¿Cómo soluciono los problemas de uso de mi inicio de sesión local de Active Directory en mi instancia de RDS para SQL Server?

Actualización más reciente: 21-10-2022

No puedo acceder a mi Amazon Relational Database Service (Amazon RDS) para Microsoft SQL Server cuando uso mi inicio de sesión local en Active Directory. ¿Cómo puedo solucionar este problema?

Descripción corta

Al configurar la autenticación de Windows con Amazon RDS, se debe crear una confianza de bosque. Para ello, debe utilizarse AWS Directory Service para Microsoft Active Directory (AWS Managed Microsoft AD). La confianza de bosque se configura tanto si utiliza un Microsoft AD administrado por AWS local como autoalojado. Al utilizar un inicio de sesión local después de configurar la relación de confianza, puede aparecer el siguiente error de inicio de sesión por varios motivos:

“Login Failed. The Login is From an Untrusted Domain and Cannot be Used with Windows Authentication” (Error al iniciar sesión. El inicio de sesión proviene de un dominio que no es de confianza y no se puede utilizar con la autenticación de Windows)

Resolución

Para solucionar los errores de inicio de sesión de Active Directory, compruebe lo siguiente:

Estado del dominio de Amazon RDS

Tras crear o modificar la instancia de base de datos, la instancia pasa a ser miembro del dominio. La consola de RDS indica el estado de la pertenencia al dominio de la instancia de base de datos. Para obtener más información sobre el estado de las instancias de base de datos, consulte Descripción de la pertenencia a los dominios. Si recibe el mensaje de error “Failed” (Error al realizar la operación) al unir una instancia de base de datos al estado de un dominio o directorio en la consola de RDS, consulte rejoining a DB instance (volver a unir una instancia de base de datos).

Si recibe un error de AWS Identity and Access Management (IAM), puede deberse a que no utiliza el rol de IAM predeterminado rds-directoryservice-access-role. Si utiliza un rol de IAM personalizado, adjunte la política predeterminada AmazonRDSDirectoryServiceAccess para resolver el error.

Relación de confianza

Puede configurar relaciones de confianza de bosque y externas unidireccionales y bidireccionales entre sus directorios de Microsoft AD administrados por AWS y los directorios autoadministrados (locales). También puede configurar relaciones de confianza de bosque y externas unidireccionales y bidireccionales entre varios AD de Microsoft administrados por AWS en la nube de AWS. Microsoft AD administrado por AWS admite las tres direcciones de relación de confianza: entrante, saliente y bidireccional. Para acceder a la consola de RDS mediante un inicio de sesión local, asegúrese de que el estado de confianza sea “verified” (verificado). Para obtener más información sobre la verificación de las relaciones de confianza, consulte Crear, verificar o eliminar una relación de confianza.

Autenticaciones en todo el bosque y autenticaciones selectivas

Al crear la confianza de bosque mediante la consola de AWS Directory Service, tiene la opción de activar la opción “selective authentication” (autenticación selectiva). Si esta opción no está activada, la autenticación se trata como “forest-wide authentication” (autenticación en todo el bosque).

Autenticación en todo el bosque

Cuando se activa la autenticación a nivel de bosque, los controladores de dominio del bosque autentican todas las solicitudes de acceso realizadas por los usuarios del bosque de confianza. Una vez que la autenticación se realiza correctamente, se concede o rechaza el acceso al recurso en función de la lista de control de acceso (ACL) del recurso.

Existe un riesgo en este enfoque. Una vez que el usuario externo (del bosque de confianza) se haya autenticado correctamente, pasará a formar parte del grupo “Authenticated User” (Usuario autenticado). Este grupo no tiene ningún miembro permanente y la pertenencia se calcula de forma dinámica en función de la autenticación. Una vez que una cuenta es miembro del grupo “Authenticated User” (Usuario autenticado), esa cuenta puede acceder a todos los recursos a los que tiene acceso el grupo “Authenticated User” (Usuario autenticado).

Autenticación selectiva

Para tener el control de la autenticación, puede optar por el nivel de autenticación selectiva. En este nivel, los controladores de dominio no autentican a todos los usuarios de forma predeterminada. En cambio, cuando un controlador de dominio detecta que una solicitud de autenticación proviene de un bosque de confianza, el controlador de dominio valida la cuenta de usuario. El controlador de dominio valida que a la cuenta de usuario se le concedió el permiso exclusivo en el recurso que contiene el objeto.

Cuando la autenticación selectiva está activada, debe agregar los usuarios y grupos respectivos del Active Directory local. Los usuarios y los grupos deben agregarse al grupo “AWS Delegated Allowed to Authenticate Objects” (Delegado por AWS con permiso para autenticar objetos) de AWS Managed AD. A “AWS Delegated Allowed to Authenticate Objects” (Delegado por AWS con permiso para autenticar objetos) se le asigna el permiso “Se permite autenticar”. Todos los usuarios que forman parte de este grupo pueden acceder a la instancia de RDS. Los usuarios que no forman parte de este grupo no pueden acceder a Amazon RDS SQL Server.

Nota: El grupo “AWS Delegated Allowed to Authenticate Objects” (Delegado por AWS con permiso para autenticar objetos) se crea de forma predeterminada después de configurar AWS Managed AD. Los miembros de este grupo tienen la posibilidad de autenticarse en los recursos de computación de las unidades organizativas (OU) reservadas de AWS. Esto solo es necesario para los objetos locales con confianza de autenticación selectiva.

Estado de inicio de sesión y contraseña

Las contraseñas y los estados de inicio de sesión de Active Directory locales no pueden caducar ni estar bloqueados. Si es así, compruebe el estado de inicio de sesión mediante el siguiente comando:

net user username/domain

Solo necesita cambiar el nombre de usuario por el usuario del que quiere comprobar el estado. Deje el dominio tal como está.

Nombres principales de servicio (SPN) duplicados

De forma predeterminada, Amazon RDS crea un SPN según sea necesario. La creación de SPN adicionales para el inicio de sesión local de Active Directory destinados a otros usos podría provocar un error de inicio de sesión. Para obtener más información, consulte Identify, remove, and verify an SPN (Identificar, eliminar y verificar un SPN).

Parches de seguridad

Si observa un error de inicio de sesión local en Active Directory y ha verificado la relación de confianza, compruebe los parches de seguridad más recientes. Consulte los servidores del sistema de control distribuido (DCS) o del sistema de nombres de dominio (DNS) para ver si hay problemas conocidos con las actualizaciones de Windows (KB). Si hay algún problema debido a los parches de seguridad o a las actualizaciones de Windows (KB), es posible que tenga que revertir las actualizaciones. Si revertir las actualizaciones no soluciona el problema, intente aplicar la solución de Microsoft, si está disponible.


Everything you wanted to know about trusts with AWS Managed Microsoft AD (Todo lo que quería saber sobre las confianzas con Microsoft AD administrado por AWS)

¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?