Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo unir sin problemas una instancia de Amazon EC2 Linux a su Active Directory AWS administrado de Microsoft AD
Este procedimiento une sin problemas una instancia de Amazon EC2 Linux a su Active Directory AWS administrado de Microsoft AD. Si necesita realizar una unión de dominios sin problemas en varias AWS cuentas, puede optar por habilitar el uso compartido de directorios de forma opcional.
Son compatibles las siguientes distribuciones y versiones de instancias de Linux:
-
Amazon Linux AMI 2018.03.0
-
Amazon Linux 2 (64 bits x86)
-
Red Hat Enterprise Linux 8 (HVM) (x86 de 64 bits)
-
Ubuntu Server 18.04 LTS y Ubuntu Server 16.04 LTS
-
CentOS 7 x86-64
-
SUSEServidor Linux Enterprise 15 SP1
nota
Las distribuciones anteriores a Ubuntu 14 y Red Hat Enterprise Linux 7 no admiten la característica de unión fluida de dominios.
Para ver una demostración del proceso de unir sin problemas una instancia de Linux a su Active Directory AWS administrado de Microsoft AD, consulte el siguiente YouTube vídeo.
Requisitos previos
Para poder configurar la unión perfecta de un dominio a una instancia de Linux, debes completar los procedimientos de esta sección.
Selección de la cuenta de servicio de unión de dominios fluida
Puede unir sin problemas ordenadores Linux a su Microsoft AD AWS gestionado Active Directory dominio. Para ello, debe usar una cuenta de usuario con permisos de creación de cuentas de equipos para unir las máquinas al dominio. Si bien es posible que los miembros de los administradores delegados de AWS u otros grupos tengan privilegios suficientes para unir los equipos al dominio, no lo recomendamos. Como práctica recomendada, le recomendamos que utilice una cuenta de servicio que tenga los privilegios mínimos necesarios para unir los equipos al dominio.
Para delegar una cuenta con los privilegios mínimos necesarios para unir los equipos al dominio, puede ejecutar los siguientes PowerShell comandos. Debe ejecutar estos comandos desde un equipo Windows unido a un dominio con Instalación de herramientas de administración de Active Directory para Microsoft AD AWS administrado instalado. Además, debe utilizar una cuenta que tenga permiso para modificar los permisos de la unidad organizativa o el contenedor del equipo. El PowerShell comando establece los permisos que permiten a la cuenta de servicio crear objetos de ordenador en el contenedor de ordenadores predeterminado del dominio.
$AccountName = 'awsSeamlessDomain' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $Domain = Get-ADDomain -ErrorAction Stop $BaseDn = $Domain.DistinguishedName $ComputersContainer = $Domain.ComputersContainer $SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext' [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID # Getting Service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for the Computers container. $ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container. $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"
Si prefiere utilizar una interfaz gráfica de usuario (GUI), puede utilizar el proceso manual que se describe enPrivilegios delegados a su cuenta de servicio.
Creación de secretos para almacenar la cuenta de servicio de dominio
Puede utilizarla AWS Secrets Manager para almacenar la cuenta de servicio del dominio.
Creación de secretos y almacenamiento de la información de la cuenta de servicio de dominio
-
Inicie sesión en AWS Management Console y abra la AWS Secrets Manager consola en https://console.aws.amazon.com/secretsmanager/
. -
Elija Almacenar un secreto nuevo.
-
En la página Store a new secret (Almacenar un nuevo secreto), haga lo siguiente:
-
En Tipo de secreto, seleccione Otro tipo de secretos.
-
En Pares clave/valor, haga lo siguiente:
-
En el cuadro de filtro, escriba
awsSeamlessDomainUsername
. En la misma fila, en el cuadro siguiente, introduzca el nombre de usuario de su cuenta de servicio. Por ejemplo, si utilizó el PowerShell comando anteriormente, el nombre de la cuenta de servicio seríaawsSeamlessDomain
.nota
Debe ingresar
awsSeamlessDomainUsername
exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará. -
Seleccione Agregar regla.
-
En la nueva fila, en el primer cuadro, ingrese
awsSeamlessDomainPassword
. En la misma fila, en el cuadro siguiente, ingrese la contraseña de su cuenta de servicio.nota
Debe ingresar
awsSeamlessDomainPassword
exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará. -
En Clave de cifrado, deje el valor predeterminado
aws/secretsmanager
. AWS Secrets Manager siempre cifra el secreto al elegir esta opción. También puede elegir una clave que haya creado.nota
Hay tarifas asociadas AWS Secrets Manager, según el secreto que utilices. Para obtener la lista de precios completa, consulte Precios de AWS Secrets Manager
. Puedes usar la clave AWS gestionada
aws/secretsmanager
que crea Secrets Manager para cifrar tus secretos de forma gratuita. Si creas tus propias KMS claves para cifrar tus secretos, te AWS cobrará la tarifa actual AWS KMS . Para obtener más información, consulte AWS Key Management Service Precios. -
Elija Next (Siguiente).
-
-
-
En Nombre secreto, introduzca un nombre secreto que incluya su ID de directorio con el siguiente formato, sustituyendo
d-xxxxxxxxx
con tu ID de directorio:aws/directory-services/
d-xxxxxxxxx
/seamless-domain-joinSe usará para recuperar los secretos de la aplicación.
nota
Debe escribir
aws/directory-services/
exactamente como está, pero reemplazard-xxxxxxxxx
/seamless-domain-joind-xxxxxxxxxx
con su ID de directorio. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará. -
Deje todo lo demás con los valores predeterminados y, a continuación, elija Siguiente.
-
En Configurar rotación automática, elija Deshabilitar rotación automática y, a continuación, Siguiente.
Puedes activar la rotación de este secreto después de guardarlo.
-
Revise la configuración y, a continuación, elija Almacenar para guardar los cambios. La consola de Secrets Manager vuelve a la lista de secretos de su cuenta con el nuevo secreto ahora incluido en la lista.
-
Elige el nombre secreto que acabas de crear de la lista y toma nota del ARN valor secreto. Lo necesitará en la sección siguiente.
Activa la rotación del secreto de la cuenta del servicio de dominio
Te recomendamos que cambies los secretos con regularidad para mejorar tu postura de seguridad.
Para activar la rotación del secreto de la cuenta del servicio de dominio
-
Sigue las instrucciones de la Guía del AWS Secrets Manager usuario sobre cómo configurar la rotación automática de datos AWS Secrets Manager secretos.
Para el paso 5, utilice la plantilla de rotación de credenciales de Microsoft Active Directory en la Guía del AWS Secrets Manager usuario.
Para obtener ayuda, consulte Solucionar problemas de AWS Secrets Manager rotación en la Guía del AWS Secrets Manager usuario.
Cree la IAM política y el rol necesarios
Siga los siguientes pasos previos para crear una política personalizada que permita el acceso de solo lectura a su secreto de unión a dominios integrada de Secrets Manager (que creó anteriormente) y para crear un nuevo rol de Linux EC2DomainJoinIAM.
Crear la política de IAM lectura de Secrets Manager
Usas la IAM consola para crear una política que conceda acceso de solo lectura a tu secreto de Secrets Manager.
Para crear el Secrets Manager, IAM lea la política
-
Inicie sesión AWS Management Console como usuario que tiene permiso para crear IAM políticas. A continuación, abra la IAM consola en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, Administración de acceso, elija Políticas.
-
Elija Crear política.
-
Seleccione la JSONpestaña y copie el texto del siguiente documento JSON de política. A continuación, péguelo en el cuadro de JSONtexto.
nota
Asegúrate de reemplazar la región y el recurso ARN por la región real y ARN el secreto que creaste anteriormente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:
us-east-1:xxxxxxxxx
:secret:aws/directory-services/d-xxxxxxxxx
/seamless-domain-join" ] } ] } -
Cuando haya terminado, elija Next. El validador de políticas notifica los errores de sintaxis. Para obtener más información, consulte Validación de IAM políticas.
-
En la página Revisar política, ingrese un nombre para la política, como
SM-Secret-Linux-DJ-
. Revise el Resumen de la política para ver los permisos concedidos por su política. Seleccione Crear política para guardar los cambios. La nueva política aparece en la lista de las políticas administradas y está lista para asociar a una identidad.d-xxxxxxxxxx
-Read
nota
Le recomendamos que cree una política por secreto. De este modo, se garantiza que las instancias solo tengan acceso al secreto adecuado y se minimiza el impacto en caso de que una instancia se vea comprometida.
Cree el rol de Linux EC2DomainJoin
Utiliza la IAM consola para crear el rol que usará para unirse al dominio de su EC2 instancia de Linux.
Para crear el EC2DomainJoin rol de Linux
-
Inicie sesión AWS Management Console como usuario que tiene permiso para crear IAM políticas. A continuación, abra la IAM consola en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, en Administración del acceso, elija Roles.
-
En el panel de contenido, elija Crear rol.
-
En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS .
-
En Caso de uso, selecciona y EC2, a continuación, selecciona Siguiente.
-
En Políticas de filtro, haga lo siguiente:
-
Escriba
AmazonSSMManagedInstanceCore
. A continuación, seleccione la casilla de verificación de ese elemento de la lista. -
Escriba
AmazonSSMDirectoryServiceAccess
. A continuación, seleccione la casilla de verificación de ese elemento de la lista. -
Ingrese
SM-Secret-Linux-DJ-
(o el nombre de la política creada en el procedimiento anterior). A continuación, seleccione la casilla de verificación de ese elemento de la lista.d-xxxxxxxxxx
-Read Tras añadir las tres políticas enumeradas anteriormente, seleccione Crear función.
nota
A mazonSSMDirectory ServiceAccess proporciona los permisos para unir instancias a un Active Directory gestionado por AWS Directory Service. A mazonSSMManaged InstanceCore proporciona los permisos mínimos necesarios para utilizar el AWS Systems Manager servicio. Para obtener más información sobre la creación de un rol con estos permisos y para obtener información sobre otros permisos y políticas que puede asignar a su IAM rol, consulte Crear un perfil de IAM instancia para Systems Manager en la Guía del AWS Systems Manager usuario.
-
Introduzca un nombre para el nuevo rol, por ejemplo,
LinuxEC2DomainJoin
u otro nombre que prefiera en el campo Nombre del rol.(Opcional) En Role description (Descripción del rol), escriba una descripción.
(Opcional) Selecciona Añadir nueva etiqueta en el paso 3: Añadir etiquetas para añadir etiquetas. Los pares clave-valor de etiquetas se utilizan para organizar, rastrear o controlar el acceso de este rol.
-
Elija Crear rol.
Únase a su instancia de Linux sin problemas
Para unirse sin problemas a su instancia de Linux
-
Inicia sesión en la EC2 consola de Amazon AWS Management Console y ábrela en https://console.aws.amazon.com/ec2/
. -
En el selector de regiones de la barra de navegación, elige el Región de AWS mismo directorio que el existente.
-
En el EC2panel de control, en la sección Lanzar instancia, elija Launch instance.
-
En la página Lanzar una instancia, en la sección Nombre y etiquetas, introduce el nombre que te gustaría usar para tu EC2 instancia de Linux.
(Opcional) Selecciona Añadir etiquetas adicionales para añadir uno o más pares de etiquetas y valores para organizar, realizar un seguimiento o controlar el acceso a esta EC2 instancia.
-
En la sección Imagen de aplicación e sistema operativo (Amazon Machine Image), elija el Linux AMI que desee lanzar.
nota
El usuario AMI debe tener AWS Systems Manager (SSMAgent) la versión 2.3.1644.0 o superior. Para comprobar la versión del SSM agente instalada en su cuenta AMI mediante el lanzamiento de una instancia a partir de ellaAMI, consulte Obtener la versión del agente actualmente instalada. SSM Si necesita actualizar el SSM agente, consulte Instalación y configuración del SSM agente en EC2 instancias para Linux.
SSMusa el
aws:domainJoin
complemento al unir una instancia de Linux a un Active Directory dominio. El complemento cambia el nombre de host de las instancias de Linux al formatoEC2AMAZ:XXXXXXX
. Para obtener más información al respectoaws:domainJoin
, consulte la referencia del complemento del documento de AWS Systems Manager comandos en la Guía del AWS Systems Manager usuario. -
En la sección Tipo de instancia, elija el tipo de instancia que desee usar en la lista desplegable Tipo de instancia.
-
En la sección Par de claves (inicio de sesión), puede elegir entre crear un nuevo par de claves o elegir un par de claves existente. Para crear un nuevo par de claves, elija Crear nuevo par de claves. Ingrese un nombre para el par de claves y seleccione una opción en Tipo de par de claves y Formato de archivo de clave privada. Para guardar la clave privada en un formato que se pueda usar con OpenSSH, elija .pem. Para guardar la clave privada en un formato que pueda usarse con PuTTY, elija .ppk. Elija Crear par de claves. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.
importante
Esta es la única oportunidad para guardar el archivo de clave privada.
-
En la página Lanzar una instancia, en la sección Configuración de red, elija Editar. Seleccione el directorio en el VPCque se creó su directorio en la VPC lista desplegable requerida.
-
Elija una de las subredes públicas de la lista VPC desplegable de subredes. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.
Para obtener más información sobre cómo conectarse a una puerta de enlace de Internet, consulte Conectarse a Internet mediante una puerta de enlace de Internet en la Guía del VPC usuario de Amazon.
-
En Autoasignar IP pública, elija Habilitar.
Para obtener más información sobre las direcciones IP públicas y privadas, consulte Direcciones IP de EC2 instancias de Amazon en la Guía del EC2 usuario de Amazon.
-
En la configuración Firewall (grupos de seguridad), puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades.
-
En la configuración Configurar almacenamiento, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.
-
Seleccione la sección Detalles avanzados y elija su dominio en la lista desplegable Directorio de unión de dominios.
nota
Tras elegir el directorio de unión de dominios, es posible que veas lo siguiente:
Este error se produce si el asistente de EC2 inicio identifica un SSM documento existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:
Si ya ha editado el SSM documento y las propiedades son las esperadas, seleccione Cerrar y proceda a lanzar la EC2 instancia sin cambios.
Seleccione el enlace para eliminar el SSM documento existente aquí para eliminar el SSM documento. Esto permitirá crear un SSM documento con las propiedades correctas. El SSM documento se creará automáticamente al lanzar la EC2 instancia.
-
Para el perfil de IAM ejemplo, elija el IAM rol que creó anteriormente en la sección de requisitos previos. Paso 2: Crear el EC2DomainJoin rol de Linux.
-
Seleccione Iniciar instancia.
nota
Si va a realizar una unión de dominio perfecta con SUSE Linux, es necesario reiniciar el sistema antes de que las autenticaciones funcionen. Para reiniciar SUSE desde la terminal de Linux, escriba sudo reboot.