Veröffentlicht am: Oct 1, 2019

Amazon RDS for Oracle unterstützt ab sofort die externe Authentifizierung von Datenbankbenutzern über Kerberos und Microsoft Active Directory.

Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das vom Massachusetts Institute of Technology (MIT) entwickelt wurde. Es verwendet Tickets und eine Kryptographie mit symmetrischen Schlüsseln, um die Notwendigkeit der Übertragung von Kennwörtern über das Netzwerk zu eliminieren. Kerberos wurde in Microsoft Active Directory integriert und so konzipiert, dass Benutzer bei Netzwerkressourcen, wie z. B. Oracle-Datenbanken, authentifiziert werden.

Der Amazon RDS for Oracle-Support für Kerberos und Microsoft Active Directory bietet die Vorteile des Single Sign-On und einer zentralisierten Authentifizierung von Oracle Database-Benutzern. Durch das Aufbewahren all Ihrer Benutzeranmeldeinformationen in demselben Active Directory sparen Sie Zeit und Aufwand, da Sie nun über einen zentralisierten Speicherplatz für das Speichern und Verwalten dieser Anmeldeinformationen für mehrere DB-Instances verfügen.

Mit dieser Funktion können Sie Ihren Datenbankbenutzern ermöglichen, sich mit den in AWS Directory Service for Microsoft Active Directory gespeicherten Anmeldeinformationen oder den in Ihrem lokalen Microsoft Active Directory gespeicherten Anmeldeinformationen gegenüber Amazon RDS for Oracle zu authentifizieren. Dabei wird eine Forest-Vertrauensbeziehung zwischen Ihrem lokalen Active Directory und einem AWS Managed Active Directory aufgebaut. Sie können ein und dasselbe Active Directory für verschiedene VPCs innerhalb derselben AWS-Region verwenden. Sie können außerdem Amazon RDS for Oracle-Instances mit gemeinsam verwendeten Active Directory-Domains verbinden, die im Eigentum verschiedener Konten sind.

Die Kerberos-Authentifizierung mit Amazon RDS for Oracle kann ohne Zusatzkosten oder eine zusätzliche Lizenz verwendet werden. Diese Funktion wird in den Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1 und 18c der Enterprise-Edition und in den Versionen 12.1.0.2, 12.2.0.1 und 18c der Standard-Edition 2 unterstützt.

Um das Kerberos-Authentifizierungsverfahren mit Ihrer Amazon RDS for Oracle DB-Instance zu verwenden, melden Sie sich bitte für AWS Directory Service for Microsoft Active Directory (Enterprise Edition) an. Sie können die Kerberos-Authentifizierung aktivieren, während Sie eine neue DB-Instance in der AWS-Managementkonsole erstellen. Wählen Sie dazu einen Active Directory-Datensatz im Abschnitt „Advanced Settings“ des Assistenten zum Erstellen einer DB-Instance in der Amazon RDS-Konsole aus. Sollte der Active Directory-Datensatz noch nicht vorhanden sein, erstellen Sie einen neuen Verzeichnisdatensatz, indem Sie auf den Link „Create a New Directory“ klicken. Sie können eine vorhandene DB-Instance ändern, um das Kerberos-Authentifizierungsverfahren zu verwenden. Dazu können Sie im Abschnitt „Kerberos Authentication“ im Assistenten zum Ändern einer DB-Instance aus mehreren Optionen auswählen. 

Um Ihr vorhandenes lokales Microsoft Active Directory zu verwenden, führen Sie die oben genannten Schritte aus, um zunächst ein AWS Managed Active Directory zu erstellen. Richten Sie anschließend ein Forest-Vertrauensverhältnis zwischen Ihrem lokalen Verzeichnis und AWS Managed AD ein, indem Sie die hier aufgeführten Schritte ausführen. 

Mit Amazon RDS for Oracle ist das Einrichten, Betreiben und Skalieren einer Oracle Database-Bereitstellung in der Cloud ganz einfach. Weitere Informationen über die Kerberos-Authentifizierung mit Amazon RDS for Oracle, darunter auch die regionalen Verfügbarkeitsinformationen, finden Sie in der Dokumentation.