ApsaraDB RDS：Hubungkan instance ApsaraDB RDS for PostgreSQL ke domain AD yang dikelola sendiri

Prasyarat

• Instance RDS Anda harus memenuhi persyaratan berikut:

  • Instance RDS menjalankan PostgreSQL 10 atau versi lebih baru.

  • Instance RDS menjalankan versi mesin minor 20210228 atau yang lebih baru. Untuk informasi lebih lanjut tentang cara memperbarui versi mesin minor instance RDS Anda, lihat Perbarui Versi Mesin Minor Instance ApsaraDB RDS for PostgreSQL.

  • Instance RDS menggunakan disk cloud.

• Sebuah instance ECS telah dibuat. Untuk informasi lebih lanjut, lihat Buat Instance ECS. Instance RDS Anda harus mengakses domain AD yang dikelola sendiri menggunakan alamat IP pribadi. Oleh karena itu, instance ECS harus memenuhi kondisi berikut:

  • Instance ECS dan instance RDS berada di virtual private cloud (VPC) yang sama.

  • Grup keamanan tempat instance ECS berada dikonfigurasi untuk mengizinkan akses dari alamat IP pribadi instance RDS Anda. Untuk informasi lebih lanjut, lihat Tambah Aturan Grup Keamanan.

  • Firewall instance ECS dinonaktifkan secara default. Jika firewall diaktifkan untuk instance ECS, Anda harus mengonfigurasi firewall untuk mengizinkan akses dari alamat IP pribadi instance RDS Anda.

  • Gambar instance ECS menjalankan Windows Server 2016 atau yang lebih baru.

• Akun domain termasuk dalam grup Domain Admins.

• Akun Alibaba Cloud Anda digunakan untuk masuk ke konsol ApsaraDB RDS.

Prosedur

1. Konfigurasikan pengontrol domain AD untuk instance ECS.

   1. Masuk ke instance ECS.

      Catatan

      Pengontrol domain AD harus menjalankan sistem Windows Server. Kami merekomendasikan Anda menggunakan Windows Server 2016 atau yang lebih baru. Dalam contoh ini, pengontrol domain AD menjalankan Windows Server 2016.

   2. Cari dan buka Server Manager.

   3. Di panel navigasi sisi kiri, klik Dashboard. Pada halaman yang muncul, klik Add roles and features.

      

   4. Di Add Roles and Features Wizard, konfigurasikan parameter berikut.

      Tab	Deskripsi
      Before You Begin	Gunakan pengaturan default.
      Installation Type	Gunakan pengaturan default.
      Server Selection	Gunakan pengaturan default.
      Server Roles	Pilih Active Directory Domain Services. Di kotak dialog yang muncul, klik Add Features. Pilih DNS Server. Di kotak dialog yang muncul, klik Add Features. Catatan Pastikan komputer Anda menggunakan alamat IP tetap. Jika alamat IP berubah secara dinamis, server DNS menjadi tidak tersedia.
      Features	Gunakan pengaturan default.
      AD DS	Gunakan pengaturan default.
      DNS Server	Gunakan pengaturan default.
      Install	Klik Install untuk menambahkan peran yang telah dikonfigurasi.

   5. Setelah peran ditambahkan, klik Close untuk menutup wizard.

   6. Di panel navigasi sisi kiri Server Manager, klik AD DS. Di pojok kanan atas halaman yang muncul, klik More.

      

   7. Di wizard All Servers Task Details and Notifications, klik Promote this server to a domain controller.

      

   8. Di Active Directory Domain Services Configuration Wizard, konfigurasikan parameter berikut.

      Tab	Deskripsi
      Deployment Configuration	Pilih Add a new forest dan konfigurasikan parameter Root domain name. Catatan Dalam contoh ini, parameter Root domain name diatur ke pgsqldomain.net, di mana pgsqldomain adalah awalan dan net adalah akhiran nama domain. Anda dapat menentukan nilai berdasarkan kebutuhan bisnis Anda dan menggunakan nilai yang sama selama proses keseluruhan.
      Domain Controller Options	Tentukan Directory Service Restore Mode (DSRM) password.
      Server Selection	Hapus centang Create DNS delegation.
      Additional Options	Gunakan pengaturan default.
      Paths	Gunakan pengaturan default.
      Review Options	Gunakan pengaturan default.
      Prerequisites Check	Klik Install.

      Catatan

      Setelah instance ECS dipromosikan menjadi pengontrol domain AD, Anda harus me-restart instance ECS sebelum melanjutkan langkah-langkah berikutnya.

2. Tambahkan pengguna administrator ke pengontrol domain AD.

   1. Masuk ke instance ECS. Lalu, cari dan buka Server Manager.

   2. Di panel navigasi sisi kiri Server Manager, klik AD DS, klik kanan pengontrol domain AD yang ingin Anda konfigurasikan, dan pilih Active Directory Users and Computers.

   3. Klik pgsqldomain.net, klik kanan Users, dan pilih New > User.

      Catatan

      pgsqldomain.net adalah nama domain root yang ditentukan di Active Directory Domain Services Configuration Wizard.

   4. Tentukan nama pengguna dan klik Next.

   5. Tentukan kata sandi, pilih Password never expires, lalu klik Next. Kemudian, klik Finish.

   6. Klik dua kali pengguna yang dibuat dan tambahkan pengguna ke grup administrator Domain Admins.

      Setelah pengguna ditambahkan ke grup administrator Domain Admins, halaman berikut muncul.

3. Tambahkan pengguna standar ke pengontrol domain AD untuk login.

   Catatan

   Anda harus melakukan operasi yang sama seperti yang dijelaskan di Tambahkan Pengguna Administrator ke Pengontrol Domain AD. Pengguna standar tidak perlu ditambahkan ke grup administrator Domain Admins.

   Dalam contoh ini, pengguna standar bernama ldapuser ditambahkan ke pengontrol domain AD. Pengguna ini digunakan untuk masuk ke instance RDS Anda.

4. Konfigurasikan aturan grup keamanan untuk instance ECS.

   1. Masuk ke konsol ECS.

   2. Di panel navigasi sisi kiri, pilih Instances & Images > Instances.

   3. Di bilah navigasi atas, pilih wilayah tempat instance ECS berada.

   4. Di halaman Instances, temukan instance ECS yang diperlukan dan klik ID instance tersebut.

   5. Di panel navigasi sisi kiri, klik Security Groups. Di halaman yang muncul, klik Add Rules di kolom Actions.

      Catatan

      Beberapa port perlu diaktifkan untuk pengontrol domain AD. Kami merekomendasikan Anda mengonfigurasi grup keamanan terpisah untuk pengontrol domain AD daripada mengonfigurasi pengontrol domain AD di grup keamanan yang sama dengan instance ECS lainnya.

   6. Di tab Inbound, klik Add Rule untuk membuat aturan yang mengizinkan instance RDS Anda mengakses instance ECS melalui port berikut.

      Jenis protokol	Port range	Deskripsi
      TCP	88	Port untuk protokol otentikasi Kerberos.
      TCP	135	Port untuk protokol Remote Procedure Call (RPC).
      TCP/UDP	389	Port untuk Lightweight Directory Access Protocol (LDAP).
      TCP	445	Port untuk Common Internet File System (CIFS) protocol.
      TCP	3268	Port untuk Global Catalog.
      TCP/UDP	53	Port untuk layanan DNS.
      TCP	49152 hingga 65535	Range port dinamis default untuk koneksi. Masukkan nilai dalam format berikut: 49152/65535.

5. Konfigurasikan instance RDS.

   1. Masuk ke konsol ApsaraDB RDS dan buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instance RDS berada. Lalu, temukan instance RDS dan klik ID instance tersebut.

   2. Buat akun bernama ldapuser. Untuk informasi lebih lanjut, lihat Buat Akun.

      Catatan

      Nama pengguna akun instance RDS Anda harus sama dengan nama pengguna standar yang dibuat untuk pengontrol domain AD. Kata sandi kedua akun bisa berbeda. Saat pengontrol domain AD diaktifkan untuk kontrol akses, pengontrol domain AD memverifikasi kata sandi pengguna standar. Saat pengontrol domain AD dinonaktifkan untuk kontrol akses, ApsaraDB RDS memverifikasi kata sandi akun instance RDS Anda. Anda dapat mengatur kata sandi akun di halaman Accounts di konsol ApsaraDB RDS.

   3. Di panel navigasi sisi kiri, klik Accounts. Di halaman yang muncul, klik tab AD Domain Services.

      Jika tab AD Domain Service dibuka untuk pertama kalinya, sistem secara default membuat dua catatan berikut:

      host    all            all    0.0.0.0/0    md5
      host    replication    all    0.0.0.0/0    md5

      Anda dapat menghapus atau memodifikasi catatan-catatan tersebut.

   4. Klik Edit dari catatan pertama dan modifikasi parameter berikut.

      Catatan

      Tabel berikut hanya menjelaskan parameter yang digunakan dalam contoh yang diberikan. Untuk informasi lebih lanjut, lihat Dokumentasi Resmi PostgreSQL.

      Parameter	Contoh	Deskripsi
      Priority	0	Prioritas catatan. Jika Anda mengatur parameter ini ke 0, catatan memiliki prioritas tertinggi dan dibuat secara otomatis. Modifikasi catatan pertama dan atur parameter ini ke 0. Nilai 0 menentukan prioritas tertinggi untuk layanan domain AD.
      TYPE	host	Nilai valid: host: Catatan cocok dengan koneksi TCP/IP, termasuk koneksi SSL dan non-SSL. hostssl: Catatan hanya cocok dengan koneksi TCP/IP yang dibuat melalui SSL. Catatan Parameter ini hanya berlaku jika enkripsi SSL diaktifkan untuk instance RDS Anda. Untuk informasi lebih lanjut, lihat Konfigurasikan enkripsi SSL untuk instance ApsaraDB RDS for PostgreSQL. hostnossl: Domain AD hanya memverifikasi koneksi TCP/IP yang dibuat melalui koneksi non-SSL.
      DATABASE	all	Database yang diizinkan untuk pengguna tertentu. Jika nilai parameter ini adalah all, pengguna tertentu diizinkan mengakses semua database dari instance RDS Anda. Jika Anda menentukan beberapa entri, pisahkan entri tersebut dengan koma (,).
      USER	ldapuser	Pengguna yang diizinkan mengakses instance RDS Anda. Nilai valid: nama pengguna yang dibuat di pengontrol domain AD. Jika Anda menentukan beberapa entri, pisahkan entri tersebut dengan koma (,). Catatan Parameter ini hanya dapat diatur ke nama pengguna standar yang dibuat di domain AD.
      ADDRESS	0.0.0.0/0	Alamat IP dari mana pengguna tertentu dapat mengakses database tertentu. Jika Anda mengatur parameter ini ke 0.0.0.0/0, pengguna tertentu diizinkan mengakses database tertentu dari semua alamat IP.
      MASK	Tidak ada	Masker untuk alamat IP dalam catatan. Jika nilai parameter ADDRESS adalah alamat IP, Anda dapat menggunakan parameter ini untuk menentukan masker alamat IP tersebut.
      METHOD	ldap Catatan LDAP adalah protokol yang digunakan untuk mengakses direktori database. Dalam topik ini, LDAP digunakan sebagai contoh.	Parameter ini menentukan metode autentikasi LDAP. Nilai valid: trust reject scram-sha-256 md5 password gss sspi ldap radius cert pam Catatan Nilai valid dari parameter ini harus dalam huruf kecil.
      OPTION	ldapserver=<Alamat IP pribadi instance ECS> ldapbasedn="CN=Users,DC=Awalan nama domain root, pgsqldomain dalam contoh ini,DC=Akhiran nama domain root, net dalam contoh ini" ldapbinddn="CN=<Nama pengguna administrator domain AD>,CN=Users,DC=Awalan nama domain root, pgsqldomain dalam contoh ini,DC=Akhiran nama domain root, net dalam contoh ini" ldapbindpasswd="<Kata sandi pengguna administrator domain AD>" ldapsearchattribute="sAMAccountName"	Opsi metode autentikasi. Dalam topik ini, LDAP digunakan sebagai contoh. Anda harus menentukan parameter ini. Untuk informasi lebih lanjut, lihat Metode Autentikasi.

   5. Klik add di sebelah kanan catatan layanan domain AD untuk menambahkan catatan. Informasi berikut memberikan nilai valid dari catatan baru.

      host    all            all    0.0.0.0/0    md5

   6. Klik OK. Lalu, klik Submit.

      Catatan

      Setelah Anda mengklik Submit, status instance RDS Anda berubah menjadi Maintaining Instance selama sekitar 1 menit. Konfigurasi baru hanya berlaku untuk koneksi baru. Anda harus menutup koneksi yang ada dan membuat ulang koneksi tersebut agar konfigurasi baru berlaku.

6. Opsional. Impor informasi layanan tentang beberapa domain AD sekaligus. Anda juga dapat menambahkan informasi layanan tentang domain AD secara manual.

   Metode impor berikut didukung:

   • Timpa informasi layanan yang sudah ada.

   • Informasi Layanan Tambahan (Prioritas Tertinggi): Jika Anda memilih opsi ini, informasi layanan domain AD akan ditambahkan ke awal informasi layanan yang ada, dengan prioritas lebih tinggi daripada informasi layanan sebelumnya.

   • Informasi Layanan Tambahan (Prioritas Terendah): Jika Anda memilih opsi ini, informasi layanan domain AD akan ditambahkan ke akhir daftar informasi layanan yang ada. Prioritas informasi baru lebih rendah dibandingkan dengan prioritas informasi layanan sebelumnya.

   Format valid:

   TYPE|DATABASE|USER1|ADDRESS|MASK|METHOD|OPTION

   Masukkan informasi layanan yang ingin Anda impor di kotak teks Edit AD domain. Untuk informasi lebih lanjut tentang parameter, lihat Parameter.

   Contoh konfigurasi:

   host|all|<Nama pengguna akun standar domain AD>|0.0.0.0/0||ldap|ldapserver=<Alamat IP pribadi instance ECS> ldapbasedn="CN=Users,DC=<Awalan nama domain root, pgsqldomain dalam contoh ini>,DC=<Akhiran nama domain root, net dalam contoh ini>" ldapbinddn="CN=<Nama pengguna administrator domain AD>,CN=Users,DC=<Awalan nama domain root, pgsqldomain dalam contoh ini>,DC=<Akhiran nama domain root, net dalam contoh ini>" ldapbindpasswd="<Kata sandi pengguna administrator domain AD>" ldapsearchattribute="sAMAccountName"

7. Uji konektivitas.

   Gunakan alat baris perintah PostgreSQL untuk terhubung ke instance RDS Anda.

   Catatan

   Anda dapat terhubung ke instance RDS Anda menggunakan beberapa metode. Dalam topik ini, alat baris perintah PostgreSQL digunakan. Anda harus menginstal klien PostgreSQL sebelum menggunakan alat baris perintah PostgreSQL. Untuk informasi lebih lanjut, lihat Hubungkan ke Instance ApsaraDB RDS for PostgreSQL.

   Jalankan perintah berikut dan gunakan nama pengguna serta kata sandi akun standar pengontrol domain AD untuk terhubung ke instance RDS Anda:

   psql -h <Endpoint instance RDS Anda> -U <Nama pengguna akun standar domain AD> -p 5432 -d postgres

Lihat riwayat modifikasi informasi layanan domain AD

1. Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instance RDS berada. Lalu, temukan instance RDS dan klik ID instance tersebut.

2. Di panel navigasi sisi kiri, klik Accounts. Di halaman yang muncul, klik tab AD Domain Services Edit History.

3. Klik changedetails di kolom Actions untuk melihat detail perubahan. Jika modifikasi gagal, statusnya adalah Not Taking Effect. Anda dapat mengklik Change log untuk melihat pesan kesalahan.