Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Manuelles Hinzufügen einer Amazon EC2 EC2-Linux-Instance zu Ihrem AWS verwalteten Microsoft AD Active Directory
Zusätzlich zu Amazon EC2 Windows EC2-Instances können Sie auch bestimmte Amazon EC2 EC2-Linux-Instances zu Ihrem AWS Managed Microsoft AD Active Directory hinzufügen. Die folgenden Linux-Instance-Distributionen und -Versionen werden unterstützt:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64-Bit x86)
+ Amazon-Linux-2023-AMI
+ Red Hat Enterprise Linux 8 (HVM) (64-Bit x86)
+ Ubuntu Server 18.04 LTS und Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1
**Anmerkung**
Andere Linux-Distributionen und -Versionen können funktionieren, sind jedoch nicht getestet worden.
## Verbinden Sie eine Linux-Instanz mit Ihrem AWS Managed Microsoft AD
Bevor Sie eine Amazon-Linux-, CentOS-, Red-Hat- oder Ubuntu-Instance mit Ihrem Verzeichnis verbinden können, muss die Instance zunächst wie unter [Treten Sie Ihrer Linux-Instance nahtlos bei](seamlessly_join_linux_instance.md#seamless-linux-join-instance) beschrieben gestartet werden.
**Wichtig**
Einige der folgenden Verfahren können, wenn sie nicht richtig durchgeführt werden, Ihre Instance nicht erreichbar oder unbrauchbar machen. Aus diesem Grund empfehlen wir dringend, eine Sicherung anzufertigen oder einen Snapshot der Instance zu machen, bevor diese Verfahren ausgeführt werden.
**So fügen Sie Ihrem Verzeichnis eine Linux-Instance hinzu**
Folgen Sie den Schritten für Ihre spezifische Linux-Instance unter Verwendung einer der folgenden Registerkarten:
------
#### [ Amazon Linux ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instanz so, dass sie die DNS-Server-IP-Adressen der Directory Service bereitgestellten DNS-Server verwendet. Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie im AWS -Wissenszentrum im Artikel zum Thema [Wie weise ich einen statischen DNS-Server zu einer privaten Amazon-EC2-Instance zu?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.
1. Überprüfen Sie, ob Ihre Amazon-Linux-64bit-Instance auf dem aktuellen Stand ist.
```
sudo yum -y update
```
1. Installieren Sie die erforderlichen Amazon-Linux-Pakete auf Ihrer Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
Amazon Linux
```
sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
```
**Anmerkung**
Hilfe bei der Bestimmung der Amazon-Linux-Version, die Sie verwenden, finden Sie unter [Identifizieren von Amazon-Linux-Images](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id) im *Amazon-EC2-Benutzerhandbuch für Linux-Instances*.
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
```
*join\$1account@EXAMPLE.COM*
Ein Konto in der *example.com* Domäne, das über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig berechtigte DNS-Name Ihres Verzeichnisses.
```
...
* Successfully enrolled machine in realm
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. Stellen Sie nach dem Neustart der Instanz mit einem beliebigen SSH-Client eine Verbindung zu ihr her und fügen Sie die Gruppe AWS Delegated Administrators der Sudoer-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die `sudoers` - Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der `sudoers`-Datei hinzu und speichern Sie die Datei.
```
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
```
(Im obigen Beispiel wird „\$1“ für das Linux-Leerzeichen verwendet.)
------
#### [ CentOS ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instanz so, dass sie die DNS-Server-IP-Adressen der bereitgestellten DNS-Server verwendet. Directory Service Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie im AWS -Wissenszentrum im Artikel zum Thema [Wie weise ich einen statischen DNS-Server zu einer privaten Amazon-EC2-Instance zu?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.
1. Überprüfen Sie, ob Ihre CentOS 7-Instance auf dem aktuellen Stand ist.
```
sudo yum -y update
```
1. Installieren Sie die erforderlichen CentOS 7-Pakete auf Ihre Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
```
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
```
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -U join_account@example.com example.com --verbose
```
*join\$1account@example.com*
Ein Konto in der *example.com* Domäne, das über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig berechtigte DNS-Name Ihres Verzeichnisses.
```
...
* Successfully enrolled machine in realm
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. Stellen Sie nach dem Neustart der Instanz mit einem beliebigen SSH-Client eine Verbindung zu ihr her und fügen Sie die Gruppe AWS Delegated Administrators der Sudoer-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die `sudoers` - Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der `sudoers`-Datei hinzu und speichern Sie die Datei.
```
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
```
(Im obigen Beispiel wird „\$1“ für das Linux-Leerzeichen verwendet.)
------
#### [ Red Hat ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instanz so, dass sie die DNS-Server-IP-Adressen der bereitgestellten DNS-Server verwendet. Directory Service Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie im AWS -Wissenszentrum im Artikel zum Thema [Wie weise ich einen statischen DNS-Server zu einer privaten Amazon-EC2-Instance zu?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.
1. Stellen Sie sicher, dass die Red Hat - 64bit-Instance auf dem neuesten Stand ist.
```
sudo yum -y update
```
1. Installieren Sie die erforderlichen Red Hat-Pakete auf Ihrer Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
```
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
```
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -v -U join_account example.com --install=/
```
*join\$1account*
Der **AMAccounts-Name** für ein Konto in der *example.com* Domäne, das über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig berechtigte DNS-Name Ihres Verzeichnisses.
```
...
* Successfully enrolled machine in realm
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. Stellen Sie nach dem Neustart der Instanz mit einem beliebigen SSH-Client eine Verbindung zu ihr her und fügen Sie die Gruppe AWS Delegated Administrators der Sudoer-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die `sudoers` - Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der `sudoers`-Datei hinzu und speichern Sie die Datei.
```
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
```
(Im obigen Beispiel wird „\$1“ für das Linux-Leerzeichen verwendet.)
------
#### [ SUSE ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instance so, dass sie die DNS-Server-IP-Adressen der Directory Service-bereitgestellten DNS-Server verwendet. Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Wenn Sie ihn manuell einrichten möchten, finden Sie im AWS Knowledge Center unter [Wie weise ich einer privaten Amazon EC2 EC2-Instance einen statischen DNS-Server zu](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/)? Anleitungen zur Einrichtung des persistenten DNS-Servers für Ihre spezielle Linux-Distribution und -Version.
1. Überprüfen Sie, ob Ihre SUSE Linux 15-Instance auf dem aktuellen Stand ist.
1. Verbinden Sie das Paket-Repository.
```
sudo SUSEConnect -p PackageHub/15.1/x86_64
```
1. Aktualisieren Sie SUSE.
```
sudo zypper update -y
```
1. Installieren Sie die erforderlichen SUSE Linux 15-Pakete auf Ihrer Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
```
sudo zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client krb5-client
```
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -U join_account example.com --verbose
```
*join\$1account*
Der AMAccount s-Name in der *example.com* Domäne, die über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig qualifizierte DNS-Name Ihres Verzeichnisses.
```
…
realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed.
```
Beachten Sie, dass beide folgenden Rückgaben erwartet werden.
```
! Couldn't authenticate with keytab while discovering which salt to use:
! Enabling SSSD in nsswitch.conf and PAM failed.
```
1. Aktivieren Sie **SSSD** in **PAM** manuell.
```
sudo pam-config --add --sss
```
1. Bearbeiten Sie nsswitch.conf, um SSSD in nsswitch.conf zu aktivieren.
```
sudo vi /etc/nsswitch.conf
```
```
passwd: compat sss
group: compat sss
shadow: compat sss
```
1. Fügen Sie die folgende Zeile zu/etc/pam.d/common-session hinzu, um bei der ersten Anmeldung auto ein Home-Verzeichnis zu erstellen
```
sudo vi /etc/pam.d/common-session
```
```
session optional pam_mkhomedir.so skel=/etc/skel umask=077
```
1. Starten Sie die Instance neu, um den Domain-Beitrittsprozess abzuschließen.
```
sudo reboot
```
1. Verbinden Sie sich mit einem beliebigen SSH-Client erneut mit der Instance, um zu überprüfen, ob die Domainverbindung erfolgreich abgeschlossen wurde, und schließen Sie die weiteren Schritte ab.
1. So überprüfen Sie, ob die Instance in der Domain registriert wurde
```
sudo realm list
```
```
example.com
type: kerberos
realm-name: EXAMPLE.COM
domain-name: example.com
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: adcli
required-package: samba-client
login-formats: %U@example.com
login-policy: allow-realm-logins
```
1. So überprüfen Sie den Status des SSSD-Daemon
```
systemctl status sssd
```
```
sssd.service - System Security Services Daemon
Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2020-04-15 16:22:32 UTC; 3min 49s ago
Main PID: 479 (sssd)
Tasks: 4
CGroup: /system.slice/sssd.service
├─479 /usr/sbin/sssd -i --logger=files
├─505 /usr/lib/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files
├─548 /usr/lib/sssd/sssd_nss --uid 0 --gid 0 --logger=files
└─549 /usr/lib/sssd/sssd_pam --uid 0 --gid 0 --logger=files
```
1. So gestatten Sie einem Benutzer Zugriff über SSH und Konsole
```
sudo realm permit join_account@example.com
```
So gestatten Sie einer Domaingruppe den Zugriff über SSH und Konsole
```
sudo realm permit -g 'AWS Delegated Administrators'
```
So gestatten Sie allen Benutzern den Zugriff
```
sudo realm permit --all
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. 13. Stellen Sie nach dem Neustart der Instanz mit einem beliebigen SSH-Client eine Verbindung zu ihr her und fügen Sie die Gruppe AWS Delegated Administrators der Sudoer-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die sudoers-Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der sudoers-Datei hinzu und speichern Sie die Datei.
```
## Add the "Domain Admins" group from the awsad.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL) NOPASSWD: ALL
```
------
#### [ Ubuntu ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instanz so, dass sie die DNS-Server-IP-Adressen der bereitgestellten DNS-Server verwendet. Directory Service Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie im AWS -Wissenszentrum im Artikel zum Thema [Wie weise ich einen statischen DNS-Server zu einer privaten Amazon-EC2-Instance zu?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.
1. Stellen Sie sicher, dass Ihre Ubuntu - 64bit-Instance auf dem neuesten Stand ist.
```
sudo apt-get update
sudo apt-get -y upgrade
```
1. Installieren Sie die erforderlichen Ubuntu-Pakete auf Ihrer Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
```
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
```
1. Deaktivieren Sie die Reverse DNS-Auflösung und legen Sie den Standardbereich auf den FQDN Ihrer Domain fest. Ubuntu-Instances **müssen** im DNS reverse-auflösbar sein, bevor der Bereich genutzt werden kann. Andernfalls müssen Sie Reverse DNS in der /etc/krb5.conf wie folgt deaktivieren:
```
sudo vi /etc/krb5.conf
```
```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -U join_account example.com --verbose
```
*join\$1account@example.com*
Der **AMAccounts-Name** für ein Konto in der *example.com* Domäne, das über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig berechtigte DNS-Name Ihres Verzeichnisses.
```
...
* Successfully enrolled machine in realm
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. Stellen Sie nach dem Neustart der Instanz mit einem beliebigen SSH-Client eine Verbindung zu ihr her und fügen Sie die Gruppe AWS Delegated Administrators der Sudoer-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die `sudoers` - Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der `sudoers`-Datei hinzu und speichern Sie die Datei.
```
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
```
(Im obigen Beispiel wird „\$1“ für das Linux-Leerzeichen verwendet.)
------
## Einschränken des Kontoanmeldungszugriffs
Da alle Konten in Active Directory standardmäßig definiert sind, können sich alle Benutzer aus dem Verzeichnis bei der Instance anmelden. Mit **ad\$1access\$1filter** in **sssd.conf** können Sie festlegen, dass sich nur bestimmte Benutzer bei der Instance anmelden können. Beispiel:
```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
*memberOf*
Gibt an, dass Benutzer nur Zugriff auf die Instance haben, wenn sie Mitglied einer bestimmten Gruppe sind.
*cn*
Der allgemeine Name der Gruppe, die Zugriff haben soll. In diesem Beispiel lautet der Gruppenname. *admins*
*ou*
Dies ist die Organisationseinheit, in der sich die oben genannte Gruppe befindet. In diesem Beispiel ist die Organisationseinheit*Testou*.
*dc*
Dies ist die Domainkomponente Ihrer Domain. In diesem Beispiel *example*.
*dc*
Hierbei handelt es sich um eine zusätzliche Domainkomponente. In diesem Beispiel *com*.
Sie müssen **ad\$1access\$1filter** manuell zu **/etc/sssd/sssd.conf** hinzufügen.
Öffnen Sie die Datei **/etc/sssd/sssd.conf** in einem Text-Editor.
```
sudo vi /etc/sssd/sssd.conf
```
Danach sieht **sssd.conf** wie folgt aus:
```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
Damit die Konfiguration wirksam wird, müssen Sie den sssd-Service neu starten:
```
sudo systemctl restart sssd.service
```
Alternativ können Sie:
```
sudo service sssd restart
```
Da alle Konten in Active Directory standardmäßig definiert sind, können sich alle Benutzer aus dem Verzeichnis bei der Instance anmelden. Mit **ad\$1access\$1filter** in **sssd.conf** können Sie festlegen, dass sich nur bestimmte Benutzer bei der Instance anmelden können.
Beispiel:
```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
*memberOf*
Gibt an, dass Benutzer nur Zugriff auf die Instance haben, wenn sie Mitglied einer bestimmten Gruppe sind.
*cn*
Der allgemeine Name der Gruppe, die Zugriff haben soll. In diesem Beispiel lautet der Gruppenname*admins*.
*ou*
Dies ist die Organisationseinheit, in der sich die oben genannte Gruppe befindet. In diesem Beispiel ist die Organisationseinheit*Testou*.
*dc*
Dies ist die Domainkomponente Ihrer Domain. In diesem Beispiel *example*.
*dc*
Hierbei handelt es sich um eine zusätzliche Domainkomponente. In diesem Beispiel *com*.
Sie müssen **ad\$1access\$1filter** manuell zu **/etc/sssd/sssd.conf** hinzufügen.
1. Öffnen Sie die Datei **/etc/sssd/sssd.conf** in einem Text-Editor.
```
sudo vi /etc/sssd/sssd.conf
```
1. Danach sieht **sssd.conf** wie folgt aus:
```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
1. Damit die Konfiguration wirksam wird, müssen Sie den sssd-Service neu starten:
```
sudo systemctl restart sssd.service
```
Alternativ können Sie:
```
sudo service sssd restart
```
## ID-Zuordnung
Die ID-Zuordnung kann mit zwei Methoden durchgeführt werden, um eine einheitliche Benutzererfahrung zwischen UNIX/Linux User Identifier (UID) und Group Identifier (GID) sowie Windows- und Active Directory Security Identifier (SID) -Identitäten zu gewährleisten. Diese Methoden sind:
1. Zentralisiert
1. Verteilt
**Anmerkung**
Für die zentrale Zuordnung von Benutzeridentitäten in Active Directory ist ein Portable Operating System Interface oder POSIX erforderlich.
**Zentralisierte Zuordnung von Benutzeridentitäten**
Active Directory oder ein anderer LDAP-Dienst (Lightweight Directory Access Protocol) stellt den Linux-Benutzern UID und GID zur Verfügung. In Active Directory werden diese Bezeichner in den Benutzerattributen gespeichert, wenn die POSIX-Erweiterung konfiguriert ist:
+ UID — Der Linux-Benutzername (Zeichenfolge)
+ UID-Nummer — Die Linux-Benutzer-ID-Nummer (Integer)
+ GID-Nummer — Die Linux-Gruppen-ID-Nummer (Integer)
Um eine Linux-Instanz für die Verwendung der UID und GID aus Active Directory zu konfigurieren, legen Sie diese `ldap_id_mapping = False` in der Datei sssd.conf fest. Bevor Sie diesen Wert festlegen, stellen Sie sicher, dass Sie den Benutzern und Gruppen in Active Directory eine UID, UID-Nummer und GID-Nummer hinzugefügt haben.
**Zuordnung verteilter Benutzeridentitäten**
Wenn Active Directory nicht über die POSIX-Erweiterung verfügt oder wenn Sie die Identitätszuweisung nicht zentral verwalten möchten, kann Linux die UID- und GID-Werte berechnen. Linux verwendet den eindeutigen Security Identifier (SID) des Benutzers, um die Konsistenz aufrechtzuerhalten.
Um die verteilte Benutzer-ID-Zuordnung zu konfigurieren, legen Sie dies `ldap_id_mapping = True` in der Datei sssd.conf fest.
**Häufige Probleme**
Wenn Sie dies festlegen`ldap_id_mapping = False`, schlägt das Starten des SSSD-Dienstes manchmal fehl. Der Grund für diesen Fehler liegt darin, dass Änderungen UIDs nicht unterstützt werden. Wir empfehlen Ihnen, den SSSD-Cache zu löschen, wenn Sie von ID-Zuordnung zu POSIX-Attributen oder von POSIX-Attributen zu ID-Zuordnung wechseln. Weitere Informationen zur ID-Zuordnung und den ldap\$1id\$1mapping-Parametern finden Sie in der Manpage sssd-ldap (8) in der Linux-Befehlszeile.
## Connect zur Linux-Instanz her
Wenn ein Benutzer die Verbindung zur Instance über einen SSH-Client herstellt, wird er zur Eingabe des Benutzernamens aufgefordert. Der Benutzer kann den Benutzernamen entweder im Format `username@example.com` oder `EXAMPLE\username` eingeben. Je nachdem, welche Linux-Distribution Sie verwenden, wird die Antwort etwa wie folgt aussehen:
**Amazon Linux, Red Hat Enterprise Linux und CentOS Linux**
```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```
**SUSE Linux**
```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)
As "root" (sudo or sudo -i) use the:
- zypper command for package management
- yast command for configuration management
Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud
Have a lot of fun...
```
**Ubuntu Linux**
```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sat Apr 18 22:03:35 UTC 2020
System load: 0.01 Processes: 102
Usage of /: 18.6% of 7.69GB Users logged in: 2
Memory usage: 16% IP address for eth0: 10.24.34.1
Swap usage: 0%
```