システムによって管理される keytab を使用する Active Directory 認証での Azure Arc によって有効にされる SQL Server - 前提条件
このドキュメントでは、Active Directory (AD) 認証を使って Azure Arc 対応データ サービスをデプロイするための準備について説明します。 具体的には、Kubernetes リソースのデプロイ前に構成する必要がある Active Directory オブジェクトについて説明します。
概要では、2 種類の統合モードについて説明します。
- "システムマネージド keytab" モードを使うと、システムが各 SQL マネージド インスタンスの AD アカウントを作成および管理できます。
- "カスタマーマネージド keytab" モードを使うと、ユーザーが各 SQL マネージド インスタンスの AD アカウントを作成および管理できます。
要件と推奨事項は、2 つの統合モードで異なります。
| Active Directory オブジェクト | カスタマー マネージド keytab | システム マネージド keytab |
|---|---|---|
| 組織単位 (OU) | 推奨 | 必須 |
| Active Directory Connector 用の Active Directory Domain Services アカウント (DSA) | 必須ではない | 必須 |
| SQL Managed Instance 用の Active Directory アカウント | マネージド インスタンスごとに作成されます | マネージド インスタンスごとにシステムによって AD アカウントが作成されます |
DSA アカウント - システムマネージド keytab モード
Active Directory に必要なすべてのオブジェクトを自動的に作成できるようにするには、AD Connector にドメイン サービス アカウント (DSA) が必要です。 DSA は、指定した組織単位 (OU) 内のユーザー アカウントを作成、管理、削除するための特定のアクセス許可を持つ Active Directory アカウントです。 この記事では、この Active Directory アカウントのアクセス許可を構成する方法について説明します。 例では、この記事の例として DSA アカウント arcdsa を呼び出します。
自動的に生成される Active Directory のオブジェクト
システムマネージド keytab モードの場合、Arc 対応 SQL マネージド インスタンスをデプロイすると、アカウントが自動的に生成されます。 各アカウントは SQL マネージド インスタンスを表し、SQL の有効期間を通じてシステムによって管理されます。 これらのアカウントは、各 SQL に必要なサービス プリンシパル名 (SPN) を所有しています。
次の手順では、Active Directory ドメイン コントローラーを既に用意していることを前提としています。 ドメイン コントローラーがない場合、こちらのガイドに含まれる手順が参考になります。
Active Directory オブジェクトを作成する
AD 認証を使って Arc 対応 SQL マネージド インスタンスをデプロイする前に、次のことを行います。
- Arc 対応 SQL Managed Instance に関連するすべての AD オブジェクト用に 1 つの組織単位 (OU) を作成します。 または、デプロイ時に、既存の OU を選択することもできます。
- AD Connector 用 AD アカウントを作成するか、既存のアカウントを使い、このアカウントに前の手順で作成した OU に対する適切なアクセス許可を与えます。
OU を作成する
システムマネージド keytab モードには、指定した OU が必要です。 カスタマーマネージド keytab モードの場合、OU が推奨されます。
ドメイン コントローラーで、 [Active Directory ユーザーとコンピューター] を開きます。 左側のパネルで、OU を作成するディレクトリを右クリックし、[新規]>[組織単位] の順に選択します。次に、ウィザードの指示に従って OU を作成します。 または、PowerShell で OU を作成できます。
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
この記事の例では、OU 名に arcou を使用しています。
ドメイン サービス アカウント (DSA) を作成する
システムマネージド keytab モードの場合、AD Domain Services アカウントが必要です。
ドメイン サービス アカウントとして使う Active Directory ユーザーを作成します。 このアカウントには特定のアクセス許可が必要です。 既存の Active Directory アカウントがあることを確認するか、新しいアカウントを作成し、Arc 対応 SQL Managed Instance が必要なオブジェクトを設定するために使用できるようにします。
AD で新しいユーザーを作成するには、ドメインまたは OU を右クリックし、 [新規] 、 [ユーザー] の順に選択します。
このアカウントは、この記事では arcdsa と呼びます。
DSA のアクセス許可を設定する
システムマネージド keytab モードの場合、DSA のアクセス許可を設定する必要があります。
DSA 用に新しいアカウントを作成した場合、または既存の Active Directory ユーザー アカウントを使う場合でも、そのアカウントに設定する必要がある特定のアクセス許可があります。 DSA は、OU でユーザー、グループ、コンピューター アカウントを作成できる必要があります。 次の手順では、Arc 対応 SQL マネージド インスタンス ドメイン サービス アカウント名は arcdsa です。
重要
DSA には任意の名前を選択できますが、AD Connector のデプロイ後にアカウント名を変更することは推奨されません。
ドメイン コントローラーで [Active Directory ユーザーとコンピューター] を開き、[表示] をクリックし、[高度な機能] を選びます。
左側のパネルでドメインに移動し、
arcouで使用される OU に移動します。OU を右クリックし、 [プロパティ] を選択します。
Note
OU を右クリックし、[表示] を選んで、[高度な機能] が選ばれていることを確認します
[セキュリティ] タブに移動します。[高度な機能] を選び、OU を右クリックし、[表示] を選びます。
[追加] を選び、arcdsa ユーザーを追加します。
arcdsa ユーザーを選択し、アクセス許可をすべて消去し、[詳細] を選択します
[追加] を選択します。
[プリンシパルの選択] を選択し、arcdsa を挿入し、[OK] を選択します
[種類] を [許可] に設定します。
[適用先] を [このオブジェクトとすべての子オブジェクト] に設定します。
一番下までスクロールし、[すべて消去] を選択します。
スクロールで一番上まで戻り、次を選択します。
- すべてのプロパティの読み取り
- すべてのプロパティの書き込み
- ユーザー オブジェクトの作成
- ユーザー オブジェクトの削除
[OK] を選択します。
[追加] を選択します。
[プリンシパルの選択] を選択し、arcdsa を挿入し、[OK] を選択します
[種類] を [許可] に設定します。
[適用先] を [Descendant User objects]\(子ユーザー オブジェクト\) に設定します。
一番下までスクロールし、[すべて消去] を選択します。
スクロールで一番上まで戻り、[パスワードのリセット] を選択します。
[OK] を選択します。
- [OK] をさらに 2 回選択して、開いているダイアログ ボックスを閉じます。