SQL Server habilitado pelo Azure Arc na autenticação do Active Directory com keytab gerenciado pelo sistema: pré-requisitos
Este documento explica como se preparar para implantar serviços de dados habilitados para Azure Arc com a autenticação do AD (Active Directory). Especificamente, o artigo descreve os objetos do Active Directory que você precisa configurar antes da implantação dos recursos do Kubernetes.
A introdução descreve dois modos de integração diferentes:
- O modo de keytab gerenciado pelo sistema permite que o sistema crie e gerencie as contas do AD de cada Instância Gerenciada de SQL.
- O modo de keytab gerenciado pelo cliente permite que você crie e gerencie as contas do AD de cada Instância Gerenciada de SQL.
Os requisitos e as recomendações são diferentes para os dois modos de integração.
| Objeto do Active Directory | Keytab gerenciado pelo cliente | Keytab gerenciado pelo sistema |
|---|---|---|
| UO (unidade organizacional) | Recomendadas | Obrigatório |
| DSA (conta de serviço de domínio) do Active Directory para o Active Directory Connector | Não é necessária | Obrigatório |
| Conta do Active Directory para a Instância Gerenciada de SQL | Criada para cada instância gerenciada | O sistema cria a conta do AD para cada instância gerenciada |
Conta DSA – Modo de keytab gerenciado pelo sistema
Para poder criar todos os objetos necessários no Active Directory automaticamente, o AD Connector precisa de uma DSA (conta de serviço de domínio). A DSA é uma conta do Active Directory que tem permissões específicas para criar, gerenciar e excluir contas de usuários dentro da UO (unidade organizacional) fornecida. Este artigo explica como configurar a permissão dessa conta do Active Directory. Os exemplos chamam a conta DSA arcdsa como demonstração neste artigo.
Objetos do Active Directory gerados automaticamente
Uma implantação de Instância Gerenciada de SQL habilitada para Arc gera contas no modo de keytab gerenciado pelo sistema automaticamente. Cada uma das contas representa uma Instância Gerenciada de SQL e será gerenciada pelo sistema durante todo o tempo de vida do SQL. Essas contas são proprietárias dos SPNs (nomes das entidades de serviço) necessários para cada SQL.
As etapas a seguir pressupõem que você já tenha um controlador de domínio do Active Directory Domain Services. Se você não tem um controlador de domínio, o guia a seguir inclui etapas que podem ser úteis.
Criar objetos do Active Directory
Faça o seguinte antes de implantar um Instância Gerenciada de SQL habilitada para Arc com a autenticação do AD:
- Crie uma UO (unidade organizacional) para todos os objetos do AD relacionados à Instância Gerenciada de SQL habilitada para Arc. Como alternativa, você pode escolher uma UO existente durante a implantação.
- Crie uma conta do AD para o AD Connector ou use uma conta existente e forneça a essa conta as permissões certas na UO criada na etapa anterior.
Criar uma UO
O modo de keytab gerenciado pelo sistema requer uma UO designada. Para o modo de keytab gerenciado pelo cliente, uma UO é recomendável.
No controlador de domínio, abra Usuários e Computadores do Active Directory. No painel à esquerda, clique com o botão direito do mouse no diretório no qual quer criar a UO, selecione Nova>Unidade Organizacional e siga o assistente para criar a UO. Como alternativa, você pode criar uma UO com o PowerShell:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
Os exemplos deste artigo usam arcou como o nome da UO.
Cria a DSA (conta de serviço de domínio)
Para o modo de keytab gerenciado pelo sistema, você precisa de uma conta de serviço de domínio do AD.
Crie o usuário do Active Directory que você usará como a conta de serviço de domínio. Essa conta requer permissões específicas. Verifique se você tem uma conta existente do Active Directory ou crie uma conta, que a Instância Gerenciada de SQL habilitada para Arc poderá usar para configurar os objetos necessários.
Para criar um novo usuário no AD, você pode clicar com o botão direito do mouse no domínio ou na UO e selecionar Novo>Usuário:
Essa conta será chamada de arcdsa neste artigo.
Definir permissões para a DSA
Para o modo de keytab gerenciado pelo sistema, você precisa definir as permissões para a DSA.
Se você criou uma conta para a DSA ou está usando uma conta de usuário existente do Active Directory, há certas permissões que a conta precisa ter. O DSA precisa ser capaz de criar usuários, grupos e contas de máquina na UO. Nas etapas a seguir, o nome da conta de serviço de domínio da Instância Gerenciada de SQL habilitada para Arc é arcdsa.
Importante
Você poderá escolher qualquer nome para a DSA, mas não recomendamos alterar o nome da conta depois que o AD Connector for implantado.
No controlador de domínio, abra Usuários e Computadores do Active Directory, clique em Exibir e selecione Recursos Avançados
No painel esquerdo, navegue para seu domínio e, em seguida, para a UO que
arcouusaráClique com o botão direito do mouse na UO e selecione Propriedades.
Observação
Verifique se você selecionou Recursos Avançados clicando com o botão direito do mouse na UO e selecionando Exibir
Acesse a guia Segurança. Selecione Recursos Avançados, clique com o botão direito do mouse na UO e selecione Exibir.
Selecione Adicionar... e adicione o usuário arcdsa.
Selecione o usuário do arcdsa, desmarque todas as permissões e selecione Avançado.
Selecione Adicionar
Clique em Selecionar uma Entidade de Segurança, insira arcdsa e selecione OK.
Defina o Tipo como Permitir.
Defina Aplica-se a como Este objeto e todos os objetos descendentes.
Role até a parte inferior e selecione Limpar tudo.
Role de volta para a parte superior e selecione:
- Ler todas as propriedades
- Gravar todas as propriedades
- Criar Objetos de usuário
- Excluir objetos de usuário
Selecione OK.
Selecione Adicionar.
Clique em Selecionar uma Entidade de Segurança, insira arcdsa e selecione OK.
Defina o Tipo como Permitir.
Defina Aplica-se a como Objetos de usuário descendentes.
Role até a parte inferior e selecione Limpar tudo.
Role de volta para cima e selecione Redefinir senha.
Selecione OK.
- Selecione OK mais duas vezes para fechar as caixas de diálogo abertas.
Conteúdo relacionado
- Implantar um AD (Active Directory) Connector de keytab gerenciado pelo cliente
- Implantar um AD (Active Directory) Connector de keytab gerenciado pelo sistema
- Implantar uma Instância Gerenciada de SQL habilitada pelo Azure Arc no AD (Active Directory)
- Conectar-se à Instância Gerenciada de SQL habilitada pelo Azure Arc usando a autenticação do Active Directory