完成后單擊確定

    說明

    提交后系統(tǒng)狀態(tài)將變?yōu)?b data-tag="uicontrol" id="a733261d80eei" class="uicontrol">維護(hù)實例中。

  3. 單擊左側(cè)導(dǎo)航欄的賬號管理,選擇用戶賬號頁簽。

    • 可以看到上一步創(chuàng)建的用戶。支持對用戶進(jìn)行修改權(quán)限操作,但不允許修改密碼刪除。

    • 如果需要刪除用戶,需要在AD域服務(wù)信息頁簽的客戶端信息中指定要刪除的用戶。

    image

步驟五:配置客戶端身份驗證(可選)

您需要先使用Kerberos對MySQL Client端進(jìn)行身份驗證,認(rèn)證通過后方可正常訪問PolarDB MySQL版。以下的操作需要在訪問PolarDB MySQL版所在的Client端ECS上執(zhí)行。

  1. 配置訪問ECS自建AD域的/etc/krb5.conf文件。

    # To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/

[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

# libdefaults configuration
# [libdefaults]下的default_realm配置成ECS自建AD域的根域(PolarDB.Domain);
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = POLARDB.DOMAIN
    default_ccache_name = KEYRING:persistent:%{uid}

# realms configuration
#[realms]下kdc和admin_server配置成訪問ECS自建AD域?qū)?yīng)的Domain Controller Service;
[realms]
POLARDB.DOMAIN = {
# ad.polardb.domain配置了/etc/hosts,綁定了ECS自建AD域的IP;端口默認(rèn)是88;
     kdc = ad.polardb.domain:88
     admin_server = ad.polardb.domain:88
}
# domain_realm configuration
#[domain_realm]也需要按照格式配置成對應(yīng)的ECS自建AD域的根域
[domain_realm]
.polardb.domain = POLARDB.DOMAIN
polardb.domain = POLARDB.DOMAIN
    kinit username

    username替換成在AD域創(chuàng)建的Client端用戶polardbmtestuser。在提示符下輸入在AD域中為用戶存儲的密碼。

  2. 使用以下MySQL命令登錄到與AD域集成的PolarDB MySQL版數(shù)據(jù)庫集群。使用主地址。

    說明

    需保證MySQL官方客戶端版本為8.0.26及以上才支持使用authentication_kerberos_client插件。--plugin-dir指定authentication_kerberos_client.so(以及依賴的authentication_oci_client.so)所在目錄。

    ./mysql -h [主地址] -P 3306 --default-auth=authentication_kerberos_client --plugin-dir=/root/mysql-client/plugin --user=polardbmtestuser

    image