Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Joindre une instance Linux Amazon EC2 à votre répertoire AWS Microsoft AD Active Directory géré Vous pouvez lancer et joindre une instance Linux EC2 à votre AWS Managed Microsoft AD dans le AWS Management Console. Vous pouvez également joindre manuellement une instance Linux EC2 à votre AWS Managed Microsoft AD. Des outils tels que Winbind peuvent également être utilisés pour joindre un domaine à une instance Linux EC2 à votre Managed AWS Microsoft AD. Les distributions et les versions d'instance Linux suivantes sont prises en charge : + AMI Amazon Linux 2018.03.0 + Amazon Linux 2 (64 bits x86) + Red Hat Enterprise Linux 8 (HVM) (64 bits x86) + Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS + CentOS 7 x86-64 + Serveur SUSE Linux Enterprise 15 SP1 **Note** Les distributions antérieures à Ubuntu 14 et à Red Hat Enterprise Linux 7 et 8 ne prennent pas en charge la fonctionnalité de jonction de domaine transparente. **Topics** + [Joindre facilement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré](seamlessly_join_linux_instance.md) + [Joindre facilement une instance Linux Amazon EC2 à un Managed AWS Microsoft AD partagé](seamlessly_join_linux_to_shared_MAD.md) + [Joindre manuellement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré](join_linux_instance.md) + [Joindre manuellement une instance Linux Amazon EC2 à votre répertoire AWS Microsoft AD Active Directory géré à l'aide de Winbind](join_linux_instance_winbind.md) # Joindre facilement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré Cette procédure permet de joindre facilement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré. Pour terminer cette procédure, vous devez créer un AWS Secrets Manager secret qui peut entraîner des coûts supplémentaires. Pour plus d’informations, consultez [Tarification d’AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/). Si vous devez effectuer une jonction de domaine fluide entre plusieurs AWS comptes, vous pouvez éventuellement choisir d'activer le [partage d'annuaires](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html). Les distributions et les versions d'instance Linux suivantes sont prises en charge : + AMI Amazon Linux 2018.03.0 + Amazon Linux 2 (64 bits x86) + Red Hat Enterprise Linux 8 (HVM) (64 bits x86) + Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS + CentOS 7 x86-64 + Serveur SUSE Linux Enterprise 15 SP1 **Note** Les distributions antérieures à Ubuntu 14 et à Red Hat Enterprise Linux 7 et 8 ne prennent pas en charge la fonctionnalité de jonction de domaine transparente. Pour une démonstration du processus permettant de joindre facilement une instance Linux à votre annuaire Microsoft AD Active Directory AWS géré, regardez la YouTube vidéo suivante. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/NNUtdVVZVxU?si=_0zOiXhUObcW0_Wo/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NNUtdVVZVxU?si=_0zOiXhUObcW0_Wo) ## Conditions préalables Avant de pouvoir configurer une jointure de domaine fluide à une instance Linux EC2, vous devez suivre les procédures décrites dans ces sections. ### Conditions préalables à la mise en réseau pour une jonction de domaine fluide Pour joindre facilement un domaine à une instance Linux EC2, vous devez effectuer les opérations suivantes : + Vous aurez besoin des autorisations IAM suivantes pour rejoindre facilement une instance Linux EC2 : + Disposez d'un Microsoft AD AWS géré. Pour en savoir plus, veuillez consulter la section [Création de votre Microsoft AD AWS géré](ms_ad_getting_started.md#ms_ad_getting_started_create_directory). + Vous aurez besoin des autorisations IAM suivantes pour rejoindre facilement une instance EC2 Windows : + Profil d'instance IAM avec les autorisations IAM suivantes : + `AmazonSSMManagedInstanceCore` + `AmazonSSMDirectoryServiceAccess` + Le domaine utilisateur joignant facilement l'EC2 au AWS Managed Microsoft AD a besoin des autorisations IAM suivantes : + Directory Service Autorisations : + `"ds:DescribeDirectories"` + `"ds:CreateComputer"` + Autorisations Amazon VPC : + `"ec2:DescribeVpcs"` + `"ec2:DescribeSubnets"` + `"ec2:DescribeNetworkInterfaces"` + `"ec2:CreateNetworkInterface"` + `"ec2:AttachNetworkInterface"` + Autorisations EC2 : + `"ec2:DescribeInstances"` + `"ec2:DescribeImages"` + `"ec2:DescribeInstanceTypes"` + `"ec2:RunInstances"` + `"ec2:CreateTags"` + AWS Systems Manager Autorisations : + `"ssm:DescribeInstanceInformation"` + `"ssm:SendCommand"` + `"ssm:GetCommandInvocation"` + `"ssm:CreateBatchAssociation"` + Lorsque votre AWS Managed Microsoft AD est créé, un groupe de sécurité est créé avec des règles entrantes et sortantes. Pour en savoir plus sur ces règles et ces ports, consultez[Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md). Pour joindre facilement un domaine à une instance Linux EC2, le VPC sur lequel vous lancez votre instance doit autoriser les mêmes ports autorisés dans les règles entrantes et sortantes de votre groupe de sécurité Microsoft AD AWS géré. + Selon les paramètres de sécurité et de pare-feu de votre réseau, il peut vous être demandé d'autoriser un trafic sortant supplémentaire. Ce trafic serait destiné au protocole HTTPS (port 443) vers les points de terminaison suivants : **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/seamlessly_join_linux_instance.html) + Nous vous recommandons d'utiliser un serveur DNS qui résoudra votre nom de domaine Microsoft AD AWS géré. Pour ce faire, vous pouvez créer un jeu d'options DHCP. Pour plus d’informations, consultez [Création ou modification d'un ensemble d'options DHCP pour AWS Managed Microsoft AD](dhcp_options_set.md). + Si vous choisissez de ne pas créer de jeu d'options DHCP, vos serveurs DNS seront statiques et configurés par votre AWS Managed Microsoft AD. ### Sélectionnez votre compte de service de jonction transparente à un domaine Vous pouvez facilement associer des ordinateurs Linux à votre domaine Microsoft AD Active Directory AWS géré. Pour ce faire, vous devez utiliser un compte utilisateur autorisé à créer un compte d'ordinateur pour joindre les machines au domaine. Bien que les *administrateurs délégués AWS * ou les membres d'autres groupes puissent disposer de privilèges suffisants pour joindre des ordinateurs au domaine, nous vous déconseillons ce type d'utilisation. À titre de bonne pratique, nous vous recommandons d'utiliser un compte de service disposant des privilèges minimaux nécessaires pour joindre les ordinateurs au domaine. Pour déléguer un compte doté des privilèges minimaux nécessaires pour associer les ordinateurs au domaine, vous pouvez exécuter les PowerShell commandes suivantes. Vous devez exécuter ces commandes à partir d'un ordinateur Windows joint au domaine sur lequel le [Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md) est installé. En outre, vous devez utiliser un compte autorisé à modifier les autorisations sur l'unité d'organisation ou le conteneur de votre ordinateur. La PowerShell commande définit les autorisations permettant au compte de service de créer des objets informatiques dans le conteneur d'ordinateurs par défaut de votre domaine. ``` $AccountName = 'awsSeamlessDomain' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $Domain = Get-ADDomain -ErrorAction Stop $BaseDn = $Domain.DistinguishedName $ComputersContainer = $Domain.ComputersContainer $SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext' [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID # Getting Service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for the Computers container. $ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container. $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer" ``` Si vous préférez utiliser une interface utilisateur graphique (GUI), vous pouvez utiliser le processus manuel décrit dans [Délégation de privilèges à votre compte de service](ad_connector_getting_started.md#connect_delegate_privileges). ### Créer les secrets pour stocker le compte de service de domaine Vous pouvez l'utiliser AWS Secrets Manager pour stocker le compte de service de domaine. Pour plus d'informations, voir [Création d'un AWS Secrets Manager secret](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html). **Note** Des frais sont associés à Secrets Manager. Pour plus d'informations, voir [Tarification](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) dans le *guide de AWS Secrets Manager l'utilisateur*. **Pour créer des secrets et stocker les informations du compte de service de domaine** 1. Connectez-vous à la AWS Secrets Manager console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. Choisissez **Store a new secret** (Stocker un nouveau secret). 1. Sur la page **Store a new secret** (Stocker un nouveau secret), procédez comme suit : 1. Sous **Type de secret**, sélectionnez **Autre type de secret**. 1. Sous **Paires clé/valeur**, procédez comme suit : 1. Dans la première case, saisissez **awsSeamlessDomainUsername**. Sur la même ligne, dans la case suivante, entrez le nom d'utilisateur de votre compte de service. Par exemple, si vous avez déjà utilisé la PowerShell commande, le nom du compte de service serait**awsSeamlessDomain**. **Note** Vous devez saisir **awsSeamlessDomainUsername** exactement tel quel. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera. ![\[Dans la AWS Secrets Manager console, sur la page Choisissez un type de secret. Un autre type de secret est sélectionné sous le type secret et awsSeamlessDomainUsername est saisi comme valeur clé.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/secrets_manager_1.png) 1. Choisissez **Add row** (Ajouter une ligne). 1. Sur la nouvelle ligne, dans la première case, saisissez **awsSeamlessDomainPassword**. Sur la même ligne, dans la case suivante, saisissez le mot de passe de votre compte de service. **Note** Vous devez saisir **awsSeamlessDomainPassword** exactement tel quel. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera. 1. Sous **Clé de chiffrement,** laissez la valeur par défaut`aws/secretsmanager`. AWS Secrets Manager chiffre toujours le secret lorsque vous choisissez cette option. Vous pouvez également choisir une clé que vous avez créée. 1. Choisissez **Suivant**. 1. Sous **Nom secret**, entrez un nom secret qui inclut votre identifiant de répertoire en utilisant le format suivant, en le *d-xxxxxxxxx* remplaçant par votre identifiant de répertoire : ``` aws/directory-services/d-xxxxxxxxx/seamless-domain-join ``` Cela servira à récupérer des secrets dans l'application. **Note** Vous devez le saisir **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** exactement tel quel, mais le *d-xxxxxxxxxx* remplacer par votre identifiant de répertoire. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera. ![\[Dans la AWS Secrets Manager console, sur la page secrète de configuration. Le nom du secret est saisi et surligné.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/secrets_manager_2.png) 1. Laissez le reste des paramètres définis par défaut, puis choisissez **Next** (Suivant). 1. Sous **Configure automatic rotation** (Configurer la rotation automatique), choisissez **Disable automatic rotation** (Désactiver la rotation automatique), puis cliquez sur **Next** (Suivant). Vous pouvez activer la rotation pour ce secret après l'avoir enregistré. 1. Vérifiez les paramètres, puis choisissez **Store** (Stocker) pour enregistrer vos modifications. La console Secrets Manager vous redirige à la liste des secrets de votre compte, où votre nouveau secret est désormais inclus. 1. Choisissez le nom du secret que vous venez de créer dans la liste et prenez note de la valeur de l'**ARN secret**. Vous en aurez besoin pour la section suivante. ### Activer la rotation pour le secret du compte de service de domaine Nous vous recommandons de changer régulièrement les secrets afin d'améliorer votre niveau de sécurité. **Pour activer la rotation pour le secret du compte de service de domaine** + Suivez les instructions de la section [Configurer la rotation automatique pour les AWS Secrets Manager secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) dans le *Guide de AWS Secrets Manager l'utilisateur*. Pour l'étape 5, utilisez le modèle de rotation des [informations d'identification Microsoft Active Directory](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) dans le *guide de AWS Secrets Manager l'utilisateur*. Pour obtenir de l'aide, consultez la section [Résolution des problèmes AWS Secrets Manager de rotation](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) dans le *Guide de AWS Secrets Manager l'utilisateur*. ### Créez le rôle et la politique IAM requis Suivez les étapes préalables suivantes pour créer une politique personnalisée qui autorise un accès en lecture seule à votre secret de jonction de domaine transparent Secrets Manager (que vous avez créé précédemment) et pour créer un nouveau rôle Linux EC2 DomainJoin IAM. #### Créer la politique de lecture IAM Secrets Manager Utilisez la console IAM pour créer une politique qui accorde un accès en lecture seule à votre secret Secrets Manager. **Pour créer la politique de lecture IAM Secrets Manager** 1. Connectez-vous au en AWS Management Console tant qu'utilisateur autorisé à créer des politiques IAM. Ouvrez ensuite la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le volet de navigation, **Gestion des accès**, sélectionnez **Policies**. 1. Choisissez **Create Policy** (Créer une politique). 1. Choisissez l'onglet **JSON** et copiez le texte du document de politique JSON suivant. Collez-le ensuite dans la zone de texte **JSON**. **Note** Assurez-vous de remplacer l'ARN de la région et de la ressource par la région et l'ARN réels du secret que vous avez créé précédemment. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join" ] } ] } ``` 1. Lorsque vous avez terminé, choisissez **Next**. Le programme de validation des politiques signale les éventuelles erreurs de syntaxe. Pour plus d'informations, veuillez consulter la section [Validating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) (français non garanti). 1. Sur la page **Review policy** (Réviser la politique), saisissez un nom pour la politique, tel que **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Vérifiez la section **Summary** (Récapitulatif) pour voir les autorisations accordées par votre politique. Sélectionnez **Create Policy** (Créer une politique) pour enregistrer vos changements. La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée à une identité. **Note** Nous vous recommandons de créer une politique par secret. Cela garantit que les instances n'ont accès qu'au secret approprié et minimise les répercussions si une instance est compromise. #### Création du EC2 DomainJoin rôle Linux Utilisez la console IAM pour créer le rôle que vous utiliserez pour joindre un domaine à votre instance Linux EC2. **Pour créer le EC2 DomainJoin rôle Linux** 1. Connectez-vous au en AWS Management Console tant qu'utilisateur autorisé à créer des politiques IAM. Ouvrez ensuite la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le volet de navigation, sous **Gestion des accès**, sélectionnez **Rôles**. 1. Dans le panneau de contenu, sélectionnez **Create role** (Créer un rôle). 1. Sous **Select type of trusted entity** (Sélectionner le type d'entité approuvée), choisissez ** service AWS **. 1. Sous **Cas d'utilisation**, choisissez **EC2**, puis **Next**. ![\[Dans la console IAM, sur la page de sélection de l'entité de confiance. AWS service et EC2 sont sélectionnés.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png) 1. Pour **Filter policies** (Filtrer les politiques), procédez comme suit : 1. Saisissez **AmazonSSMManagedInstanceCore**. Cochez ensuite la case correspondant à cet élément de la liste. 1. Saisissez **AmazonSSMDirectoryServiceAccess**. Cochez ensuite la case correspondant à cet élément de la liste. 1. Saisissez **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (ou le nom de la politique que vous avez créée dans la procédure précédente). Cochez ensuite la case correspondant à cet élément de la liste. 1. Après avoir ajouté les trois politiques répertoriées ci-dessus, sélectionnez **Créer un rôle**. **Note** Amazon SSMDirectory ServiceAccess fournit les autorisations nécessaires pour joindre des instances à un Active Directory géré par Directory Service. Amazon SSMManaged InstanceCore fournit les autorisations minimales nécessaires pour utiliser le AWS Systems Manager service. Pour plus d'informations sur la création d'un rôle doté de ces autorisations, ainsi que sur les autres autorisations et politiques que vous pouvez attribuer à votre rôle IAM, veuillez consulter la section [Create an IAM instance profile for Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) (français non garanti) dans le *Guide de l'utilisateur AWS Systems Manager *. 1. Entrez un nom pour votre nouveau rôle, par exemple un autre nom que vous préférez dans le champ **Nom du rôle**. **LinuxEC2DomainJoin** 1. (Facultatif) Pour **Role description (Description du rôle)**, entrez une description. 1. (Facultatif) Choisissez **Ajouter une nouvelle balise** à **l'étape 3 : Ajouter des balises** pour ajouter des balises. Les paires clé-valeur de balise sont utilisées pour organiser, suivre ou contrôler l'accès pour ce rôle. 1. Choisissez **Créer un rôle**. ## Rejoignez facilement votre instance Linux **Pour rejoindre facilement votre instance Linux** 1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 1. Dans le sélecteur de région de la barre de navigation, choisissez le même répertoire Région AWS que le répertoire existant. 1. Sur le **EC2 Dashboard** (tableau de bord EC2), dans la section **Launch instance** (Lancer une instance), choisissez **Launch instance** (Lancer une instance). 1. Sur la page **Lancer une instance**, dans la section **Nom et balises**, entrez le nom que vous souhaitez utiliser pour votre instance Linux EC2. 1. *(Facultatif)* Choisissez **Ajouter des balises supplémentaires** pour ajouter une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès à cette instance EC2. 1. Dans la section **Image de l'application et du système d'exploitation (Amazon Machine Image)**, choisissez l'AMI Linux que vous souhaitez lancer. **Note** L'AMI utilisée doit avoir la version 2.3.1644.0 ou supérieure AWS Systems Manager (agent SSM). Pour vérifier la version de l'agent SSM installée dans votre AMI en lançant une instance à partir de cette AMI, veuillez consulter [Getting the currently installed SSM Agent version](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html) (français non garanti). Si vous devez mettre à niveau l'agent SSM, veuillez consulter [Installing and configuring SSM Agent on EC2 instances for Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html) (français non garanti). SSM utilise le `aws:domainJoin` plugin pour joindre une instance Linux à un domaine Active Directory. Le plugin remplace le nom d'hôte des instances Linux par le format EC2 AMAZ-. *XXXXXXX* Pour plus d'informations à ce sujet`aws:domainJoin`, consultez [AWS Systems Manager la référence du plug-in du document de commande](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) dans le *guide de AWS Systems Manager l'utilisateur*. 1. Dans la section **Type d'instance**, choisissez le type d'instance que vous souhaitez utiliser dans la liste déroulante **Type d'instance**. 1. Dans la section **Paire de clés (connexion)**, vous pouvez choisir de créer une nouvelle paire de clés ou choisir une paire de clés existante. Pour créer une nouvelle paire de clés, choisissez **Créer une paire de clés**. Entrez le nom de la paire de clés et sélectionnez une option pour le **type de paire de clés** et le **format de fichier de clé privée**. Pour enregistrer la clé privée dans un format qui peut être utilisé avec OpenSSH, choisissez **.pem**. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez **.ppk**. Choisissez **Créer une paire de clés**. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Enregistrez le fichier de clé privée en lieu sûr. **Important** C’est votre seule occasion d’enregistrer le fichier de clé privée. 1. Sur la page **Lancer une instance**, dans la section **Paramètres réseau**, choisissez **Modifier**. Choisissez le **VPC** dans lequel votre répertoire a été créé dans la liste déroulante **VPC *obligatoire***. 1. Choisissez l'un des sous-réseaux publics de votre VPC dans la liste déroulante **Sous-réseau**. Tout le trafic externe du sous-réseau que vous choisissez doit être acheminé vers une passerelle Internet. Sinon, vous ne pourrez pas vous connecter à l'instance à distance. Pour obtenir plus d'informations sur la manière de se connecter à une passerelle Internet, veuillez consulter la section [Connect to the internet using an internet gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) (français non garanti) dans le *Guide de l'utilisateur Amazon VPC*. 1. Sous **Auto-assign Public IP** (Attribuer automatiquement l'adresse IP publique), choisissez **Enable** (Activer). Pour plus d'informations sur l'adressage IP public et privé, consultez la section Adressage [IP des instances Amazon EC2 dans le guide](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) de l'utilisateur *Amazon EC2*. 1. Pour les paramètres **Firewall (security groups)** [Pare-feu (groupes de sécurité)], vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins. 1. Pour les paramètres **Configure storage** (Configurer le stockage), vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins. 1. Choisissez la section **Advanced details** (Détails avancés), puis sélectionnez votre **domaine dans la liste déroulante Domain join directory** (Annuaire de jonction de domaines). **Note** Après avoir choisi le répertoire de jointure du domaine, vous pouvez voir : ![\[Un message d'erreur s'affiche lors de la sélection de votre répertoire de jointure de domaines. Une erreur s'est produite dans votre document SSM existant.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/SSM-Error-Message.png) Cette erreur se produit si l'assistant de lancement EC2 identifie un document SSM existant présentant des propriétés inattendues. Vous pouvez effectuer l’une des actions suivantes : Si vous avez déjà modifié le document SSM et que les propriétés sont attendues, choisissez Fermer et lancez l'instance EC2 sans aucune modification. Cliquez sur le lien Supprimer le document SSM existant ici pour supprimer le document SSM. Cela permettra de créer un document SSM avec les propriétés correctes. Le document SSM est automatiquement créé lorsque vous lancez l'instance EC2. 1. Pour le **profil d'instance IAM**, choisissez le rôle IAM que vous avez créé précédemment dans la section Conditions préalables **Étape 2 : Création du** rôle Linux. EC2 DomainJoin 1. Choisissez **Launch instance** (Lancer une instance). **Note** Si vous effectuez une jonction de domaine transparente avec SUSE Linux, un redémarrage est nécessaire pour que les authentifications fonctionnent. Pour redémarrer SUSE depuis le terminal Linux, tapez **sudo reboot**. # Joindre facilement une instance Linux Amazon EC2 à un Managed AWS Microsoft AD partagé Au cours de cette procédure, vous allez facilement joindre une instance Linux Amazon EC2 à un AWS Microsoft AD géré partagé. Pour ce faire, vous allez créer une politique de lecture AWS Secrets Manager IAM dans le rôle d'instance EC2 du compte sur lequel vous souhaitez lancer l'instance EC2 Linux. C'est ce que l'on appellera cela `Account 2` dans la présente procédure. Cette instance utilisera le AWS Managed Microsoft AD qui est partagé depuis l'autre compte appelé`Account 1`. ## Conditions préalables Avant de pouvoir joindre facilement une instance Linux Amazon EC2 à un AWS Microsoft AD géré partagé, vous devez effectuer les opérations suivantes : + Étapes 1 à 3 du didacticiel,[Tutoriel : Partage de votre répertoire Microsoft AD AWS géré pour une jonction de domaine EC2 fluide](ms_ad_tutorial_directory_sharing.md). Ce didacticiel vous explique comment configurer votre réseau et partager votre AWS Managed Microsoft AD. + La procédure décrite dans[Joindre facilement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré](seamlessly_join_linux_instance.md). ## Étape 1. Créer un EC2 DomainJoin rôle Linux dans le compte 2 Au cours de cette étape, vous allez utiliser la console IAM pour créer le rôle IAM que vous utiliserez pour joindre un domaine à votre instance Linux EC2 lorsque vous êtes connecté à. `Account 2` **Création du EC2 DomainJoin rôle Linux** 1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Dans le volet de navigation de gauche, sous **Gestion des accès**, sélectionnez **Rôles**. 1. Sur la page **Rôles**, choisissez **Créer un rôle**. 1. Sous **Select type of trusted entity** (Sélectionner le type d'entité approuvée), choisissez ** service AWS **. 1. **Sous **Cas d'utilisation**, choisissez **EC2**, puis Next** 1. Pour **Filter policies** (Filtrer les politiques), procédez comme suit : 1. Saisissez `AmazonSSMManagedInstanceCore`. Cochez ensuite la case correspondant à cet élément dans la liste. 1. Saisissez `AmazonSSMDirectoryServiceAccess`. Cochez ensuite la case correspondant à cet élément dans la liste. 1. Après avoir ajouté ces politiques, sélectionnez **Créer un rôle**. **Note** `AmazonSSMDirectoryServiceAccess`fournit les autorisations nécessaires pour joindre des instances à un Active Directory géré par Directory Service. `AmazonSSMManagedInstanceCore`fournit les autorisations minimales nécessaires à l'utilisation AWS Systems Manager. Pour plus d'informations sur la création d'un rôle doté de ces autorisations, ainsi que sur les autres autorisations et politiques que vous pouvez attribuer à votre rôle IAM, consultez la section [Configurer les autorisations d'instance requises pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) dans le *Guide de l'AWS Systems Manager utilisateur*. 1. Entrez un nom pour votre nouveau rôle, par exemple un autre nom que vous préférez dans le champ **Nom du rôle**. `LinuxEC2DomainJoin` 1. *(Facultatif)* **Dans Description du rôle**, entrez une description. 1. *(Facultatif)* Choisissez **Ajouter une nouvelle balise** à **l'étape 3 : Ajouter des balises** pour ajouter des balises. Les paires clé-valeur de balise sont utilisées pour organiser, suivre ou contrôler l'accès pour ce rôle. 1. Choisissez **Créer un rôle**. ## Étape 2. Créez un accès aux ressources entre comptes pour partager des AWS Secrets Manager secrets La section suivante présente les exigences supplémentaires qui doivent être satisfaites pour joindre facilement des instances EC2 Linux avec un Microsoft AD AWS géré partagé. Ces exigences incluent la création de politiques de ressources et leur rattachement aux services et ressources appropriés. Pour permettre aux utilisateurs d'un compte d'accéder aux AWS Secrets Manager secrets d'un autre compte, vous devez autoriser l'accès à la fois dans le cadre d'une politique de ressources et d'une politique d'identité. Ce type d'accès est appelé [accès aux ressources entre comptes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html). Ce type d'accès est différent de l'accès aux identités du même compte que le secret de Secrets Manager. Vous devez également autoriser la clé d'identité à utiliser [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(KMS) avec laquelle le secret est chiffré. Cette autorisation est nécessaire car vous ne pouvez pas utiliser la clé AWS gérée (`aws/secretsmanager`) pour un accès entre comptes. Au lieu de cela, vous chiffrerez votre secret avec une clé KMS que vous aurez créée, puis vous y associerez une politique de clé. Pour modifier la clé de chiffrement d'un secret, voir [Modifier un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html). **Note** Des frais sont associés AWS Secrets Manager, selon le secret que vous utilisez. Pour obtenir la liste de prix actuelle complète, consultez [Tarification AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/). Vous pouvez utiliser le Clé gérée par AWS `aws/secretsmanager` logiciel créé par Secrets Manager pour chiffrer vos secrets gratuitement. Si vous créez vos propres clés KMS pour chiffrer vos secrets, cela vous sera AWS facturé au tarif AWS KMS en vigueur. Pour plus d’informations, consultez [Tarification d’AWS Key Management Service](https://aws.amazon.com/kms/pricing/). Les étapes suivantes vous permettent de créer les politiques de ressources permettant aux utilisateurs de joindre facilement une instance Linux EC2 à un Microsoft AD AWS géré partagé. **Associez une politique de ressources au secret dans le compte 1** 1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. Dans la liste des secrets, choisissez le **secret** que vous avez créé pendant le[Conditions préalables](#seamlessly_join_linux_to_shared_MAD_prereqs). 1. Sur la **page des détails du secret**, sous l'onglet **Vue d'ensemble**, faites défiler la page vers le bas jusqu'à **Autorisations relatives aux ressources**. 1. Sélectionnez **Modifier les autorisations**. 1. Dans le champ de stratégie, entrez la politique suivante. La politique suivante autorise **Linux EC2 DomainJoin** in `Account 2` à accéder au secret dans`Account 1`. Remplacez la valeur ARN par la valeur ARN de votre `Account 2` `LinuxEC2DomainJoin` rôle que vous avez créé à [l'étape 1](#seamlessly_join_linux_to_shared_MAD_step_1). Pour utiliser cette politique, voir [Associer une politique d'autorisation à un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/LinuxEC2DomainJoin" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] } ``` ------ **Ajoutez une déclaration à la politique clé pour la clé KMS dans le compte 1** 1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. Dans le volet de navigation de gauche, sélectionnez **Clés gérées par le client**. 1. Sur la page **Clés gérées par le client**, sélectionnez la clé que vous avez créée. 1. Sur la page **Informations clés**, accédez à **Politique clé**, puis sélectionnez **Modifier**. 1. La déclaration de politique clé suivante permet `Account 2` à `ApplicationRole` in d'utiliser la clé KMS `Account 1` pour déchiffrer le secret dans`Account 1`. Pour utiliser cette déclaration, ajoutez-la à la stratégie de clé de votre clé KMS. Consultez [Modification d'une stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) pour de plus amples informations. ``` { { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } ``` **Créez une politique d'identité pour l'identité du compte 2** 1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Dans le volet de navigation de gauche, sous **Gestion des accès**, sélectionnez **Politiques**. 1. Sélectionnez **Create Policy (Créer une politique)**. Choisissez **JSON** dans l'**éditeur de politiques**. 1. La politique suivante permet d'accéder `ApplicationRole` `Account 2` au secret `Account 1` et de déchiffrer la valeur du secret en utilisant la clé de chiffrement qui se trouve également dans`Account 1`. Vous pouvez trouver l'ARN de votre secret dans la console Secrets Manager, sur la page **Détails du secret**, sous **Secret ARN**. Vous pouvez également appeler [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) pour identifier l'ARN du secret. Remplacez l'ARN de ressource par l'ARN de ressource pour l'ARN secret et`Account 1`. Pour utiliser cette politique, voir [Associer une politique d'autorisation à un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Describekey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/Your_Encryption_Key" } ] } ``` ------ 1. Sélectionnez **Suivant**, puis sélectionnez **Enregistrer les modifications**. 1. Recherchez et sélectionnez le rôle que vous avez créé `Account 2` dans[Attach a resource policy to the secret in Account 1](#step1ResourcePolicy). 1. Sous **Ajouter des autorisations**, sélectionnez **Joindre des politiques**. 1. Dans la barre de recherche, recherchez la politique que vous avez créée [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) et cochez la case pour ajouter la politique au rôle. Sélectionnez ensuite **Ajouter des autorisations**. ## Étape 3. Rejoignez facilement votre instance Linux Vous pouvez désormais utiliser la procédure suivante pour joindre facilement votre instance Linux EC2 à votre AWS Managed Microsoft AD partagé. **Pour rejoindre facilement votre instance Linux** 1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 1. Dans le sélecteur de région de la barre de navigation, choisissez le même répertoire Région AWS que le répertoire existant. 1. Sur le **EC2 Dashboard** (tableau de bord EC2), dans la section **Launch instance** (Lancer une instance), choisissez **Launch instance** (Lancer une instance). 1. Sur la page **Lancer une instance**, dans la section **Nom et balises**, entrez le nom que vous souhaitez utiliser pour votre instance Linux EC2. 1. *(Facultatif)* Choisissez **Ajouter des balises supplémentaires** pour ajouter une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès à cette instance EC2. 1. Dans la section **Image de l'application et du système d'exploitation (Amazon Machine Image)**, choisissez l'AMI Linux que vous souhaitez lancer. **Note** L'AMI utilisée doit avoir la version 2.3.1644.0 ou supérieure AWS Systems Manager (agent SSM). Pour vérifier la version de l'agent SSM installée dans votre AMI en lançant une instance à partir de cette AMI, veuillez consulter [Getting the currently installed SSM Agent version](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html) (français non garanti). Si vous devez mettre à niveau l'agent SSM, veuillez consulter [Installing and configuring SSM Agent on EC2 instances for Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html) (français non garanti). SSM utilise le `aws:domainJoin` plugin pour joindre une instance Linux à un domaine Active Directory. Le plugin remplace le nom d'hôte des instances Linux par le format EC2 AMAZ-. *XXXXXXX* Pour plus d'informations à ce sujet`aws:domainJoin`, consultez [AWS Systems Manager la référence du plug-in du document de commande](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) dans le *guide de AWS Systems Manager l'utilisateur*. 1. Dans la section **Type d'instance**, choisissez le type d'instance que vous souhaitez utiliser dans la liste déroulante **Type d'instance**. 1. Dans la section **Paire de clés (connexion)**, vous pouvez choisir de créer une nouvelle paire de clés ou choisir une paire de clés existante. Pour créer une nouvelle paire de clés, choisissez **Créer une paire de clés**. Entrez le nom de la paire de clés et sélectionnez une option pour le **type de paire de clés** et le **format de fichier de clé privée**. Pour enregistrer la clé privée dans un format qui peut être utilisé avec OpenSSH, choisissez **.pem**. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez **.ppk**. Choisissez **Créer une paire de clés**. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Enregistrez le fichier de clé privée en lieu sûr. **Important** C’est votre seule occasion d’enregistrer le fichier de clé privée. 1. Sur la page **Lancer une instance**, dans la section **Paramètres réseau**, choisissez **Modifier**. Choisissez le **VPC** dans lequel votre répertoire a été créé dans la liste déroulante **VPC *obligatoire***. 1. Choisissez l'un des sous-réseaux publics de votre VPC dans la liste déroulante **Sous-réseau**. Tout le trafic externe du sous-réseau que vous choisissez doit être acheminé vers une passerelle Internet. Sinon, vous ne pourrez pas vous connecter à l'instance à distance. Pour obtenir plus d'informations sur la manière de se connecter à une passerelle Internet, veuillez consulter la section [Connect to the internet using an internet gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) (français non garanti) dans le *Guide de l'utilisateur Amazon VPC*. 1. Sous **Auto-assign Public IP** (Attribuer automatiquement l'adresse IP publique), choisissez **Enable** (Activer). Pour plus d'informations sur l'adressage IP public et privé, consultez la section Adressage [IP des instances Amazon EC2 dans le guide](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) de l'utilisateur *Amazon EC2*. 1. Pour les paramètres **Firewall (security groups)** [Pare-feu (groupes de sécurité)], vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins. 1. Pour les paramètres **Configure storage** (Configurer le stockage), vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins. 1. Choisissez la section **Advanced details** (Détails avancés), puis sélectionnez votre **domaine dans la liste déroulante Domain join directory** (Annuaire de jonction de domaines). **Note** Après avoir choisi le répertoire de jointure du domaine, vous pouvez voir : ![\[Un message d'erreur s'affiche lors de la sélection de votre répertoire de jointure de domaines. Une erreur s'est produite dans votre document SSM existant.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/SSM-Error-Message.png) Cette erreur se produit si l'assistant de lancement EC2 identifie un document SSM existant présentant des propriétés inattendues. Vous pouvez effectuer l’une des actions suivantes : Si vous avez déjà modifié le document SSM et que les propriétés sont attendues, choisissez Fermer et lancez l'instance EC2 sans aucune modification. Cliquez sur le lien Supprimer le document SSM existant ici pour supprimer le document SSM. Cela permettra de créer un document SSM avec les propriétés correctes. Le document SSM est automatiquement créé lorsque vous lancez l'instance EC2. 1. Pour le **profil d'instance IAM**, choisissez le rôle IAM que vous avez créé précédemment dans la section Conditions préalables **Étape 2 : Création du** rôle Linux. EC2 DomainJoin 1. Choisissez **Launch instance** (Lancer une instance). **Note** Si vous effectuez une jonction de domaine transparente avec SUSE Linux, un redémarrage est nécessaire pour que les authentifications fonctionnent. Pour redémarrer SUSE depuis le terminal Linux, tapez **sudo reboot**. # Joindre manuellement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré Outre les instances Amazon EC2, vous pouvez également joindre certaines Windows instances Amazon EC2 Linux à votre annuaire Microsoft AD Active AWS Directory géré. Les distributions et les versions d'instance Linux suivantes sont prises en charge : + AMI Amazon Linux 2018.03.0 + Amazon Linux 2 (64 bits x86) + AMI Amazon Linux 2023 + Red Hat Enterprise Linux 8 (HVM) (64 bits x86) + Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS + CentOS 7 x86-64 + Serveur SUSE Linux Enterprise 15 SP1 **Note** D'autres distributions et versions Linux peuvent fonctionner, mais n'ont pas été testées. ## Joindre une instance Linux à votre Microsoft AD AWS géré Avant de pouvoir joindre une instance Amazon Linux, CentOS, Red Hat ou Ubuntu à votre annuaire, l'instance doit d'abord être lancée comme indiqué dans [Rejoignez facilement votre instance Linux](seamlessly_join_linux_instance.md#seamless-linux-join-instance). **Important** Certaines des procédures suivantes peuvent rendre votre instance inaccessible ou non utilisable si elles ne sont pas effectuées correctement. Par conséquent, nous vous conseillons vivement de faire une sauvegarde ou de prendre un instantané de votre instance avant d'exécuter ces procédures. **Pour joindre une instance Linux à votre annuaire** Suivez les étapes pour votre instance Linux spécifique à l'aide de l'un des onglets suivants : ------ #### [ Amazon Linux ] 1. Connectez-vous à l'instance à l'aide d'un client SSH. 1. Configurez l'instance Linux pour utiliser les adresses IP des serveurs DNS Directory Service fournis. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié au VPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, veuillez consulter [How do I assign a static DNS server to a private Amazon EC2 instance](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) (français non garanti) dans le Centre de connaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pour votre distribution et votre version particulières de Linux. 1. Assurez-vous que votre instance Amazon Linux - 64 bits est à jour. ``` sudo yum -y update ``` 1. Installez les paquets Amazon Linux requis sur votre instance Linux. **Note** Certains de ces packages peuvent être déjà installés. Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configuration contextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de ces écrans vides. Amazon Linux ``` sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation ``` **Note** Pour vous aider à déterminer la version d'Amazon Linux que vous utilisez, veuillez consulter la section [Identifying Amazon Linux images](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id) (français non garanti) dans le * Guide de l'utilisateur Amazon EC2 pour les instances Linux.* 1. Joignez l'instance à l'annuaire avec la commande suivante. ``` sudo realm join -U join_account@EXAMPLE.COM example.com --verbose ``` *join\$1account@EXAMPLE.COM* Un compte du *example.com* domaine doté de privilèges de connexion au domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation de ces privilèges, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md). *example.com* Nom DNS complet de votre annuaire. ``` ... * Successfully enrolled machine in realm ``` 1. Définissez le service SSH pour permettre l'authentification du mot de passe. 1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte. ``` sudo vi /etc/ssh/sshd_config ``` 1. Définissez le paramètre `PasswordAuthentication` sur `yes`. ``` PasswordAuthentication yes ``` 1. Redémarrez le service SSH. ``` sudo systemctl restart sshd.service ``` Autrement : ``` sudo service sshd restart ``` 1. Une fois l'instance redémarrée, connectez-vous à celle-ci avec n'importe quel client SSH et ajoutez le groupe AWS Delegated Administrators à la liste des sudoers en effectuant les étapes suivantes : 1. Ouvrez le fichier `sudoers` avec la commande suivante : ``` sudo visudo ``` 1. Ajoutez les éléments suivants en bas du fichier `sudoers` et enregistrez-le. ``` ## Add the "AWS Delegated Administrators" group from the example.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL ``` (L'exemple ci-dessus utilise « \$1 » pour créer le caractère d'espace Linux.) ------ #### [ CentOS ] 1. Connectez-vous à l'instance à l'aide d'un client SSH. 1. Configurez l'instance Linux pour utiliser les adresses IP des serveurs DNS Directory Service fournis. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié au VPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, veuillez consulter [How do I assign a static DNS server to a private Amazon EC2 instance](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) (français non garanti) dans le Centre de connaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pour votre distribution et votre version particulières de Linux. 1. Assurez-vous que votre instance CentOS 7 est à jour. ``` sudo yum -y update ``` 1. Installez les paquets CentOS 7 obligatoires sur votre instance Linux. **Note** Certains de ces packages peuvent être déjà installés. Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configuration contextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de ces écrans vides. ``` sudo yum -y install sssd realmd krb5-workstation samba-common-tools ``` 1. Joignez l'instance à l'annuaire avec la commande suivante. ``` sudo realm join -U join_account@example.com example.com --verbose ``` *join\$1account@example.com* Un compte du *example.com* domaine doté de privilèges de connexion au domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation de ces privilèges, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md). *example.com* Nom DNS complet de votre annuaire. ``` ... * Successfully enrolled machine in realm ``` 1. Définissez le service SSH pour permettre l'authentification du mot de passe. 1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte. ``` sudo vi /etc/ssh/sshd_config ``` 1. Définissez le paramètre `PasswordAuthentication` sur `yes`. ``` PasswordAuthentication yes ``` 1. Redémarrez le service SSH. ``` sudo systemctl restart sshd.service ``` Autrement : ``` sudo service sshd restart ``` 1. Une fois l'instance redémarrée, connectez-vous à celle-ci avec n'importe quel client SSH et ajoutez le groupe AWS Delegated Administrators à la liste des sudoers en effectuant les étapes suivantes : 1. Ouvrez le fichier `sudoers` avec la commande suivante : ``` sudo visudo ``` 1. Ajoutez les éléments suivants en bas du fichier `sudoers` et enregistrez-le. ``` ## Add the "AWS Delegated Administrators" group from the example.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL ``` (L'exemple ci-dessus utilise « \$1 » pour créer le caractère d'espace Linux.) ------ #### [ Red Hat ] 1. Connectez-vous à l'instance à l'aide d'un client SSH. 1. Configurez l'instance Linux pour utiliser les adresses IP des serveurs DNS Directory Service fournis. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié au VPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, veuillez consulter [How do I assign a static DNS server to a private Amazon EC2 instance](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) (français non garanti) dans le Centre de connaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pour votre distribution et votre version particulières de Linux. 1. Assurez-vous que l'instance Red Hat - 64 bits est à jour. ``` sudo yum -y update ``` 1. Installez les packages Red Hat obligatoires sur votre instance Linux. **Note** Certains de ces packages peuvent être déjà installés. Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configuration contextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de ces écrans vides. ``` sudo yum -y install sssd realmd krb5-workstation samba-common-tools ``` 1. Joignez l'instance à l'annuaire avec la commande suivante. ``` sudo realm join -v -U join_account example.com --install=/ ``` *join\$1account* **AMAccountNom s** d'un compte du *example.com* domaine doté de privilèges d'adhésion à un domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation de ces privilèges, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md). *example.com* Nom DNS complet de votre annuaire. ``` ... * Successfully enrolled machine in realm ``` 1. Définissez le service SSH pour permettre l'authentification du mot de passe. 1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte. ``` sudo vi /etc/ssh/sshd_config ``` 1. Définissez le paramètre `PasswordAuthentication` sur `yes`. ``` PasswordAuthentication yes ``` 1. Redémarrez le service SSH. ``` sudo systemctl restart sshd.service ``` Autrement : ``` sudo service sshd restart ``` 1. Une fois l'instance redémarrée, connectez-vous à celle-ci avec n'importe quel client SSH et ajoutez le groupe AWS Delegated Administrators à la liste des sudoers en effectuant les étapes suivantes : 1. Ouvrez le fichier `sudoers` avec la commande suivante : ``` sudo visudo ``` 1. Ajoutez les éléments suivants en bas du fichier `sudoers` et enregistrez-le. ``` ## Add the "AWS Delegated Administrators" group from the example.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL ``` (L'exemple ci-dessus utilise « \$1 » pour créer le caractère d'espace Linux.) ------ #### [ SUSE ] 1. Connectez-vous à l'instance à l'aide d'un client SSH. 1. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis par Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié au VPC ou la définir manuellement sur l'instance. Si vous souhaitez le configurer manuellement, consultez l'article [Comment attribuer un serveur DNS statique à une instance Amazon EC2 privée](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) dans le centre de AWS connaissances pour obtenir des conseils sur la configuration du serveur DNS persistant pour votre distribution et votre version Linux spécifiques. 1. Assurez-vous que votre instance SUSE Linux 15 est à jour. 1. Connectez le référentiel de packages. ``` sudo SUSEConnect -p PackageHub/15.1/x86_64 ``` 1. Mettre à jour SUSE. ``` sudo zypper update -y ``` 1. Installez les paquets SUSE Linux 15 requis sur votre instance Linux. **Note** Certains de ces packages peuvent être déjà installés. Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configuration contextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de ces écrans vides. ``` sudo zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client krb5-client ``` 1. Joignez l'instance à l'annuaire avec la commande suivante. ``` sudo realm join -U join_account example.com --verbose ``` *join\$1account* Le AMAccount nom s du *example.com* domaine doté de privilèges de jonction de domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation de ces privilèges, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md). *example.com* Nom DNS complet de votre annuaire. ``` … realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed. ``` Notez que les deux retours suivants sont attendus. ``` ! Couldn't authenticate with keytab while discovering which salt to use: ! Enabling SSSD in nsswitch.conf and PAM failed. ``` 1. Activez manuellement **SSSD** dans **PAM**. ``` sudo pam-config --add --sss ``` 1. Modifier nsswitch.conf pour activer SSSD dans nsswitch.conf ``` sudo vi /etc/nsswitch.conf ``` ``` passwd: compat sss group: compat sss shadow: compat sss ``` 1. Ajoutez la ligne suivante à/etc/pam.d/common-session pour créer automatiquement un répertoire personnel lors de la connexion initiale ``` sudo vi /etc/pam.d/common-session ``` ``` session optional pam_mkhomedir.so skel=/etc/skel umask=077 ``` 1. Redémarrez l'instance pour terminer le processus de jointure de domaine. ``` sudo reboot ``` 1. Reconnectez-vous à l'instance à l'aide d'un client SSH pour vérifier que la jointure de domaine s'est terminée avec succès et finalisez les étapes supplémentaires. 1. Pour confirmer que l'instance a été inscrite sur le domaine ``` sudo realm list ``` ``` example.com type: kerberos realm-name: EXAMPLE.COM domain-name: example.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: adcli required-package: samba-client login-formats: %U@example.com login-policy: allow-realm-logins ``` 1. Pour vérifier l'état du démon SSSD ``` systemctl status sssd ``` ``` sssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled) Active: active (running) since Wed 2020-04-15 16:22:32 UTC; 3min 49s ago Main PID: 479 (sssd) Tasks: 4 CGroup: /system.slice/sssd.service ├─479 /usr/sbin/sssd -i --logger=files ├─505 /usr/lib/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files ├─548 /usr/lib/sssd/sssd_nss --uid 0 --gid 0 --logger=files └─549 /usr/lib/sssd/sssd_pam --uid 0 --gid 0 --logger=files ``` 1. Pour autoriser l'accès d'un utilisateur via SSH et la console ``` sudo realm permit join_account@example.com ``` Pour autoriser un accès à un groupe de domaines via SSH et la console ``` sudo realm permit -g 'AWS Delegated Administrators' ``` Ou pour permettre à tous les utilisateurs d'accéder ``` sudo realm permit --all ``` 1. Définissez le service SSH pour permettre l'authentification du mot de passe. 1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte. ``` sudo vi /etc/ssh/sshd_config ``` 1. Définissez le paramètre `PasswordAuthentication` sur `yes`. ``` PasswordAuthentication yes ``` 1. Redémarrez le service SSH. ``` sudo systemctl restart sshd.service ``` Autrement : ``` sudo service sshd restart ``` 1. 13. Une fois l'instance redémarrée, connectez-vous à celle-ci avec n'importe quel client SSH et ajoutez le groupe AWS Delegated Administrators à la liste des sudoers en effectuant les étapes suivantes : 1. Ouvrez le fichier sudoers avec la commande suivante : ``` sudo visudo ``` 1. Ajoutez les éléments suivants en bas du fichier sudoers et enregistrez-le. ``` ## Add the "Domain Admins" group from the awsad.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL) NOPASSWD: ALL ``` ------ #### [ Ubuntu ] 1. Connectez-vous à l'instance à l'aide d'un client SSH. 1. Configurez l'instance Linux pour utiliser les adresses IP des serveurs DNS Directory Service fournis. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié au VPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, veuillez consulter [How do I assign a static DNS server to a private Amazon EC2 instance](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) (français non garanti) dans le Centre de connaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pour votre distribution et votre version particulières de Linux. 1. Assurez-vous que l'instance Ubuntu - 64 bits est à jour. ``` sudo apt-get update sudo apt-get -y upgrade ``` 1. Installez les packages Ubuntu obligatoires sur votre instance Linux. **Note** Certains de ces packages peuvent être déjà installés. Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configuration contextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de ces écrans vides. ``` sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli ``` 1. Désactivez la résolution DNS inversée et définissez le domaine par défaut sur le nom de domaine complet de votre domaine. Les instances Ubuntu **doivent** pouvoir faire l'objet d'une résolution inverse dans le DNS pour qu'un domaine puisse fonctionner. Sinon, vous devez désactiver la résolution DNS inverse dans /etc/krb5.conf de la façon suivante : ``` sudo vi /etc/krb5.conf ``` ``` [libdefaults] default_realm = EXAMPLE.COM rdns = false ``` 1. Joignez l'instance à l'annuaire avec la commande suivante. ``` sudo realm join -U join_account example.com --verbose ``` *join\$1account@example.com* **AMAccountNom s** d'un compte du *example.com* domaine doté de privilèges d'adhésion à un domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation de ces privilèges, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md). *example.com* Nom DNS complet de votre annuaire. ``` ... * Successfully enrolled machine in realm ``` 1. Définissez le service SSH pour permettre l'authentification du mot de passe. 1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte. ``` sudo vi /etc/ssh/sshd_config ``` 1. Définissez le paramètre `PasswordAuthentication` sur `yes`. ``` PasswordAuthentication yes ``` 1. Redémarrez le service SSH. ``` sudo systemctl restart sshd.service ``` Autrement : ``` sudo service sshd restart ``` 1. Une fois l'instance redémarrée, connectez-vous à celle-ci avec n'importe quel client SSH et ajoutez le groupe AWS Delegated Administrators à la liste des sudoers en effectuant les étapes suivantes : 1. Ouvrez le fichier `sudoers` avec la commande suivante : ``` sudo visudo ``` 1. Ajoutez les éléments suivants en bas du fichier `sudoers` et enregistrez-le. ``` ## Add the "AWS Delegated Administrators" group from the example.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL ``` (L'exemple ci-dessus utilise « \$1 » pour créer le caractère d'espace Linux.) ------ ## Restriction de l'accès de connexion à un compte Comme tous les comptes sont définis dans Active Directory, par défaut, tous les utilisateurs de l'annuaire peuvent se connecter à l'instance. Vous pouvez autoriser uniquement certains utilisateurs à se connecter à l'instance à l'aide de la commande **ad\$1access\$1filter**dans **sssd.conf**. Par exemple : ``` ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com) ``` *memberOf* Indique que les utilisateurs ne peuvent accéder qu'à l'instance s'ils sont membres d'un groupe spécifique. *cn* Nom canonique du groupe disposant d'un accès. Dans cet exemple, le nom du groupe est*admins*. *ou* Il s'agit de l'unité d'organisation dans laquelle se trouve le groupe ci-dessus. Dans cet exemple, l'UO est*Testou*. *dc* Il s'agit du composant de domaine de votre domaine. Dans cet exemple, *example*. *dc* Il s'agit d'un composant de domaine supplémentaire. Dans cet exemple, *com*. Vous devez ajouter manuellement **ad\$1access\$1filter** à votre **/etc/sssd/sssd.conf**. Ouvrez le fichier **/etc/sssd/sssd.conf** dans un éditeur de texte. ``` sudo vi /etc/sssd/sssd.conf ``` Une fois l'opération effectuée, votre commande **sssd.conf** pourrait ressembler à ce qui suit : ``` [sssd] domains = example.com config_file_version = 2 services = nss, pam [domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com) ``` Pour que la configuration soit appliquée, vous devez redémarrer le service sssd : ``` sudo systemctl restart sssd.service ``` Vous pouvez également utiliser : ``` sudo service sssd restart ``` Comme tous les comptes sont définis dans Active Directory, par défaut, tous les utilisateurs de l'annuaire peuvent se connecter à l'instance. Vous pouvez autoriser uniquement certains utilisateurs à se connecter à l'instance à l'aide de la commande **ad\$1access\$1filter**dans **sssd.conf**. Par exemple : ``` ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com) ``` *memberOf* Indique que les utilisateurs ne peuvent accéder qu'à l'instance s'ils sont membres d'un groupe spécifique. *cn* Nom canonique du groupe disposant d'un accès. Dans cet exemple, le nom du groupe est*admins*. *ou* Il s'agit de l'unité d'organisation dans laquelle se trouve le groupe ci-dessus. Dans cet exemple, l'UO est*Testou*. *dc* Il s'agit du composant de domaine de votre domaine. Dans cet exemple, *example*. *dc* Il s'agit d'un composant de domaine supplémentaire. Dans cet exemple, *com*. Vous devez ajouter manuellement **ad\$1access\$1filter** à votre **/etc/sssd/sssd.conf**. 1. Ouvrez le fichier **/etc/sssd/sssd.conf** dans un éditeur de texte. ``` sudo vi /etc/sssd/sssd.conf ``` 1. Une fois l'opération effectuée, votre commande **sssd.conf** pourrait ressembler à ce qui suit : ``` [sssd] domains = example.com config_file_version = 2 services = nss, pam [domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com) ``` 1. Pour que la configuration soit appliquée, vous devez redémarrer le service sssd : ``` sudo systemctl restart sssd.service ``` Vous pouvez également utiliser : ``` sudo service sssd restart ``` ## Cartographie des identifiants Le mappage des identifiants peut être effectué par deux méthodes afin de maintenir une expérience unifiée entre l'identifiant utilisateur (UID) UNIX/Linux et l'identifiant de groupe (GID) et les identités Windows et Active Directory Security Identifier (SID). Ces méthodes sont les suivantes : 1. Centralisée 1. Distribué **Note** Le mappage centralisé de l'identité utilisateur dans Active Directory nécessite une interface de système d'exploitation portable ou POSIX. **Cartographie centralisée de l'identité des utilisateurs** Active Directory ou un autre service LDAP (Lightweight Directory Access Protocol) fournit un UID et un GID aux utilisateurs de Linux. Dans Active Directory, ces identifiants sont stockés dans les attributs des utilisateurs si l'extension POSIX est configurée : + UID - Le nom d'utilisateur Linux (chaîne) + Numéro UID : numéro d'identification utilisateur Linux (entier) + Numéro GID : numéro d'identification du groupe Linux (entier) Pour configurer une instance Linux afin d'utiliser l'UID et le GID d'Active Directory, définissez-les `ldap_id_mapping = False` dans le fichier sssd.conf. Avant de définir cette valeur, vérifiez que vous avez ajouté un UID, un numéro UID et un numéro GID aux utilisateurs et aux groupes dans Active Directory. **Cartographie distribuée de l'identité des utilisateurs** Si Active Directory ne possède pas l'extension POSIX ou si vous choisissez de ne pas gérer de manière centralisée le mappage des identités, Linux peut calculer les valeurs UID et GID. Linux utilise l'identifiant de sécurité (SID) unique de l'utilisateur pour garantir la cohérence. Pour configurer le mappage d'ID utilisateur distribué, définissez-le `ldap_id_mapping = True` dans le fichier sssd.conf. **Problèmes courants** Si vous le configurez`ldap_id_mapping = False`, le démarrage du service SSSD échouera parfois. La raison de cet échec est due au fait que les modifications UIDs ne sont pas prises en charge. Nous vous recommandons de supprimer le cache SSSD chaque fois que vous passez du mappage d'ID aux attributs POSIX ou des attributs POSIX au mappage d'ID. Pour plus de détails sur le mappage des identifiants et les paramètres ldap\$1id\$1mapping, consultez la page de manuel sssd-ldap (8) sur la ligne de commande Linux. ## Connect à l'instance Linux Lorsqu'un utilisateur se connecte à l'instance à l'aide d'un client SSH, il est invité à indiquer son nom d'utilisateur. L'utilisateur peut entrer le nom d'utilisateur au format `username@example.com` ou au format `EXAMPLE\username`. La réponse ressemblera à la suivante, selon la distribution Linux que vous utilisez : **Amazon Linux, Red Hat Enterprise Linux et CentOS Linux** ``` login as: johndoe@example.com johndoe@example.com's password: Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX ``` **SUSE Linux** ``` SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basics Documentation: https://www.suse.com/documentation/sles-15/ Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun... ``` **Ubuntu Linux** ``` login as: admin@example.com admin@example.com@10.24.34.0's password: Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0% ``` # Joindre manuellement une instance Linux Amazon EC2 à votre répertoire AWS Microsoft AD Active Directory géré à l'aide de Winbind Vous pouvez utiliser le service Winbind pour joindre manuellement vos instances Amazon EC2 Linux à un domaine Microsoft AD Active Directory AWS géré. Cela permet aux utilisateurs Active Directory locaux existants d'utiliser leurs informations d'identification Active Directory lorsqu'ils accèdent aux instances Linux jointes à votre annuaire Microsoft AD Active Directory AWS géré. Les distributions et les versions d'instance Linux suivantes sont prises en charge : + AMI Amazon Linux 2018.03.0 + Amazon Linux 2 (64 bits x86) + AMI Amazon Linux 2023 + Red Hat Enterprise Linux 8 (HVM) (64 bits x86) + Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS + CentOS 7 x86-64 + Serveur SUSE Linux Enterprise 15 SP1 **Note** D'autres distributions et versions Linux peuvent fonctionner, mais n'ont pas été testées. ## Joindre une instance Linux à votre répertoire Microsoft AD Active Directory AWS géré **Important** Certaines des procédures suivantes peuvent rendre votre instance inaccessible ou non utilisable si elles ne sont pas effectuées correctement. Par conséquent, nous vous conseillons vivement de faire une sauvegarde ou de prendre un instantané de votre instance avant d'exécuter ces procédures. **Pour joindre une instance Linux à votre annuaire** Suivez les étapes pour votre instance Linux spécifique à l'aide de l'un des onglets suivants : ------ #### [ Amazon Linux/CENTOS/REDHAT ] 1. Connectez-vous à l'instance à l'aide d'un client SSH. 1. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis par Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié au VPC ou la définir manuellement sur l'instance. Si vous souhaitez le configurer manuellement, consultez l'article [Comment attribuer un serveur DNS statique à une instance Amazon EC2 privée](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) dans le centre de AWS connaissances pour obtenir des conseils sur la configuration du serveur DNS persistant pour votre distribution et votre version Linux spécifiques. 1. Assurez-vous que votre instance Linux est à jour. ``` sudo yum -y update ``` 1. Installez les paquets Samba/Winbind obligatoires sur votre instance Linux. ``` sudo yum -y install authconfig samba samba-client samba-winbind samba-winbind-clients ``` 1. Faites une sauvegarde du fichier `smb.conf` principal afin de pouvoir y revenir en cas d'échec : ``` sudo cp /etc/samba/smb.conf /etc/samba/smb.bk ``` 1. Ouvrez le fichier de configuration d'origine [`/etc/samba/smb.conf`] dans un éditeur de texte. ``` sudo vim /etc/samba/smb.conf ``` Renseignez les informations relatives à votre environnement de domaine Active Directory comme indiqué dans l'exemple ci-dessous : ``` [global] workgroup = example security = ads realm = example.com idmap config * : rangesize = 1000000 idmap config * : range = 1000000-19999999 idmap config * : backend = autorid winbind enum users = no winbind enum groups = no template homedir = /home/%U@%D template shell = /bin/bash winbind use default domain = false ``` 1. Ouvrez le fichier d'hôtes [`/etc/hosts`] dans un éditeur de texte. ``` sudo vim /etc/hosts ``` Ajoutez l'adresse IP privée de votre instance Linux comme suit : ``` 10.x.x.x Linux_hostname.example.com Linux_hostname ``` **Note** Si vous n'avez pas indiqué votre adresse IP dans le fichier `/etc/hosts`, le message d'erreur DNS suivant peut s'afficher lorsque vous joignez l'instance au domaine : `No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER` Cette erreur signifie que la jonction a réussi, mais que la commande [net ads] n'a pas pu consigner l'enregistrement DNS dans le DNS. 1. Joignez l'instance Linux à Active Directory à l'aide de l'utilitaire net. ``` sudo net ads join -U join_account@example.com ``` *join\$1account@example.com* Un compte du *example.com* domaine doté de privilèges de connexion au domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation de ces privilèges, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md). *example.com* Nom DNS complet de votre annuaire. ``` Enter join_account@example.com's password: Using short domain name -- example Joined 'IP-10-x-x-x' to dns domain 'example.com' ``` 1. Modifiez le fichier de configuration PAM, utilisez la commande ci-dessous pour ajouter les entrées nécessaires à l'authentification Winbind : ``` sudo authconfig --enablewinbind --enablewinbindauth --enablemkhomedir --update ``` 1. Définissez le service SSH pour permettre l'authentification du mot de passe en modifiant le fichier `/etc/ssh/sshd_config`. 1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte. ``` sudo vi /etc/ssh/sshd_config ``` 1. Définissez le paramètre `PasswordAuthentication` sur `yes`. ``` PasswordAuthentication yes ``` 1. Redémarrez le service SSH. ``` sudo systemctl restart sshd.service ``` Autrement : ``` sudo service sshd restart ``` 1. Une fois que l'instance a redémarré, connectez-vous y avec un client SSH et ajoutez des privilèges racine pour un groupe ou un utilisateur de domaine à la liste sudoers en effectuant les étapes suivantes : 1. Ouvrez le fichier `sudoers` avec la commande suivante : ``` sudo visudo ``` 1. Ajoutez les groupes ou utilisateurs requis à partir de votre domaine approuvé ou d'approbation comme suit, puis enregistrez-les. ``` ## Adding Domain Users/Groups. %domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL %domainname\\groupname ALL=(ALL:ALL) ALL domainname\\username ALL=(ALL:ALL) ALL %Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL Trusted_DomainName\\username ALL=(ALL:ALL) ALL ``` (L'exemple ci-dessus utilise « \$1 » pour créer le caractère d'espace Linux.) ------ #### [ SUSE ] 1. Connectez-vous à l'instance à l'aide d'un client SSH. 1. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis par Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié au VPC ou la définir manuellement sur l'instance. Si vous souhaitez le configurer manuellement, consultez l'article [Comment attribuer un serveur DNS statique à une instance Amazon EC2 privée](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) dans le centre de AWS connaissances pour obtenir des conseils sur la configuration du serveur DNS persistant pour votre distribution et votre version Linux spécifiques. 1. Assurez-vous que votre instance SUSE Linux 15 est à jour. 1. Connectez le référentiel de packages. ``` sudo SUSEConnect -p PackageHub/15.1/x86_64 ``` 1. Mettre à jour SUSE. ``` sudo zypper update -y ``` 1. Installez les paquets Samba/Winbind obligatoires sur votre instance Linux. ``` sudo zypper in -y samba samba-winbind ``` 1. Faites une sauvegarde du fichier `smb.conf` principal afin de pouvoir y revenir en cas d'échec : ``` sudo cp /etc/samba/smb.conf /etc/samba/smb.bk ``` 1. Ouvrez le fichier de configuration d'origine [`/etc/samba/smb.conf`] dans un éditeur de texte. ``` sudo vim /etc/samba/smb.conf ``` Renseignez les informations relatives à l'environnement de votre domaine Active Directory comme indiqué dans l'exemple ci-dessous : ``` [global] workgroup = example security = ads realm = example.com idmap config * : rangesize = 1000000 idmap config * : range = 1000000-19999999 idmap config * : backend = autorid winbind enum users = no winbind enum groups = no template homedir = /home/%U@%D template shell = /bin/bash winbind use default domain = false ``` 1. Ouvrez le fichier d'hôtes [`/etc/hosts`] dans un éditeur de texte. ``` sudo vim /etc/hosts ``` Ajoutez l'adresse IP privée de votre instance Linux comme suit : ``` 10.x.x.x Linux_hostname.example.com Linux_hostname ``` **Note** Si vous n'avez pas indiqué votre adresse IP dans le fichier `/etc/hosts`, le message d'erreur DNS suivant peut s'afficher lorsque vous joignez l'instance au domaine : `No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER` Cette erreur signifie que la jonction a réussi, mais que la commande [net ads] n'a pas pu consigner l'enregistrement DNS dans le DNS. 1. Joignez l'instance Linux à l'annuaire avec la commande suivante. ``` sudo net ads join -U join_account@example.com ``` *join\$1account* Le AMAccount nom s du *example.com* domaine doté de privilèges de jonction de domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation de ces privilèges, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md). *example.com* Nom DNS complet de votre annuaire. ``` Enter join_account@example.com's password: Using short domain name -- example Joined 'IP-10-x-x-x' to dns domain 'example.com' ``` 1. Modifiez le fichier de configuration PAM, utilisez la commande ci-dessous pour ajouter les entrées nécessaires à l'authentification Winbind : ``` sudo pam-config --add --winbind --mkhomedir ``` 1. Ouvrez le fichier de configuration Name Service Switch [`/etc/nsswitch.conf`] dans un éditeur de texte. ``` vim /etc/nsswitch.conf ``` Ajoutez la directive Winbind comme indiqué ci-dessous. ``` passwd: files winbind shadow: files winbind group: files winbind ``` 1. Définissez le service SSH pour permettre l'authentification du mot de passe en modifiant le fichier `/etc/ssh/sshd_config`. 1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte. ``` sudo vim /etc/ssh/sshd_config ``` 1. Définissez le paramètre `PasswordAuthentication` sur `yes`. ``` PasswordAuthentication yes ``` 1. Redémarrez le service SSH. ``` sudo systemctl restart sshd.service ``` Autrement : ``` sudo service sshd restart ``` 1. Une fois que l'instance a redémarré, connectez-vous y avec un client SSH et ajoutez des privilèges racine pour un groupe ou un utilisateur de domaine à la liste sudoers en effectuant les étapes suivantes : 1. Ouvrez le fichier `sudoers` avec la commande suivante : ``` sudo visudo ``` 1. Ajoutez les groupes ou utilisateurs requis à partir de votre domaine approuvé ou d'approbation comme suit, puis enregistrez-les. ``` ## Adding Domain Users/Groups. %domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL %domainname\\groupname ALL=(ALL:ALL) ALL domainname\\username ALL=(ALL:ALL) ALL %Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL Trusted_DomainName\\username ALL=(ALL:ALL) ALL ``` (L'exemple ci-dessus utilise « \$1 » pour créer le caractère d'espace Linux.) ------ #### [ Ubuntu ] 1. Connectez-vous à l'instance à l'aide d'un client SSH. 1. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis par Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié au VPC ou la définir manuellement sur l'instance. Si vous souhaitez le configurer manuellement, consultez l'article [Comment attribuer un serveur DNS statique à une instance Amazon EC2 privée](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) dans le centre de AWS connaissances pour obtenir des conseils sur la configuration du serveur DNS persistant pour votre distribution et votre version Linux spécifiques. 1. Assurez-vous que votre instance Linux est à jour. ``` sudo apt-get -y upgrade ``` 1. Installez les paquets Samba/Winbind obligatoires sur votre instance Linux. ``` sudo apt -y install samba winbind libnss-winbind libpam-winbind ``` 1. Faites une sauvegarde du fichier `smb.conf` principal afin de pouvoir y revenir en cas d'échec. ``` sudo cp /etc/samba/smb.conf /etc/samba/smb.bk ``` 1. Ouvrez le fichier de configuration d'origine [`/etc/samba/smb.conf`] dans un éditeur de texte. ``` sudo vim /etc/samba/smb.conf ``` Renseignez les informations relatives à l'environnement de votre domaine Active Directory comme indiqué dans l'exemple ci-dessous : ``` [global] workgroup = example security = ads realm = example.com idmap config * : rangesize = 1000000 idmap config * : range = 1000000-19999999 idmap config * : backend = autorid winbind enum users = no winbind enum groups = no template homedir = /home/%U@%D template shell = /bin/bash winbind use default domain = false ``` 1. Ouvrez le fichier d'hôtes [`/etc/hosts`] dans un éditeur de texte. ``` sudo vim /etc/hosts ``` Ajoutez l'adresse IP privée de votre instance Linux comme suit : ``` 10.x.x.x Linux_hostname.example.com Linux_hostname ``` **Note** Si vous n'avez pas indiqué votre adresse IP dans le fichier `/etc/hosts`, le message d'erreur DNS suivant peut s'afficher lorsque vous joignez l'instance au domaine : `No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER` Cette erreur signifie que la jonction a réussi, mais que la commande [net ads] n'a pas pu consigner l'enregistrement DNS dans le DNS. 1. Joignez l'instance Linux à Active Directory à l'aide de l'utilitaire net. ``` sudo net ads join -U join_account@example.com ``` *join\$1account@example.com* Un compte du *example.com* domaine doté de privilèges de connexion au domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation de ces privilèges, veuillez consulter [Délégation des privilèges de connexion à un annuaire pour AWS Managed Microsoft AD](directory_join_privileges.md). *example.com* Nom DNS complet de votre annuaire. ``` Enter join_account@example.com's password: Using short domain name -- example Joined 'IP-10-x-x-x' to dns domain 'example.com' ``` 1. Modifiez le fichier de configuration PAM, utilisez la commande ci-dessous pour ajouter les entrées nécessaires à l'authentification Winbind : ``` sudo pam-auth-update --add --winbind --enable mkhomedir ``` 1. Ouvrez le fichier de configuration Name Service Switch [`/etc/nsswitch.conf`] dans un éditeur de texte. ``` vim /etc/nsswitch.conf ``` Ajoutez la directive Winbind comme indiqué ci-dessous. ``` passwd: compat winbind group: compat winbind shadow: compat winbind ``` 1. Définissez le service SSH pour permettre l'authentification du mot de passe en modifiant le fichier `/etc/ssh/sshd_config`. 1. Ouvrez le fichier `/etc/ssh/sshd_config` dans un éditeur de texte. ``` sudo vim /etc/ssh/sshd_config ``` 1. Définissez le paramètre `PasswordAuthentication` sur `yes`. ``` PasswordAuthentication yes ``` 1. Redémarrez le service SSH. ``` sudo systemctl restart sshd.service ``` Autrement : ``` sudo service sshd restart ``` 1. Une fois que l'instance a redémarré, connectez-vous y avec un client SSH et ajoutez des privilèges racine pour un groupe ou un utilisateur de domaine à la liste sudoers en effectuant les étapes suivantes : 1. Ouvrez le fichier `sudoers` avec la commande suivante : ``` sudo visudo ``` 1. Ajoutez les groupes ou utilisateurs requis à partir de votre domaine approuvé ou d'approbation comme suit, puis enregistrez-les. ``` ## Adding Domain Users/Groups. %domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL %domainname\\groupname ALL=(ALL:ALL) ALL domainname\\username ALL=(ALL:ALL) ALL %Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL Trusted_DomainName\\username ALL=(ALL:ALL) ALL ``` (L'exemple ci-dessus utilise « \$1 » pour créer le caractère d'espace Linux.) ------ ## Connect à l'instance Linux Lorsqu'un utilisateur se connecte à l'instance à l'aide d'un client SSH, il est invité à indiquer son nom d'utilisateur. L'utilisateur peut entrer le nom d'utilisateur au format `username@example.com` ou au format `EXAMPLE\username`. La réponse ressemblera à la suivante, selon la distribution Linux que vous utilisez : **Amazon Linux, Red Hat Enterprise Linux et CentOS Linux** ``` login as: johndoe@example.com johndoe@example.com's password: Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX ``` **SUSE Linux** ``` SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basics Documentation: https://www.suse.com/documentation/sles-15/ Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun... ``` **Ubuntu Linux** ``` login as: admin@example.com admin@example.com@10.24.34.0's password: Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0% ```