Comment résoudre les problèmes liés à l'utilisation de mon identifiant Active Directory sur site pour mon instance RDS for SQL Server ?

Dernière mise à jour : 21/10/2022

Je ne parviens pas à accéder à mon Amazon Relational Database Service (Amazon RDS) pour Microsoft SQL Server lorsque j'utilise mon identifiant Active Directory sur site. Comment puis-je résoudre ce problème ?

Brève description

Lors de la configuration de l'authentification Windows avec Amazon RDS, une approbation de forêt doit être créée. Il est créé avec l'AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD). Une approbation de forêt est mise en place, que vous utilisiez un service AWS Managed Microsoft AD sur site ou auto-hébergé. Lors de l'utilisation d'une connexion sur site après avoir configuré la relation d'approbation, l'erreur de connexion suivante peut apparaître pour plusieurs raisons :

« La connexion a échoué. Elle provient d'un domaine non fiable et ne peut pas être utilisée avec l'authentification Windows »

Résolution

Pour résoudre les erreurs de connexion à Active Directory, vérifiez les points suivants :

État du domaine Amazon RDS

Une fois que vous avez créé ou modifié votre instance de base de données, celle-ci devient membre du domaine. La console RDS indique l'état de l'appartenance au domaine pour l'instance de base de données. Pour plus d'informations sur l'état des instances de base de données, consultez Comprendre l'appartenance à un domaine. Si vous recevez un message d'erreur « Échec » lorsque vous joignez une instance de base de données à un statut de domaine ou de répertoire sur la console RDS, consultez la section Rejoindre une instance de base de données.

Si vous recevez une erreur AWS Identity and Access Management (IAM), cela peut être dû au fait que vous n'utilisez pas le rôle IAM par défaut rds-directoryservice-access-role. Si vous utilisez un rôle IAM personnalisé, pour résoudre l'erreur, associez la politique par défaut AmazonRDSDirectoryServiceAccess.

Relation d'approbation

Vous pouvez configurer des relations d'approbation externes et forestières unidirectionnelles et bidirectionnelles entre votre AWS Managed Microsoft AD et des répertoires autogérés (sur site). Vous pouvez également configurer des relations d'approbation externes et forestières unidirectionnelles et bidirectionnelles entre plusieurs AWS Managed Microsoft AD dans le cloud AWS. AWS Managed Microsoft AD prend en charge les trois directions de relation d'approbation : entrante, sortante et bidirectionnelle. Pour accéder à la console RDS à l'aide d'une connexion sur site, assurez-vous que l'état de confiance est « vérifié ». Pour plus d'informations sur la vérification des relations d'approbation, voir Créer, vérifier ou supprimer une relation d'approbation.

Authentifications sélectives et à l'échelle de la forêt

Lorsque vous créez un trust forestier à l'aide de la console AWS Directory Service, vous avez la possibilité d'activer « l'authentification sélective ». Si cette option n'est pas activée, l'authentification est traitée comme une « authentification à l'échelle de la forêt ».

Authentification à l'échelle de la forêt

Lorsque l'authentification au niveau de la forêt est activée, les contrôleurs de domaine de la forêt authentifient toutes les demandes d'accès faites par les utilisateurs de la forêt approuvée. Une fois l'authentification réussie, l'accès à la ressource est accordé ou refusé en fonction de la liste de contrôle d'accès (ACL) de la ressource.

Cette approche comporte un risque. Une fois que l'utilisateur étranger (provenant d'une forêt approuvée) est authentifié avec succès, il devient membre du groupe « Utilisateur authentifié ». Ce groupe ne compte aucun membre permanent et l'adhésion est calculée dynamiquement en fonction de l'authentification. Une fois qu'un compte est membre du groupe « Utilisateur authentifié », ce compte peut accéder à toutes les ressources auxquelles ce groupe a accès.

Authentification sélective

Pour contrôler l'authentification, vous pouvez opter pour le niveau d'authentification sélectif. À ce niveau, tous les utilisateurs ne sont pas authentifiés par défaut par les contrôleurs de domaine. Au lieu de cela, lorsqu'un contrôleur de domaine détecte qu'une demande d'authentification provient d'une forêt approuvée, il valide le compte utilisateur. Le contrôleur de domaine confirme que le compte utilisateur a reçu une autorisation exclusive sur la ressource qui contient l'objet.

Lorsque l'authentification sélective est activée, vous devez ajouter les utilisateurs et les groupes respectifs de l'Active Directory sur site. Les utilisateurs et les groupes doivent être ajoutés au groupe « AWS Delegated Allowed to Authenticate Objects » d'AWS Managed AD. L'objet "AWS Delegated Allowed to Authenticate Objects" se voit attribuer l'autorisation "Allowed to Authenticate". Tous les utilisateurs qui font partie de ce groupe peuvent accéder à l'instance RDS. Les utilisateurs qui ne font pas partie de ce groupe ne peuvent pas accéder à Amazon RDS SQL Server.

Remarque : Le groupe « AWS Delegated Allowed to Authenticate Objects » est créé par défaut après la configuration d'AWS Managed AD. Les membres de ce groupe ont la possibilité de s'authentifier auprès des ressources informatiques des unités organisationnelles réservées (UO) AWS. Cela n'est nécessaire que pour les objets locaux dotés de approbations d'authentification sélectives.

État de l'identifiant et du mot de passe

Les mots de passe et les statuts de connexion de l'Active Directory locaux ne peuvent être ni expirés ni verrouillés. Si tel est le cas, vérifiez l'état de connexion à l'aide de la commande suivante :

net user username/domain

Il vous suffit de changer le nom d'utilisateur pour qu'il corresponde à l'utilisateur dont vous voulez vérifier le statut. Laissez le domaine tel quel.

Noms principaux de service (SPN, en anglais) dupliqués

Par défaut, Amazon RDS crée un SPN au besoin. La création de SPN supplémentaires pour la connexion Active Directory sur site à d'autres fins peut entraîner un échec de connexion. Pour plus d'informations, voir Identifier, supprimer et vérifier un SPN.

Correctifs de sécurité

Si vous constatez une erreur de connexion à Active Directory sur site et que vous avez vérifié la relation d'approbation, consultez les derniers correctifs de sécurité. Vérifiez que les serveurs du système de contrôle distribué (DCS) ou du système de noms de domaine (DNS) ne présentent pas de problèmes connus liés aux mises à jour Windows (KB). En cas de problème dû à des correctifs de sécurité ou à des Ko, vous devrez peut-être annuler les mises à jour. Si l'annulation des mises à jour ne résout pas le problème, essayez d'appliquer le correctif proposé par Microsoft, s'il est disponible.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?