发布于: Oct 1, 2019

Amazon RDS for Oracle 现在支持使用 Kerberos 和 Microsoft Active Directory 对数据库用户进行外部身份验证。

Kerberos 是麻省理工学院 (MIT) 开发的网络身份验证协议。它使用票证和对称密钥密码来消除通过网络传输密码的需要。Kerberos 已内置到 Microsoft Active Directory 中,旨在对网络资源(例如 Oracle 数据库)的用户进行身份验证。

适用于 Kerberos 和 Microsoft Active Directory 的 Amazon RDS for Oracle 提供了单点登录和对 Oracle 数据库用户进行集中式身份验证的优势。将所有用户凭证保存在同一个 Active Directory 中可以节省您的时间和精力,因为您现在拥有一个集中的位置来存储和管理多个数据库实例。

使用此功能,您可以使数据库用户使用存储在适用于 Microsoft Active Directory 的 AWS Directory Service 中的凭证或存储在本地 Microsoft Active Directory 中的凭证,对 Amazon RDS for Oracle 进行身份验证,并在您的本地 Active Directory 和 AWS Managed Active Directory 之间建立林信任关系。您可以将一个 Active Directory 用于同一 AWS 区域内的多个不同 VPC。您也可以将 Amazon RDS for Oracle 实例添加到多个不同账户拥有的共享 Active Directory 域中。

使用 Amazon RDS for Oracle 进行 Kerberos 身份验证无需额外费用或许可。企业版的 11.2.0.4、12.1.0.2、12.2.0.1 和 18c 版本以及标准版 的 12.1.0.2、12.2.0.1 和 18c 版本均支持此功能。

要将 Kerberos 身份验证方法与 Amazon RDS for Oracle 数据库实例一起使用,请注册适用于 Microsoft Active Directory 的 AWS Directory Service(企业版)。在 AWS 管理控制台中创建新的数据库实例时,您可以启用 Kerberos 身份验证,方法是在 Amazon RDS 控制台的“创建数据库实例向导”的“高级设置”部分中选择一个 Active Directory 记录。如果尚未有 Active Directory 记录,请通过单击“创建新目录”链接来创建新目录记录。您可以通过“修改数据库实例向导”中“Kerberos 身份验证”部分下的类似选项,将现有数据库实例修改为使用 Kerberos 身份验证方法。 

要使用现有的本地 Microsoft Active Directory,请按照上述步骤首先设置 AWS Managed Active Directory,然后按照此处显示的步骤在本地目录和 AWS Managed AD 之间建立林信任关系。 

Amazon RDS for Oracle 让用户能够在云中轻松设置、操作和扩展 Oracle 数据库部署。要了解有关使用 Amazon RDS for Oracle 进行 Kerberos 身份验证的更多信息,包括区域可用性信息,请访问文档。