Az Azure Arc által az Active Directory-hitelesítésben engedélyezett SQL Server rendszer által felügyelt keytab használatával – előfeltételek
Ez a dokumentum bemutatja, hogyan készülhet fel az Azure Arc-kompatibilis adatszolgáltatások Active Directory(AD) hitelesítéssel történő üzembe helyezésére. A cikk konkrétan a Kubernetes-erőforrások üzembe helyezése előtt konfigurálni kívánt Active Directory-objektumokat ismerteti.
A bevezetés két különböző integrációs módot ismertet:
- A rendszer által felügyelt keytab mód lehetővé teszi a rendszer számára az AD-fiókok létrehozását és kezelését az egyes felügyelt SQL-példányokhoz.
- Az ügyfél által felügyelt keytab mód lehetővé teszi az AD-fiókok létrehozását és kezelését minden felügyelt SQL-példányhoz.
A két integrációs mód követelményei és javaslatai eltérőek.
Active Directory-objektum | Ügyfél által felügyelt keytab | Rendszer által felügyelt keytab |
---|---|---|
Szervezeti egység (szervezeti egység) | Ajánlott | Szükséges |
Active Directory tartományi szolgáltatásfiók (DSA) az Active Directory Csatlakozás orhoz | Nem kötelező | Szükséges |
Felügyelt SQL-példány Active Directory-fiókja | Minden felügyelt példányhoz létrehozva | A rendszer AD-fiókot hoz létre minden felügyelt példányhoz |
DSA-fiók – rendszer által felügyelt keytab mód
Ahhoz, hogy az Active Directoryban automatikusan létre lehessen hozni az összes szükséges objektumot, az AD Csatlakozás ornak tartományi szolgáltatásfiókra (DSA) van szüksége. A DSA egy Active Directory-fiók, amely meghatározott engedélyekkel rendelkezik a megadott szervezeti egységen (szervezeti egységen) belüli felhasználói fiókok létrehozására, kezelésére és törlésére. Ez a cikk bemutatja, hogyan konfigurálhatja ennek az Active Directory-fióknak az engedélyét. A példák ebben a cikkben példaként hívják a DSA-fiókot arcdsa
.
Automatikusan létrehozott Active Directory-objektumok
Az Arc-kompatibilis felügyelt SQL-példányok üzembe helyezése automatikusan létrehoz fiókokat rendszer által felügyelt keytab módban. Minden fiók egy felügyelt SQL-példányt jelöl, amelyet a rendszer az SQL teljes élettartama alatt felügyel. Ezek a fiókok az egyes SQL-ek által megkövetelt egyszerű szolgáltatásneveket (SPN-eket) birtokolják.
Az alábbi lépések feltételezik, hogy már rendelkezik Active Directory-tartományvezérlővel. Ha nem rendelkezik tartományvezérlővel, az alábbi útmutató olyan lépéseket tartalmaz, amelyek hasznosak lehetnek.
Active Directory-objektumok létrehozása
Az Arc-kompatibilis felügyelt SQL-példány AD-hitelesítéssel történő üzembe helyezése előtt tegye a következőket:
- Hozzon létre egy szervezeti egységet (OU) minden Arc-kompatibilis felügyelt SQL-példányhoz kapcsolódó AD-objektumhoz. Másik lehetőségként választhat egy meglévő szervezeti egységet az üzembe helyezéskor.
- Hozzon létre egy AD-fiókot az AD-Csatlakozás orhoz, vagy használjon egy meglévő fiókot, és adja meg a fióknak az előző lépésben létrehozott szervezeti egység megfelelő engedélyeit.
OU létrehozása
A rendszer által felügyelt keytab módhoz egy kijelölt szervezeti egység szükséges. Az ügyfél által felügyelt keytab mód esetén a szervezeti egység használata ajánlott.
A tartományvezérlőn nyissa meg a Active Directory - felhasználók és számítógépek. A bal oldali panelen kattintson a jobb gombbal arra a könyvtárra, amely alatt létre szeretné hozni a szervezeti egységet, és válassza az Új>szervezeti egység lehetőséget, majd kövesse a varázsló utasításait a szervezeti egység létrehozásához. Másik lehetőségként létrehozhat egy szervezeti egységet a PowerShell használatával:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
A cikkben szereplő példák a szervezeti egység nevét használják arcou
.
A tartományi szolgáltatásfiók (DSA) létrehozása
A rendszer által felügyelt keytab módhoz AD tartományi szolgáltatásfiókra van szükség.
Hozza létre a tartományi szolgáltatásfiókként használni kívánt Active Directory-felhasználót. Ehhez a fiókhoz meghatározott engedélyek szükségesek. Győződjön meg arról, hogy rendelkezik egy meglévő Active Directory-fiókkal, vagy hozzon létre egy új fiókot, amelyet az Arc-kompatibilis felügyelt SQL-példány használhat a szükséges objektumok beállításához.
Ha új felhasználót szeretne létrehozni az AD-ben, kattintson a jobb gombbal a tartományra vagy a szervezeti egységre, és válassza az Új>felhasználó lehetőséget:
Ebben a cikkben ezt a fiókot arcdsa-nak nevezzük.
A DSA engedélyeinek beállítása
Rendszer által felügyelt keytab mód esetén be kell állítania a DSA engedélyeit.
Akár új fiókot hozott létre a DSA-hoz, akár meglévő Active Directory-felhasználói fiókot használ, a fióknak rendelkeznie kell bizonyos engedélyekkel. A DSA-nak képesnek kell lennie felhasználók, csoportok és számítógépfiókok létrehozására a szervezeti egységben. Az alábbi lépésekben az Arc-kompatibilis SQL Managed Instance tartományi szolgáltatásfiók neve .arcdsa
Fontos
A DSA bármilyen nevet megadhat, de az AD Csatlakozás or üzembe helyezése után nem javasoljuk a fiók nevének módosítását.
A tartományvezérlőn nyissa meg a Active Directory - felhasználók és számítógépek, kattintson a Nézet gombra, válassza a Speciális szolgáltatások lehetőséget
A bal oldali panelen keresse meg a tartományt, majd a használni kívánt szervezeti egységet
arcou
Kattintson a jobb gombbal a szervezeti egységre, és válassza a Tulajdonságok lehetőséget.
Megjegyzés:
Győződjön meg arról, hogy a szervezeti egységre a jobb gombbal kattintva kiválasztotta a Speciális funkciókat , majd válassza a Nézet lehetőséget.
Lépjen a Biztonság lapra. Válassza a Speciális szolgáltatások lehetőséget, kattintson a jobb gombbal a szervezeti egységre, és válassza a Nézet lehetőséget.
Válassza a Hozzáadás... lehetőséget, és adja hozzá az arcdsa-felhasználót .
Jelölje ki az arcdsa felhasználót , és törölje az összes engedélyt, majd válassza a Speciális lehetőséget.
Select Add
Válassza az Egyszerű kijelölése, az Arcdsa beszúrása, majd az Ok gombot.
Állítsa be a típust engedélyezésre.
A Beállítás erre az objektumra és az összes leszármazott objektumra vonatkozik.
Görgessen lefelé az aljára, és válassza az Összes törlése lehetőséget.
Görgessen vissza a lap tetejére, és válassza a következőt:
- Az összes tulajdonság beolvasása
- Az összes tulajdonság írása
- Felhasználói objektumok létrehozása
- Felhasználói objektumok törlése
Kattintson az OK gombra.
Válassza a Hozzáadás lehetőséget.
Válassza az Egyszerű kijelölése, az Arcdsa beszúrása, majd az Ok gombot.
Állítsa be a típust engedélyezésre.
Állítsa be aLeszármazó felhasználói objektumokra vonatkozó beállítását.
Görgessen lefelé az aljára, és válassza az Összes törlése lehetőséget.
Görgessen vissza a lap tetejére, és válassza a Jelszó kérése lehetőséget.
Kattintson az OK gombra.
- A megnyitott párbeszédpanelek bezárásához kattintson kétszer az OK gombra.
Kapcsolódó tartalom
- Ügyfél által felügyelt Keytab Active Directory -összekötő üzembe helyezése
- Rendszer által felügyelt keytab Active Directory -összekötő üzembe helyezése
- Az Azure Arc által engedélyezett felügyelt SQL-példány üzembe helyezése az Active Directoryban (AD)
- Csatlakozás az Azure Arc által active Directory-hitelesítéssel engedélyezett felügyelt SQL-példányra