Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion d’une instance de base de données dans un domaine
<a name="oracle-kerberos-managing"></a>

Vous pouvez utiliser la console, la CLI ou l'API RDS pour gérer votre instance de base de données et sa relation avec votre Microsoft Active Directory. Par exemple, vous pouvez associer un Microsoft Active Directory de façon à activer l'authentification Kerberos. Vous pouvez également annuler l'association d'un Microsoft Active Directory pour désactiver l'authentification Kerberos. Vous pouvez également transférer une instance de base de données vers une autre afin qu'elle soit authentifiée en externe par un Microsoft Active Directory.

Par exemple, la CLI vous permet d'effectuer les actions suivantes : 
+ Pour réessayer d'activer l'authentification Kerberos en cas d'échec d'une adhésion, utilisez la commande [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI et spécifiez l'ID de répertoire de l'adhésion actuelle pour l'option. `--domain`
+ Pour désactiver l'authentification Kerberos sur une instance de base de données, utilisez la commande [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI et spécifiez `none` l'`--domain`option.
+ Pour déplacer une instance de base de données d'un domaine à un autre, utilisez la commande [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI et spécifiez l'identifiant de domaine du nouveau domaine pour l'`--domain`option.

## Affichage du statut de l'appartenance au domaine
<a name="oracle-kerberos-managing.understanding"></a>

Après la création ou la modification de votre instance de base de données, cette dernière devient un membre du domaine. Vous pouvez consulter l'état de l'appartenance au domaine de l'instance de base de données dans la console ou en exécutant la commande [describe-db-instances](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)CLI. Le statut de l'instance de base de données peut avoir les valeurs suivantes : 
+ `kerberos-enabled` : l’instance de base de données a l’authentification Kerberos activée.
+ `enabling-kerberos`— AWS est en train d'activer l'authentification Kerberos sur cette instance de base de données.
+ `pending-enable-kerberos` : l’activation de l’authentification Kerberos est en attente sur cette instance de base de données.
+ `pending-maintenance-enable-kerberos`— AWS tentera d'activer l'authentification Kerberos sur l'instance de base de données lors de la prochaine fenêtre de maintenance planifiée.
+ `pending-disable-kerberos` : la désactivation de l’authentification Kerberos est en attente sur cette instance de base de données.
+ `pending-maintenance-disable-kerberos`— AWS tentera de désactiver l'authentification Kerberos sur l'instance de base de données lors de la prochaine fenêtre de maintenance planifiée.
+ `enable-kerberos-failed`— Un problème de configuration a AWS empêché l'activation de l'authentification Kerberos sur l'instance de base de données. Corrigez le problème de configuration avant de réémettre la commande de modification de l’instance de base de données.
+ `disabling-kerberos`— AWS est en train de désactiver l'authentification Kerberos sur cette instance de base de données.

Une demande d’activation de l’authentification Kerberos peut échouer à cause d’un problème de connectivité réseau ou d’un rôle IAM incorrect. Si la tentative d'activation de l'authentification Kerberos échoue lorsque vous créez ou modifiez une instance de base de données, vérifiez d'abord que vous utilisez le rôle IAM correct. Ensuite, modifiez l'instance de base de données pour rejoindre le domaine.

**Note**  
Seule l'authentification Kerberos avec Amazon RDS for Oracle envoie le trafic aux serveurs DNS du domaine. Toutes les autres demandes DNS sont traitées comme un accès réseau sortant sur vos instances de bases de données exécutant Oracle. Pour de plus amples informations sur l'accès réseau sortant avec Amazon RDS for Oracle, veuillez consulter [Configuration d'un serveur DNS personnalisé](Appendix.Oracle.CommonDBATasks.System.md#Appendix.Oracle.CommonDBATasks.CustomDNS).

## Clés Kerberos à rotation forcée
<a name="oracle-kerberos-managing.rotation"></a>

Une clé secrète est partagée entre une instance AWS Managed Microsoft AD de base de données Amazon RDS for Oracle. Cette clé subit une rotation automatique tous les 45 jours. Vous pouvez utiliser la procédure Amazon RDS suivante pour forcer la rotation de cette clé.

```
SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;
```

**Note**  
Dans une configuration de réplica en lecture, cette procédure est uniquement disponible sur l'instance de base de données source et non sur le réplica en lecture.

L'instruction `SELECT` renvoie l'ID de la tâche dans un type de données `VARCHAR2`. Vous pouvez consulter le statut d'une tâche en cours dans un fichier bdump. Les fichiers bdump se trouvent dans le répertoire `/rdsdbdata/log/trace`. Chaque nom de fichier bdump a le format suivant.

```
dbtask-task-id.log
```

Vous pouvez afficher le résultat en affichant le fichier de sortie de la tâche.

```
SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));
```

Remplacez *`task-id`* par l'ID de tâche renvoyé par la procédure.

**Note**  
Les tâches sont exécutées de manière asynchrone.