Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Bergabung dengan instans Amazon EC2 Linux ke Direktori Aktif AWS Microsoft AD Terkelola Anda dapat meluncurkan dan bergabung dengan instans EC2 Linux ke Microsoft AD yang AWS Dikelola di. Konsol Manajemen AWS Anda juga dapat menggabungkan instans EC2 Linux secara manual ke Microsoft AD yang AWS Dikelola. Alat seperti Winbind juga dapat digunakan sehingga Anda dapat bergabung dengan instans EC2 Linux ke AWS Microsoft AD yang Dikelola. Distribusi instans Linux dan versi berikut ini didukung: + Amazon Linux AMI 2018.03.0 + Amazon Linux 2 (64-bit x86) + Red Hat Enterprise Linux 8 (HVM) (64-bit x86) + Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS + CentOS 7 x86-64 + SUSE Linux Server Perusahaan 15 SP1 **catatan** Distribusi sebelum Ubuntu 14 dan Red Hat Enterprise Linux 7 dan 8 tidak mendukung fitur join domain yang mulus. **Topics** + [Menggabungkan instans Amazon EC2 Linux dengan mulus ke Direktori Aktif Microsoft AWS AD Terkelola](seamlessly_join_linux_instance.md) + [Menggabungkan instans Amazon EC2 Linux dengan mulus ke Microsoft AD AWS Terkelola bersama](seamlessly_join_linux_to_shared_MAD.md) + [Menggabungkan instans Amazon EC2 Linux secara manual ke Direktori Aktif AWS Microsoft AD Terkelola](join_linux_instance.md) + [Menggabungkan instans Amazon EC2 Linux secara manual ke Direktori Aktif AWS Microsoft AD Terkelola menggunakan Winbind](join_linux_instance_winbind.md) # Menggabungkan instans Amazon EC2 Linux dengan mulus ke Direktori Aktif Microsoft AWS AD Terkelola Prosedur ini menggabungkan instans Amazon EC2 Linux dengan mulus ke Direktori Aktif Microsoft AD AWS Terkelola Anda. Untuk menyelesaikan prosedur ini, Anda perlu membuat AWS Secrets Manager rahasia yang dapat menimbulkan biaya tambahan. Untuk informasi selengkapnya, silakan lihat [Harga AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/). Jika Anda perlu melakukan gabungan domain tanpa batas di beberapa AWS akun, Anda dapat memilih untuk mengaktifkan Berbagi [direktori](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html). Distribusi instans Linux dan versi berikut ini didukung: + Amazon Linux AMI 2018.03.0 + Amazon Linux 2 (64-bit x86) + Red Hat Enterprise Linux 8 (HVM) (64-bit x86) + Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS + CentOS 7 x86-64 + SUSE Linux Server Perusahaan 15 SP1 **catatan** Distribusi sebelum Ubuntu 14 dan Red Hat Enterprise Linux 7 dan 8 tidak mendukung fitur join domain yang mulus. Untuk demonstrasi tentang proses menggabungkan instans Linux dengan mulus ke Direktori Aktif AWS Microsoft AD Terkelola, lihat video berikut YouTube . [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/NNUtdVVZVxU?si=_0zOiXhUObcW0_Wo/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NNUtdVVZVxU?si=_0zOiXhUObcW0_Wo) ## Prasyarat Sebelum Anda dapat mengatur gabungan domain tanpa batas ke instans Linux EC2, Anda harus menyelesaikan prosedur di bagian ini. ### Prasyarat jaringan untuk bergabung dengan domain yang mulus Agar domain bergabung dengan instans EC2 Linux dengan mulus, Anda harus menyelesaikan yang berikut ini: + Anda akan memerlukan izin IAM berikut untuk bergabung dengan instans EC2 Linux dengan mulus: + Memiliki iklan Microsoft yang AWS Dikelola. Untuk mempelajari selengkapnya, lihat [Membuat Microsoft AD yang AWS Dikelola](ms_ad_getting_started.md#ms_ad_getting_started_create_directory). + Anda memerlukan izin IAM berikut untuk bergabung dengan instans EC2 dengan mulus: Windows + Profil Instans IAM dengan izin IAM berikut: + `AmazonSSMManagedInstanceCore` + `AmazonSSMDirectoryServiceAccess` + Domain pengguna yang bergabung dengan EC2 ke AWS Microsoft AD Terkelola memerlukan izin IAM berikut: + Directory Service Izin: + `"ds:DescribeDirectories"` + `"ds:CreateComputer"` + Izin VPC Amazon: + `"ec2:DescribeVpcs"` + `"ec2:DescribeSubnets"` + `"ec2:DescribeNetworkInterfaces"` + `"ec2:CreateNetworkInterface"` + `"ec2:AttachNetworkInterface"` + Izin EC2: + `"ec2:DescribeInstances"` + `"ec2:DescribeImages"` + `"ec2:DescribeInstanceTypes"` + `"ec2:RunInstances"` + `"ec2:CreateTags"` + AWS Systems Manager Izin: + `"ssm:DescribeInstanceInformation"` + `"ssm:SendCommand"` + `"ssm:GetCommandInvocation"` + `"ssm:CreateBatchAssociation"` + Saat iklan Microsoft AWS Terkelola dibuat, grup keamanan dibuat dengan aturan masuk dan keluar. Untuk mempelajari lebih lanjut tentang aturan dan port ini, lihat[Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md). Untuk bergabung dengan instans EC2 Linux secara mulus, VPC tempat Anda meluncurkan instans harus mengizinkan port yang sama yang diizinkan dalam aturan masuk dan keluar grup keamanan AWS Microsoft AD Terkelola. + Bergantung pada keamanan jaringan dan pengaturan firewall Anda, Anda mungkin diminta untuk mengizinkan lalu lintas keluar tambahan. Lalu lintas ini akan untuk HTTPS (port 443) ke titik akhir berikut: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/seamlessly_join_linux_instance.html) + Sebaiknya gunakan server DNS yang akan menyelesaikan nama domain Microsoft AD AWS Terkelola Anda. Untuk melakukannya, Anda dapat membuat set opsi DHCP. Untuk informasi selengkapnya, lihat [Membuat atau mengubah opsi DHCP yang disetel untuk Microsoft AD yang AWS Dikelola](dhcp_options_set.md). + Jika Anda memilih untuk tidak membuat set opsi DHCP, maka server DNS Anda akan statis dan dikonfigurasi oleh AWS Microsoft AD yang Dikelola. ### Pilih akun layanan penggabungan domain mulus Anda Anda dapat menggabungkan komputer Linux dengan mulus ke domain Direktori Aktif Microsoft AD yang AWS Dikelola. Untuk melakukannya, Anda harus membuat akun pengguna dengan membuat izin akun komputer untuk menggabungkan komputer ke domain. Meskipun anggota *administrator yang didelegasikan AWS * atau grup lain mungkin memiliki hak istimewa yang memadai untuk menggabungkan komputer ke domain, kami tidak menyarankan untuk menggunakan ini. Sebagai praktik terbaik, kami rekomendasikan Anda menggunakan akun layanan yang memiliki hak istimewa minimum yang diperlukan untuk menggabungkan komputer ke domain. Untuk mendelegasikan akun dengan hak istimewa minimum yang diperlukan untuk bergabung dengan komputer ke domain, Anda dapat menjalankan perintah berikut PowerShell . Anda harus menjalankan perintah ini dari komputer Windows menggabungkan domain dengan [Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md) yang diinstal. Selain itu, Anda harus menggunakan akun yang memiliki izin untuk mengubah izin di OU komputer atau kontainer Anda. PowerShell Perintah menetapkan izin yang memungkinkan akun layanan untuk membuat objek komputer di wadah komputer default domain Anda. ``` $AccountName = 'awsSeamlessDomain' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $Domain = Get-ADDomain -ErrorAction Stop $BaseDn = $Domain.DistinguishedName $ComputersContainer = $Domain.ComputersContainer $SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext' [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID # Getting Service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for the Computers container. $ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container. $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer" ``` Jika Anda lebih suka menggunakan antarmuka pengguna grafis (GUI) Anda dapat menggunakan proses manual yang dijelaskan di [Mendelegasikan hak istimewa ke akun layanan Anda](ad_connector_getting_started.md#connect_delegate_privileges). ### Membuat rahasia untuk menyimpan akun layanan domain Anda dapat menggunakan AWS Secrets Manager untuk menyimpan akun layanan domain. Untuk informasi selengkapnya, lihat [Membuat AWS Secrets Manager rahasia](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html). **catatan** Ada biaya yang terkait dengan Secrets Manager. Untuk informasi selengkapnya lihat, [Harga](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) di *Panduan AWS Secrets Manager Pengguna*. **Untuk Membuat rahasia dan menyimpan informasi akun layanan domain** 1. Masuk ke Konsol Manajemen AWS dan buka AWS Secrets Manager konsol di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. Pilih **Simpan rahasia baru**. 1. Pada halaman **Simpan rahasia baru**, lakukan hal berikut: 1. Di bawah **Tipe rahasia**, pilih **Jenis rahasia lainnya**. 1. Di bawah **pasangan kunci/nilai**, lakukan hal berikut: 1. Dalam kotak pertama, masukkan **awsSeamlessDomainUsername**. Pada baris yang sama, di kotak berikutnya, masukkan nama pengguna untuk akun layanan Anda. Misalnya, jika Anda menggunakan PowerShell perintah sebelumnya, nama akun layanan akan menjadi**awsSeamlessDomain**. **catatan** Anda harus memasukkan **awsSeamlessDomainUsername** persis seperti itu. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal. ![\[Di AWS Secrets Manager konsol pada halaman pilih jenis rahasia. Jenis rahasia lainnya dipilih di bawah tipe rahasia dan awsSeamlessDomainUsername dimasukkan sebagai nilai kunci.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/secrets_manager_1.png) 1. Pilih **Tambahkan baris**. 1. Pada baris baru, di kotak pertama, masukkan **awsSeamlessDomainPassword**. Pada baris yang sama, di kotak berikutnya, masukkan kata sandi untuk akun layanan Anda. **catatan** Anda harus memasukkan **awsSeamlessDomainPassword** persis seperti itu. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal. 1. Di bawah **kunci Enkripsi,** tinggalkan nilai default`aws/secretsmanager`. AWS Secrets Manager selalu mengenkripsi rahasia ketika Anda memilih opsi ini. Anda juga dapat memilih kunci yang Anda buat. 1. Pilih **Berikutnya**. 1. Di bawah **nama Rahasia**, masukkan nama rahasia yang menyertakan ID direktori Anda menggunakan format berikut, ganti *d-xxxxxxxxx* dengan ID direktori Anda: ``` aws/directory-services/d-xxxxxxxxx/seamless-domain-join ``` Ini akan digunakan untuk mengambil rahasia dalam aplikasi. **catatan** Anda harus memasukkan **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** persis seperti itu tetapi ganti *d-xxxxxxxxxx* dengan ID direktori Anda. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal. ![\[Di AWS Secrets Manager konsol pada halaman konfigurasikan rahasia. Nama rahasia dimasukkan dan disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/secrets_manager_2.png) 1. Biarkan yang lainnya diatur ke default, dan kemudian pilih **Selanjutnya**. 1. Di bawah **Konfigurasikan rotasi otomatis**, pilih **Nonaktifkan rotasi otomatis**, lalu pilih **Selanjutnya**. Anda dapat mengaktifkan rotasi untuk rahasia ini setelah Anda menyimpannya. 1. Tinjau pengaturan, dan kemudian pilih **Simpan** untuk menyimpan perubahan Anda. Konsol Secrets Manager mengembalikan Anda ke daftar rahasia di akun Anda dengan rahasia baru Anda masuk di dalam daftar. 1. Pilih nama rahasia Anda yang baru dibuat dari daftar, dan perhatikan nilai **ARN rahasia**. Anda akan membutuhkannya di bagian selanjutnya. ### Aktifkan rotasi untuk rahasia akun layanan domain Kami menyarankan Anda memutar rahasia secara teratur untuk meningkatkan postur keamanan Anda. **Untuk mengaktifkan rotasi untuk rahasia akun layanan domain** + Ikuti petunjuk di [Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) di *Panduan AWS Secrets Manager Pengguna*. Untuk Langkah 5, gunakan template rotasi [kredenal Microsoft Active Directory](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) di *AWS Secrets Manager Panduan Pengguna*. Untuk bantuan, lihat [Memecahkan masalah AWS Secrets Manager rotasi](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) di *AWS Secrets Manager Panduan Pengguna*. ### Untuk membuat kebijakan dan peran IAM yang diperlukan Gunakan langkah-langkah prasyarat berikut untuk membuat kebijakan khusus yang memungkinkan akses hanya-baca ke rahasia gabungan domain tanpa batas Secrets Manager Anda (yang Anda buat sebelumnya), dan untuk membuat peran IAM Linux baru. EC2 DomainJoin #### Membuat kebijakan membaca IAM Secrets Manager Anda menggunakan konsol IAM untuk membuat kebijakan yang memberikan akses hanya-baca ke rahasia Secrets Manager Anda. **Untuk membuat kebijakan membaca IAM Secrets Manager** 1. Masuk ke pengguna Konsol Manajemen AWS sebagai pengguna yang memiliki izin untuk membuat kebijakan IAM. Kemudian buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, **Manajemen Akses**, pilih **Kebijakan**. 1. Pilih **Buat kebijakan**. 1. Pilih tab **JSON** dan salin teks dari dokumen kebijakan JSON berikut. Kemudian tempelkan ke dalam kotak teks **JSON**. **catatan** Pastikan Anda mengganti Region and Resource ARN dengan Region dan ARN sebenarnya dari rahasia yang Anda buat sebelumnya. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join" ] } ] } ``` 1. Setelah selesai, pilih **Selanjutnya**. Validator kebijakan melaporkan kesalahan sintaksis. Untuk informasi selengkapnya, lihat [Memvalidasi kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html). 1. Pada halaman **Tinjau kebijakan**, masukkan nama kebijakan, seperti **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Tinjau bagian **Ringkasan** untuk melihat izin yang diberikan oleh kebijakan Anda. Lalu pilih **Buat kebijakan** untuk menyimpan perubahan Anda. Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan pada identitas. **catatan** Kami rekomendasikan Anda membuat satu kebijakan per rahasia. Melakukan hal tersebut memastikan bahwa instans hanya memiliki akses ke rahasia yang sesuai dan meminimalkan dampak jika sebuah instans dikompromikan. #### Buat EC2 DomainJoin peran Linux Anda menggunakan konsol IAM untuk membuat peran yang akan Anda gunakan untuk penggabungan domain dengan instans EC2 Linux Anda. **Untuk membuat EC2 DomainJoin peran Linux** 1. Masuk ke pengguna Konsol Manajemen AWS sebagai pengguna yang memiliki izin untuk membuat kebijakan IAM. Kemudian buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, di bawah **Manajemen Akses**, pilih **Peran**. 1. Di panel konten, pilih **Buat peran**. 1. Di bawah **Pilih jenis entitas terpercaya**, pilih **AWS layanan**. 1. Di bawah **Kasus penggunaan**, pilih **EC2**, lalu pilih **Berikutnya**. ![\[Di konsol IAM pada halaman pilih entitas tepercaya. AWS layanan dan EC2 dipilih.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png) 1. Untuk **Kebijakan filter**, lakukan hal berikut: 1. Masukkan **AmazonSSMManagedInstanceCore**. Lalu pilih kotak centang untuk item tersebut di dalam daftar. 1. Masukkan **AmazonSSMDirectoryServiceAccess**. Lalu pilih kotak centang untuk item tersebut di dalam daftar. 1. Masukkan **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (atau nama kebijakan yang Anda buat dalam prosedur sebelumnya). Lalu pilih kotak centang untuk item tersebut di dalam daftar. 1. Setelah menambahkan tiga kebijakan yang tercantum di atas, pilih **Buat peran**. **catatan** Amazon SSMDirectory ServiceAccess menyediakan izin untuk menggabungkan instance ke Active Directory yang dikelola oleh. Directory Service Amazon SSMManaged InstanceCore memberikan izin minimum yang diperlukan untuk menggunakan AWS Systems Manager layanan ini. Untuk informasi selengkapnya tentang cara membuat peran dengan izin ini, dan untuk informasi tentang izin dan kebijakan lain yang dapat Anda tetapkan ke IAM role, lihat [Buat profil instans IAM untuk Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) di *Panduan Pengguna AWS Systems Manager *. 1. Masukkan nama untuk peran baru Anda, seperti **LinuxEC2DomainJoin** atau nama lain yang Anda inginkan di bidang **Nama peran**. 1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi. 1. (Opsional) Pilih **Tambahkan tag baru** di bawah **Langkah 3: Tambahkan tag** untuk menambahkan tag. Pasangan nilai kunci tag digunakan untuk mengatur, melacak, atau mengontrol akses untuk peran ini. 1. Pilih **Buat peran**. ## Bergabunglah dengan instans Linux Anda dengan mulus **Untuk bergabung dengan instans Linux Anda dengan mulus** 1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 1. Dari pemilih Region di bilah navigasi, pilih yang Wilayah AWS sama dengan direktori yang ada. 1. Di **Dasbor EC2**, di bagian **Launch instance**, pilih **Launch instance**. 1. Pada halaman **Launch an instance**, di bawah bagian **Name and Tags**, masukkan nama yang ingin Anda gunakan untuk instans Linux EC2 Anda. 1. *(Opsional)* Pilih **Tambahkan tag tambahan** untuk menambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk instans EC2 ini. 1. Di bagian **Application and OS Image (Amazon Machine Image)**, pilih AMI Linux yang ingin Anda luncurkan. **catatan** AMI yang digunakan harus memiliki AWS Systems Manager (Agen SSM) versi 2.3.1644.0 atau lebih tinggi. Untuk memeriksa versi SSM Agent yang diinstal di AMI Anda dengan meluncurkan sebuah instans dari AMI tersebut, lihat [Mendapatkan versi Agen SSM yang saat ini diinstal](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Jika Anda perlu meningkatkan Agen SSM, lihat [Menginstal dan mengkonfigurasi SSM Agent pada instans EC2 untuk Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html). SSM menggunakan `aws:domainJoin` plugin saat menggabungkan instance Linux ke domain Active Directory. Plugin mengubah nama host untuk instance Linux ke format EC2 AMAZ-. *XXXXXXX* Untuk informasi selengkapnya`aws:domainJoin`, lihat [referensi plugin dokumen AWS Systems Manager perintah](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) di *Panduan AWS Systems Manager Pengguna*. 1. Di bagian **Jenis instans**, pilih jenis instance yang ingin Anda gunakan dari daftar dropdown **tipe Instance**. 1. Di bagian **Key pair (login)**, Anda dapat memilih untuk membuat key pair baru atau memilih dari key pair yang ada. Untuk membuat key pair baru, pilih **Create new key pair**. Masukkan nama untuk key pair dan pilih opsi untuk **Key pair type** dan **Private key file format**. **Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan OpenSSH, pilih.pem.** **Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan PuTTY, pilih.ppk.** Pilih **create key pair**. File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Simpan file kunci privat di suatu tempat yang aman. **penting** Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci privat tersebut. 1. Pada halaman **Luncurkan instance**, di bawah bagian **Pengaturan jaringan**, pilih **Edit**. *Pilih **VPC** tempat direktori Anda dibuat dari daftar dropdown yang diperlukan **VPC**.* 1. **Pilih salah satu subnet publik di VPC Anda dari daftar dropdown Subnet.** Subnet yang Anda pilih harus memiliki semua lalu lintas eksternal yang diarahkan ke gateway internet. Jika hal ini tidak terjadi, Anda tidak akan dapat terhubung ke instans dari jarak jauh. Untuk informasi selengkapnya tentang cara menyambung ke gateway internet, lihat [Connect to the internet menggunakan gateway internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) di *Panduan Pengguna Amazon VPC*. 1. **Di bawah **Auto-assign IP publik**, pilih Aktifkan.** Untuk informasi selengkapnya tentang pengalamatan IP publik dan pribadi, lihat pengalamatan [IP instans Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) di Panduan Pengguna Amazon *EC2*. 1. Untuk pengaturan **Firewall (grup keamanan)**, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda. 1. Untuk **Konfigurasi pengaturan penyimpanan**, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda. 1. Pilih bagian **Detail lanjutan**, pilih domain Anda dari **daftar dropdown direktori Gabung Domain**. **catatan** Setelah memilih direktori Gabung Domain, Anda mungkin melihat: ![\[Pesan galat saat memilih direktori Gabung Domain Anda. Ada kesalahan dengan dokumen SSM Anda yang ada.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/SSM-Error-Message.png) Kesalahan ini terjadi jika wizard peluncuran EC2 mengidentifikasi dokumen SSM yang ada dengan properti yang tidak terduga. Anda dapat melakukan salah satu dari yang berikut: Jika sebelumnya Anda mengedit dokumen SSM dan properti diharapkan, pilih tutup dan lanjutkan untuk meluncurkan instans EC2 tanpa perubahan. Pilih tautan hapus dokumen SSM yang ada di sini untuk menghapus dokumen SSM. Ini akan memungkinkan pembuatan dokumen SSM dengan properti yang benar. Dokumen SSM akan secara otomatis dibuat saat Anda meluncurkan instans EC2. 1. Untuk **profil instans IAM**, pilih peran IAM yang sebelumnya Anda buat di bagian prasyarat **Langkah 2**: Buat peran Linux. EC2 DomainJoin 1. Pilih **Luncurkan instans**. **catatan** Jika Anda menjalankan penggabungan domain yang mulus dengan SUSE Linux, reboot diperlukan sebelum autentikasi akan bekerja. Untuk me-reboot SUSE dari terminal Linux, ketik **sudo reboot**. # Menggabungkan instans Amazon EC2 Linux dengan mulus ke Microsoft AD AWS Terkelola bersama Dalam prosedur ini, Anda akan dengan mulus menggabungkan instans Amazon EC2 Linux ke iklan Microsoft AWS Terkelola bersama. Untuk melakukan ini, Anda akan membuat kebijakan baca AWS Secrets Manager IAM dalam peran instans EC2 di akun tempat Anda ingin meluncurkan instans Linux EC2. Ini akan disebut seperti `Account 2` dalam prosedur ini. Instans ini akan menggunakan iklan Microsoft AWS Terkelola yang sedang dibagikan dari akun lain yang disebut sebagai`Account 1`. ## Prasyarat Sebelum Anda dapat bergabung dengan instans Amazon EC2 Linux dengan mulus ke Microsoft AD AWS Dikelola bersama, Anda harus menyelesaikan yang berikut ini: + Langkah 1 sampai 3 dalam tutorial,[Tutorial: Berbagi direktori Microsoft AD AWS Terkelola Anda untuk bergabung dengan domain EC2 yang mulus](ms_ad_tutorial_directory_sharing.md). Tutorial ini memandu Anda melalui pengaturan jaringan Anda dan berbagi iklan Microsoft AWS Terkelola Anda. + Prosedur yang diuraikan dalam[Menggabungkan instans Amazon EC2 Linux dengan mulus ke Direktori Aktif Microsoft AWS AD Terkelola](seamlessly_join_linux_instance.md). ## Langkah 1. Buat EC2 DomainJoin peran Linux di Akun 2 Pada langkah ini, Anda akan menggunakan konsol IAM untuk membuat peran IAM yang akan Anda gunakan untuk domain bergabung dengan instans Linux EC2 Anda saat masuk. `Account 2` **Buat EC2 DomainJoin peran Linux** 1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi kiri, di bawah **Manajemen Akses**, pilih **Peran**. 1. Pada halaman **Peran**, pilih **Buat peran**. 1. Di bawah **Pilih jenis entitas terpercaya**, pilih **AWS layanan**. 1. **Di bawah **Kasus penggunaan**, pilih **EC2**, lalu pilih Berikutnya** 1. Untuk **Kebijakan filter**, lakukan hal berikut: 1. Masukkan `AmazonSSMManagedInstanceCore`. Kemudian pilih kotak centang untuk item itu dalam daftar. 1. Masukkan `AmazonSSMDirectoryServiceAccess`. Kemudian pilih kotak centang untuk item itu dalam daftar. 1. Setelah menambahkan kebijakan ini, pilih **Buat peran**. **catatan** `AmazonSSMDirectoryServiceAccess`memberikan izin untuk menggabungkan instance ke Active Directory yang dikelola oleh. Directory Service`AmazonSSMManagedInstanceCore`memberikan izin minimum yang diperlukan untuk digunakan AWS Systems Manager. *Untuk informasi selengkapnya tentang membuat peran dengan izin ini, dan untuk informasi tentang izin dan kebijakan lain yang dapat Anda tetapkan ke peran IAM, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) di Panduan Pengguna.AWS Systems Manager * 1. Masukkan nama untuk peran baru Anda, seperti `LinuxEC2DomainJoin` atau nama lain yang Anda inginkan di bidang **Nama peran**. 1. *(Opsional)* Untuk **deskripsi Peran**, masukkan deskripsi. 1. *(Opsional)* Pilih **Tambahkan tag baru** di bawah **Langkah 3: Tambahkan tag** untuk menambahkan tag. Pasangan nilai kunci tag digunakan untuk mengatur, melacak, atau mengontrol akses untuk peran ini. 1. Pilih **Buat peran**. ## Langkah 2. Buat akses sumber daya lintas akun untuk berbagi AWS Secrets Manager rahasia Bagian selanjutnya adalah persyaratan tambahan yang harus dipenuhi untuk bergabung dengan instans EC2 Linux dengan AWS Microsoft AD yang Dikelola bersama. Persyaratan ini termasuk membuat kebijakan sumber daya dan melampirkannya ke layanan dan sumber daya yang sesuai. Untuk memungkinkan pengguna di akun mengakses AWS Secrets Manager rahasia di akun lain, Anda harus mengizinkan akses dalam kebijakan sumber daya dan kebijakan identitas. Jenis akses ini disebut [akses sumber daya lintas akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html). Jenis akses ini berbeda dengan memberikan akses ke identitas di akun yang sama dengan rahasia Secrets Manager. Anda juga harus mengizinkan kunci identitas untuk menggunakan [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(KMS) yang rahasianya dienkripsi. Izin ini diperlukan karena Anda tidak dapat menggunakan kunci AWS terkelola (`aws/secretsmanager`) untuk akses lintas akun. Sebagai gantinya, Anda akan mengenkripsi rahasia Anda dengan kunci KMS yang Anda buat, dan kemudian melampirkan kebijakan kunci ke dalamnya. Untuk mengubah kunci enkripsi untuk rahasia, lihat [Memodifikasi AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html). **catatan** Ada biaya yang terkait AWS Secrets Manager, tergantung pada rahasia yang Anda gunakan. Untuk daftar harga lengkap saat ini, lihat [AWS Secrets Manager Harga](https://aws.amazon.com/secrets-manager/pricing/). Anda dapat menggunakan Secrets Manager Kunci yang dikelola AWS `aws/secretsmanager` yang dibuat untuk mengenkripsi rahasia Anda secara gratis. Jika Anda membuat kunci KMS Anda sendiri untuk mengenkripsi rahasia Anda, AWS menagih Anda dengan tarif AWS KMS saat ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/). Langkah-langkah berikut memungkinkan Anda membuat kebijakan sumber daya agar pengguna dapat menggabungkan instans Linux EC2 dengan mulus ke AWS Microsoft AD Terkelola bersama. **Lampirkan kebijakan sumber daya ke rahasia di Akun 1** 1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. Dari daftar rahasia, pilih **Rahasia** yang Anda buat selama[Prasyarat](#seamlessly_join_linux_to_shared_MAD_prereqs). 1. Pada **halaman detail Rahasia** di bawah tab **Ikhtisar**, gulir ke bawah ke **Izin sumber daya**. 1. Pilih **Edit izin**. 1. Di bidang kebijakan, masukkan kebijakan berikut. Kebijakan berikut memungkinkan **Linux EC2 DomainJoin** `Account 2` untuk mengakses rahasia di`Account 1`. [Ganti nilai ARN dengan nilai ARN untuk `LinuxEC2DomainJoin` peran Anda yang Anda `Account 2` buat di Langkah 1.](#seamlessly_join_linux_to_shared_MAD_step_1) Untuk menggunakan kebijakan ini, lihat [Melampirkan kebijakan izin ke AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/LinuxEC2DomainJoin" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] } ``` ------ **Tambahkan pernyataan ke kebijakan kunci untuk kunci KMS di Akun 1** 1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. Di panel navigasi kiri, pilih **Kunci terkelola pelanggan**. 1. Pada halaman **Customer managed keys**, pilih kunci yang Anda buat. 1. Pada halaman **Detail Utama**, navigasikan ke **Kebijakan kunci**, lalu pilih **Edit**. 1. Pernyataan kebijakan kunci berikut memungkinkan `ApplicationRole` `Account 2` untuk menggunakan kunci KMS `Account 1` untuk mendekripsi rahasia di. `Account 1` Untuk menggunakan pernyataan ini, tambahkan ke kebijakan kunci untuk kunci KMS Anda. Untuk informasi selengkapnya, lihat [Mengubah kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html). ``` { { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } ``` **Membuat kebijakan identitas untuk identitas di Akun 2** 1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi kiri, di bawah **Manajemen akses**, pilih **Kebijakan**. 1. Pilih **Buat Kebijakan**. Pilih **JSON** di **editor Kebijakan**. 1. Kebijakan berikut memungkinkan `ApplicationRole` masuk `Account 2` untuk mengakses rahasia `Account 1` dan mendekripsi nilai rahasia dengan menggunakan kunci enkripsi yang juga ada di. `Account 1` Anda dapat menemukan ARN untuk rahasia Anda di konsol Secrets Manager di halaman **Detail Rahasia di bawah Rahasia** **ARN**. Atau, Anda dapat memanggil [deskripsi-rahasia](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) untuk mengidentifikasi ARN rahasia. Ganti ARN Sumber Daya dengan ARN Sumber Daya untuk ARN rahasia dan. `Account 1` Untuk menggunakan kebijakan ini, lihat [Melampirkan kebijakan izin ke AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Describekey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/Your_Encryption_Key" } ] } ``` ------ 1. Pilih **Berikutnya** dan kemudian pilih **Simpan perubahan**. 1. Temukan dan pilih Peran yang Anda buat[Attach a resource policy to the secret in Account 1](#step1ResourcePolicy). `Account 2` 1. Di bawah **Tambahkan izin**, pilih **Lampirkan kebijakan**. 1. Di bilah pencarian, temukan kebijakan yang Anda buat [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) dan pilih kotak untuk menambahkan kebijakan ke peran. Kemudian pilih **Tambahkan izin**. ## Langkah 3. Bergabunglah dengan instans Linux Anda dengan mulus Sekarang Anda dapat menggunakan prosedur berikut untuk menggabungkan instans Linux EC2 Anda dengan mulus ke AWS Microsoft AD Terkelola bersama Anda. **Untuk bergabung dengan instans Linux Anda dengan mulus** 1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 1. Dari pemilih Region di bilah navigasi, pilih yang Wilayah AWS sama dengan direktori yang ada. 1. Di **Dasbor EC2**, di bagian **Launch instance**, pilih **Launch instance**. 1. Pada halaman **Launch an instance**, di bawah bagian **Name and Tags**, masukkan nama yang ingin Anda gunakan untuk instans Linux EC2 Anda. 1. *(Opsional)* Pilih **Tambahkan tag tambahan** untuk menambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk instans EC2 ini. 1. Di bagian **Application and OS Image (Amazon Machine Image)**, pilih AMI Linux yang ingin Anda luncurkan. **catatan** AMI yang digunakan harus memiliki AWS Systems Manager (Agen SSM) versi 2.3.1644.0 atau lebih tinggi. Untuk memeriksa versi SSM Agent yang diinstal di AMI Anda dengan meluncurkan sebuah instans dari AMI tersebut, lihat [Mendapatkan versi Agen SSM yang saat ini diinstal](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Jika Anda perlu meningkatkan Agen SSM, lihat [Menginstal dan mengkonfigurasi SSM Agent pada instans EC2 untuk Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html). SSM menggunakan `aws:domainJoin` plugin saat menggabungkan instance Linux ke domain Active Directory. Plugin mengubah nama host untuk instance Linux ke format EC2 AMAZ-. *XXXXXXX* Untuk informasi selengkapnya`aws:domainJoin`, lihat [referensi plugin dokumen AWS Systems Manager perintah](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) di *Panduan AWS Systems Manager Pengguna*. 1. Di bagian **Jenis instans**, pilih jenis instance yang ingin Anda gunakan dari daftar dropdown **tipe Instance**. 1. Di bagian **Key pair (login)**, Anda dapat memilih untuk membuat key pair baru atau memilih dari key pair yang ada. Untuk membuat key pair baru, pilih **Create new key pair**. Masukkan nama untuk key pair dan pilih opsi untuk **Key pair type** dan **Private key file format**. **Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan OpenSSH, pilih.pem.** **Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan PuTTY, pilih.ppk.** Pilih **create key pair**. File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Simpan file kunci privat di suatu tempat yang aman. **penting** Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci privat tersebut. 1. Pada halaman **Luncurkan instance**, di bawah bagian **Pengaturan jaringan**, pilih **Edit**. *Pilih **VPC** tempat direktori Anda dibuat dari daftar dropdown yang diperlukan **VPC**.* 1. **Pilih salah satu subnet publik di VPC Anda dari daftar dropdown Subnet.** Subnet yang Anda pilih harus memiliki semua lalu lintas eksternal yang diarahkan ke gateway internet. Jika hal ini tidak terjadi, Anda tidak akan dapat terhubung ke instans dari jarak jauh. Untuk informasi selengkapnya tentang cara menyambung ke gateway internet, lihat [Connect to the internet menggunakan gateway internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) di *Panduan Pengguna Amazon VPC*. 1. **Di bawah **Auto-assign IP publik**, pilih Aktifkan.** Untuk informasi selengkapnya tentang pengalamatan IP publik dan pribadi, lihat pengalamatan [IP instans Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) di Panduan Pengguna Amazon *EC2*. 1. Untuk pengaturan **Firewall (grup keamanan)**, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda. 1. Untuk **Konfigurasi pengaturan penyimpanan**, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda. 1. Pilih bagian **Detail lanjutan**, pilih domain Anda dari **daftar dropdown direktori Gabung Domain**. **catatan** Setelah memilih direktori Gabung Domain, Anda mungkin melihat: ![\[Pesan galat saat memilih direktori Gabung Domain Anda. Ada kesalahan dengan dokumen SSM Anda yang ada.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/SSM-Error-Message.png) Kesalahan ini terjadi jika wizard peluncuran EC2 mengidentifikasi dokumen SSM yang ada dengan properti yang tidak terduga. Anda dapat melakukan salah satu dari yang berikut: Jika sebelumnya Anda mengedit dokumen SSM dan properti diharapkan, pilih tutup dan lanjutkan untuk meluncurkan instans EC2 tanpa perubahan. Pilih tautan hapus dokumen SSM yang ada di sini untuk menghapus dokumen SSM. Ini akan memungkinkan pembuatan dokumen SSM dengan properti yang benar. Dokumen SSM akan secara otomatis dibuat saat Anda meluncurkan instans EC2. 1. Untuk **profil instans IAM**, pilih peran IAM yang sebelumnya Anda buat di bagian prasyarat **Langkah 2**: Buat peran Linux. EC2 DomainJoin 1. Pilih **Luncurkan instans**. **catatan** Jika Anda menjalankan penggabungan domain yang mulus dengan SUSE Linux, reboot diperlukan sebelum autentikasi akan bekerja. Untuk me-reboot SUSE dari terminal Linux, ketik **sudo reboot**. # Menggabungkan instans Amazon EC2 Linux secara manual ke Direktori Aktif AWS Microsoft AD Terkelola Selain instans Amazon EC2, Anda juga dapat menggabungkan Windows instans Amazon EC2 Linux tertentu ke Direktori Aktif Microsoft AD AWS Terkelola. Distribusi instans Linux dan versi berikut ini didukung: + Amazon Linux AMI 2018.03.0 + Amazon Linux 2 (64-bit x86) + Amazon Linux 2023 AMI + Red Hat Enterprise Linux 8 (HVM) (64-bit x86) + Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS + CentOS 7 x86-64 + SUSE Linux Server Perusahaan 15 SP1 **catatan** Distribusi dan versi Linux lainnya mungkin bekerja namun belum diuji. ## Bergabunglah dengan instans Linux ke Microsoft AD yang AWS Dikelola Sebelum Anda dapat menggabungkan instans Amazon Linux, CentOS, Red Hat, atau Ubuntu ke direktori Anda, instans harus terlebih dahulu diluncurkan sebagaimana ditentukan dalam [Bergabunglah dengan instans Linux Anda dengan mulus](seamlessly_join_linux_instance.md#seamless-linux-join-instance). **penting** Beberapa prosedur berikut, jika tidak dilakukan dengan benar, dapat membuat instans anda tidak terjangkau atau tidak dapat digunakan. Oleh karena itu, kami sangat menyarankan Anda membuat backup atau mengambil snapshot dari instans Anda sebelum melakukan prosedur ini. **Untuk menggabungkan instance Linux ke direktori Anda** Ikuti langkah-langkah untuk instans Linux tertentu Anda menggunakan salah satu tab berikut: ------ #### [ Amazon Linux ] 1. Terhubung ke instans menggunakan klien SSH apa saja. 1. Konfigurasikan instance Linux untuk menggunakan alamat IP server DNS dari server DNS Directory Service yang disediakan. Anda dapat melakukan ini baik dengan mengaturnya di set Opsi DHCP yang terlampir pada VPC atau dengan mengaturnya secara manual pada instans. Jika Anda ingin mengaturnya secara manual, lihat [Bagaimana cara menetapkan server DNS statis ke instans Amazon EC2 privat](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) dalam Pusat Pengetahuan AWS untuk pedoman tentang pengaturan server DNS persisten untuk distribusi dan versi Linux tertentu Anda. 1. Pastikan instans Amazon Linux - 64bit Anda adalah yang terbaru. ``` sudo yum -y update ``` 1. Instal paket Amazon Linux yang diperlukan pada instans Linux Anda. **catatan** Beberapa paket ini mungkin sudah diinstal. Ketika Anda menginstal paket, Anda mungkin akan disajikan dengan beberapa layar konfigurasi pop-up. Anda biasanya dapat membiarkan bidang di layar ini kosong. Amazon Linux ``` sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation ``` **catatan** Untuk bantuan dalam menentukan versi Amazon Linux yang Anda gunakan, lihat [Mengidentifikasi image Amazon Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id) dalam *Panduan Pengguna Amazon EC2 untuk Instans Linux*. 1. Menggabungkan instans ke direktori dengan perintah berikut. ``` sudo realm join -U join_account@EXAMPLE.COM example.com --verbose ``` *join\$1account@EXAMPLE.COM* Akun di *example.com* domain yang memiliki hak istimewa bergabung domain. Masukkan kata sandi untuk akun saat diminta. Untuk informasi selengkapnya tentang mendelegasikan hak istimewa ini, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md). *example.com* Nama DNS yang memenuhi syarat untuk direktori Anda. ``` ... * Successfully enrolled machine in realm ``` 1. Mengatur layanan SSH untuk mengizinkan autentikasi kata sandi. 1. Buka file `/etc/ssh/sshd_config` di editor teks. ``` sudo vi /etc/ssh/sshd_config ``` 1. Atur pengaturan `PasswordAuthentication` ke `yes`. ``` PasswordAuthentication yes ``` 1. Mulai ulang layanan SSH. ``` sudo systemctl restart sshd.service ``` Atau: ``` sudo service sshd restart ``` 1. Setelah instance dimulai ulang, sambungkan dengan klien SSH apa pun dan tambahkan grup Administrator AWS Delegasi ke daftar sudoers dengan melakukan langkah-langkah berikut: 1. Buka file `sudoers` dengan perintah berikut: ``` sudo visudo ``` 1. Tambahkan hal berikut ini ke bagian bawah file `sudoers` dan simpan. ``` ## Add the "AWS Delegated Administrators" group from the example.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL ``` (Contoh di atas menggunakan “\$1" untuk membuat karakter spasi Linux.) ------ #### [ CentOS ] 1. Terhubung ke instans menggunakan klien SSH apa saja. 1. Konfigurasikan instance Linux untuk menggunakan alamat IP server DNS dari server DNS Directory Service yang disediakan. Anda dapat melakukan ini baik dengan mengaturnya di set Opsi DHCP yang terlampir pada VPC atau dengan mengaturnya secara manual pada instans. Jika Anda ingin mengaturnya secara manual, lihat [Bagaimana cara menetapkan server DNS statis ke instans Amazon EC2 privat](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) dalam Pusat Pengetahuan AWS untuk pedoman tentang pengaturan server DNS persisten untuk distribusi dan versi Linux tertentu Anda. 1. Pastikan instans CentOS 7 Anda adalah yang terbaru. ``` sudo yum -y update ``` 1. Instal paket CentOS 7 yang diperlukan pada instans Linux Anda. **catatan** Beberapa paket ini mungkin sudah diinstal. Ketika Anda menginstal paket, Anda mungkin akan disajikan dengan beberapa layar konfigurasi pop-up. Anda biasanya dapat membiarkan bidang di layar ini kosong. ``` sudo yum -y install sssd realmd krb5-workstation samba-common-tools ``` 1. Menggabungkan instans ke direktori dengan perintah berikut. ``` sudo realm join -U join_account@example.com example.com --verbose ``` *join\$1account@example.com* Akun di *example.com* domain yang memiliki hak istimewa bergabung domain. Masukkan kata sandi untuk akun saat diminta. Untuk informasi selengkapnya tentang mendelegasikan hak istimewa ini, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md). *example.com* Nama DNS yang memenuhi syarat untuk direktori Anda. ``` ... * Successfully enrolled machine in realm ``` 1. Mengatur layanan SSH untuk mengizinkan autentikasi kata sandi. 1. Buka file `/etc/ssh/sshd_config` di editor teks. ``` sudo vi /etc/ssh/sshd_config ``` 1. Atur pengaturan `PasswordAuthentication` ke `yes`. ``` PasswordAuthentication yes ``` 1. Mulai ulang layanan SSH. ``` sudo systemctl restart sshd.service ``` Atau: ``` sudo service sshd restart ``` 1. Setelah instance dimulai ulang, sambungkan dengan klien SSH apa pun dan tambahkan grup Administrator AWS Delegasi ke daftar sudoers dengan melakukan langkah-langkah berikut: 1. Buka file `sudoers` dengan perintah berikut: ``` sudo visudo ``` 1. Tambahkan hal berikut ini ke bagian bawah file `sudoers` dan simpan. ``` ## Add the "AWS Delegated Administrators" group from the example.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL ``` (Contoh di atas menggunakan “\$1" untuk membuat karakter spasi Linux.) ------ #### [ Red Hat ] 1. Terhubung ke instans menggunakan klien SSH apa saja. 1. Konfigurasikan instance Linux untuk menggunakan alamat IP server DNS dari server DNS Directory Service yang disediakan. Anda dapat melakukan ini baik dengan mengaturnya di set Opsi DHCP yang terlampir pada VPC atau dengan mengaturnya secara manual pada instans. Jika Anda ingin mengaturnya secara manual, lihat [Bagaimana cara menetapkan server DNS statis ke instans Amazon EC2 privat](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) dalam Pusat Pengetahuan AWS untuk pedoman tentang pengaturan server DNS persisten untuk distribusi dan versi Linux tertentu Anda. 1. Pastikan instans Red Hat - 64bit adalah yang terbaru. ``` sudo yum -y update ``` 1. Instal paket Red Hat yang diperlukan pada instans Linux Anda. **catatan** Beberapa paket ini mungkin sudah diinstal. Ketika Anda menginstal paket, Anda mungkin akan disajikan dengan beberapa layar konfigurasi pop-up. Anda biasanya dapat membiarkan bidang di layar ini kosong. ``` sudo yum -y install sssd realmd krb5-workstation samba-common-tools ``` 1. Menggabungkan instans ke direktori dengan perintah berikut. ``` sudo realm join -v -U join_account example.com --install=/ ``` *join\$1account* **AMAccountNama s** untuk akun di *example.com* domain yang memiliki hak istimewa bergabung domain. Masukkan kata sandi untuk akun saat diminta. Untuk informasi selengkapnya tentang mendelegasikan hak istimewa ini, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md). *example.com* Nama DNS yang memenuhi syarat untuk direktori Anda. ``` ... * Successfully enrolled machine in realm ``` 1. Mengatur layanan SSH untuk mengizinkan autentikasi kata sandi. 1. Buka file `/etc/ssh/sshd_config` di editor teks. ``` sudo vi /etc/ssh/sshd_config ``` 1. Atur pengaturan `PasswordAuthentication` ke `yes`. ``` PasswordAuthentication yes ``` 1. Mulai ulang layanan SSH. ``` sudo systemctl restart sshd.service ``` Atau: ``` sudo service sshd restart ``` 1. Setelah instance dimulai ulang, sambungkan dengan klien SSH apa pun dan tambahkan grup Administrator AWS Delegasi ke daftar sudoers dengan melakukan langkah-langkah berikut: 1. Buka file `sudoers` dengan perintah berikut: ``` sudo visudo ``` 1. Tambahkan hal berikut ini ke bagian bawah file `sudoers` dan simpan. ``` ## Add the "AWS Delegated Administrators" group from the example.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL ``` (Contoh di atas menggunakan “\$1" untuk membuat karakter spasi Linux.) ------ #### [ SUSE ] 1. Terhubung ke instans menggunakan klien SSH apa saja. 1. Mengkonfigurasi instans Linux untuk menggunakan alamat IP server DNS dari server DNS yang disediakan Directory Service. Anda dapat melakukan ini baik dengan mengaturnya di set Opsi DHCP yang terlampir pada VPC atau dengan mengaturnya secara manual pada instans. Jika Anda ingin mengaturnya secara manual, lihat [Bagaimana cara menetapkan server DNS statis ke instans Amazon EC2 pribadi](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) di AWS Pusat Pengetahuan untuk panduan tentang pengaturan server DNS persisten untuk distribusi dan versi Linux tertentu Anda. 1. Pastikan instans SUSE Linux 15 Anda adalah yang terbaru. 1. Hubungkan repositori paket. ``` sudo SUSEConnect -p PackageHub/15.1/x86_64 ``` 1. Pembaruan SUSE. ``` sudo zypper update -y ``` 1. Instal paket SUSE Linux 15 yang diperlukan pada instans Linux Anda. **catatan** Beberapa paket ini mungkin sudah diinstal. Ketika Anda menginstal paket, Anda mungkin akan disajikan dengan beberapa layar konfigurasi pop-up. Anda biasanya dapat membiarkan bidang di layar ini kosong. ``` sudo zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client krb5-client ``` 1. Menggabungkan instans ke direktori dengan perintah berikut. ``` sudo realm join -U join_account example.com --verbose ``` *join\$1account* AMAccountNama s di *example.com* domain yang memiliki hak istimewa bergabung domain. Masukkan kata sandi untuk akun saat diminta. Untuk informasi selengkapnya tentang mendelegasikan hak istimewa ini, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md). *example.com* Nama DNS yang memenuhi syarat untuk direktori Anda. ``` … realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed. ``` Perhatikan bahwa kedua pengembalian berikut diharapkan. ``` ! Couldn't authenticate with keytab while discovering which salt to use: ! Enabling SSSD in nsswitch.conf and PAM failed. ``` 1. Mengaktifkan **SSSD** di **PAM** secara manual. ``` sudo pam-config --add --sss ``` 1. Edit nsswitch.conf untuk mengaktifkan SSSD di nsswitch.conf ``` sudo vi /etc/nsswitch.conf ``` ``` passwd: compat sss group: compat sss shadow: compat sss ``` 1. Tambahkan baris berikut ke/etc/pam.d/common-session untuk membuat direktori home secara otomatis saat login awal ``` sudo vi /etc/pam.d/common-session ``` ``` session optional pam_mkhomedir.so skel=/etc/skel umask=077 ``` 1. Reboot instans untuk menyelesaikan proses penggabungan domain. ``` sudo reboot ``` 1. Hubungkan kembali ke instans menggunakan klien SSH untuk memverifikasi bergabung domain telah berhasil diselesaikan dan menyelesaikan langkah-langkah tambahan. 1. Untuk mengkonfimasi instans telah didaftarkan pada domain ``` sudo realm list ``` ``` example.com type: kerberos realm-name: EXAMPLE.COM domain-name: example.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: adcli required-package: samba-client login-formats: %U@example.com login-policy: allow-realm-logins ``` 1. Untuk memverifikasi status daemon SSSD ``` systemctl status sssd ``` ``` sssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled) Active: active (running) since Wed 2020-04-15 16:22:32 UTC; 3min 49s ago Main PID: 479 (sssd) Tasks: 4 CGroup: /system.slice/sssd.service ├─479 /usr/sbin/sssd -i --logger=files ├─505 /usr/lib/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files ├─548 /usr/lib/sssd/sssd_nss --uid 0 --gid 0 --logger=files └─549 /usr/lib/sssd/sssd_pam --uid 0 --gid 0 --logger=files ``` 1. Untuk mengizinkan akses pengguna melalui SSH dan konsol ``` sudo realm permit join_account@example.com ``` Untuk mengizinkan akses grup domain melalui SSH dan konsol ``` sudo realm permit -g 'AWS Delegated Administrators' ``` Atau untuk mengizinkan semua pengguna mengakses ``` sudo realm permit --all ``` 1. Mengatur layanan SSH untuk mengizinkan autentikasi kata sandi. 1. Buka file `/etc/ssh/sshd_config` di editor teks. ``` sudo vi /etc/ssh/sshd_config ``` 1. Atur pengaturan `PasswordAuthentication` ke `yes`. ``` PasswordAuthentication yes ``` 1. Mulai ulang layanan SSH. ``` sudo systemctl restart sshd.service ``` Atau: ``` sudo service sshd restart ``` 1. 13. Setelah instance dimulai ulang, sambungkan dengan klien SSH apa pun dan tambahkan grup Administrator AWS Delegasi ke daftar sudoers dengan melakukan langkah-langkah berikut: 1. Buka file sudoers dengan perintah berikut: ``` sudo visudo ``` 1. Tambahkan hal berikut ini ke bagian bawah file sudoers dan simpan. ``` ## Add the "Domain Admins" group from the awsad.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL) NOPASSWD: ALL ``` ------ #### [ Ubuntu ] 1. Terhubung ke instans menggunakan klien SSH apa saja. 1. Konfigurasikan instance Linux untuk menggunakan alamat IP server DNS dari server DNS Directory Service yang disediakan. Anda dapat melakukan ini baik dengan mengaturnya di set Opsi DHCP yang terlampir pada VPC atau dengan mengaturnya secara manual pada instans. Jika Anda ingin mengaturnya secara manual, lihat [Bagaimana cara menetapkan server DNS statis ke instans Amazon EC2 privat](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) dalam Pusat Pengetahuan AWS untuk pedoman tentang pengaturan server DNS persisten untuk distribusi dan versi Linux tertentu Anda. 1. Pastikan instans Ubuntu - 64bit Anda adalah yang terbaru. ``` sudo apt-get update sudo apt-get -y upgrade ``` 1. Instal paket Ubuntu yang diperlukan pada instans Linux Anda. **catatan** Beberapa paket ini mungkin sudah diinstal. Ketika Anda menginstal paket, Anda mungkin akan disajikan dengan beberapa layar konfigurasi pop-up. Anda biasanya dapat membiarkan bidang di layar ini kosong. ``` sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli ``` 1. Nonaktifkan resolusi Reverse DNS dan atur ranah default ke FQDN domain Anda. Instans Ubuntu **harus** dapat dipecahkan terbalik di DNS sebelum ranah akan bekerja. Jika tidak, Anda harus menonaktifkan DNS terbalik di /etc/krb5.conf sebagai berikut: ``` sudo vi /etc/krb5.conf ``` ``` [libdefaults] default_realm = EXAMPLE.COM rdns = false ``` 1. Menggabungkan instans ke direktori dengan perintah berikut. ``` sudo realm join -U join_account example.com --verbose ``` *join\$1account@example.com* **AMAccountNama s** untuk akun di *example.com* domain yang memiliki hak istimewa bergabung domain. Masukkan kata sandi untuk akun saat diminta. Untuk informasi selengkapnya tentang mendelegasikan hak istimewa ini, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md). *example.com* Nama DNS yang memenuhi syarat untuk direktori Anda. ``` ... * Successfully enrolled machine in realm ``` 1. Mengatur layanan SSH untuk mengizinkan autentikasi kata sandi. 1. Buka file `/etc/ssh/sshd_config` di editor teks. ``` sudo vi /etc/ssh/sshd_config ``` 1. Atur pengaturan `PasswordAuthentication` ke `yes`. ``` PasswordAuthentication yes ``` 1. Mulai ulang layanan SSH. ``` sudo systemctl restart sshd.service ``` Atau: ``` sudo service sshd restart ``` 1. Setelah instance dimulai ulang, sambungkan dengan klien SSH apa pun dan tambahkan grup Administrator AWS Delegasi ke daftar sudoers dengan melakukan langkah-langkah berikut: 1. Buka file `sudoers` dengan perintah berikut: ``` sudo visudo ``` 1. Tambahkan hal berikut ini ke bagian bawah file `sudoers` dan simpan. ``` ## Add the "AWS Delegated Administrators" group from the example.com domain. %AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL ``` (Contoh di atas menggunakan “\$1" untuk membuat karakter spasi Linux.) ------ ## Membatasi akses login akun Karena semua akun ditetapkan dalam Direktori Aktif, secara default, semua pengguna dalam direktori tersebut dapat masuk ke instans. Anda dapat mengizinkan hanya pengguna tertentu untuk masuk ke instans dengan **ad\$1access\$1filter** di **sssd.conf**. Contoh: ``` ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com) ``` *memberOf* Menunjukkan bahwa pengguna hanya boleh diizinkan akses ke instans jika mereka adalah anggota dari grup tertentu. *cn* Nama umum grup yang harus memiliki akses. Dalam contoh ini, nama grup adalah*admins*. *ou* Ini adalah unit organisasi tempat grup di atas berada. Dalam contoh ini, OU adalah*Testou*. *dc* Ini adalah komponen domain dari domain Anda. Dalam contoh ini,*example*. *dc* Ini adalah komponen domain tambahan. Dalam contoh ini,*com*. Anda harus menambahkan **ad\$1access\$1filter** secara manual ke **/etc/sssd/sssd.conf**. Buka file **/etc/sssd/sssd.conf** di editor teks. ``` sudo vi /etc/sssd/sssd.conf ``` Setelah melakukan hal ini, **sssd.conf** Anda mungkin terlihat seperti ini: ``` [sssd] domains = example.com config_file_version = 2 services = nss, pam [domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com) ``` Agar konfigurasi mulai berlaku, Anda perlu memulai ulang layanan sssd: ``` sudo systemctl restart sssd.service ``` Atau, Anda dapat menggunakan . ``` sudo service sssd restart ``` Karena semua akun ditetapkan dalam Direktori Aktif, secara default, semua pengguna dalam direktori tersebut dapat masuk ke instans. Anda dapat mengizinkan hanya pengguna tertentu untuk masuk ke instans dengan **ad\$1access\$1filter** di **sssd.conf**. Contoh: ``` ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com) ``` *memberOf* Menunjukkan bahwa pengguna hanya boleh diizinkan akses ke instans jika mereka adalah anggota dari grup tertentu. *cn* Nama umum grup yang harus memiliki akses. Dalam contoh ini, nama grup adalah*admins*. *ou* Ini adalah unit organisasi tempat grup di atas berada. Dalam contoh ini, OU adalah*Testou*. *dc* Ini adalah komponen domain dari domain Anda. Dalam contoh ini,*example*. *dc* Ini adalah komponen domain tambahan. Dalam contoh ini,*com*. Anda harus menambahkan **ad\$1access\$1filter** secara manual ke **/etc/sssd/sssd.conf**. 1. Buka file **/etc/sssd/sssd.conf** di editor teks. ``` sudo vi /etc/sssd/sssd.conf ``` 1. Setelah melakukan hal ini, **sssd.conf** Anda mungkin terlihat seperti ini: ``` [sssd] domains = example.com config_file_version = 2 services = nss, pam [domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com) ``` 1. Agar konfigurasi mulai berlaku, Anda perlu memulai ulang layanan sssd: ``` sudo systemctl restart sssd.service ``` Atau, Anda dapat menggunakan . ``` sudo service sssd restart ``` ## Pemetaan ID Pemetaan ID dapat dilakukan dengan dua metode untuk mempertahankan pengalaman terpadu antara UNIX/Linux User Identifier (UID) dan Group Identifier (GID) dan identitas Windows dan Active Directory Security Identifier (SID). Metode-metode ini adalah: 1. Tersentralisasi 1. Didistribusikan **catatan** Pemetaan identitas pengguna terpusat di Active Directory memerlukan Antarmuka Sistem Operasi Portabel atau POSIX. **Pemetaan identitas pengguna terpusat** Active Directory atau layanan Lightweight Directory Access Protocol (LDAP) lainnya menyediakan UID dan GID kepada pengguna Linux. Di Active Directory, pengidentifikasi ini disimpan dalam atribut pengguna jika ekstensi POSIX dikonfigurasi: + UID - Nama pengguna Linux (String) + Nomor UID - Nomor ID Pengguna Linux (Integer) + Nomor GID - Nomor ID Grup Linux (Integer) Untuk mengkonfigurasi instance Linux untuk menggunakan UID dan GID dari Active Directory, atur `ldap_id_mapping = False` dalam file sssd.conf. Sebelum menyetel nilai ini, verifikasi bahwa Anda telah menambahkan UID, nomor UID, dan nomor GID ke pengguna dan grup di Active Directory. **Pemetaan identitas pengguna terdistribusi** Jika Active Directory tidak memiliki ekstensi POSIX atau jika Anda memilih untuk tidak mengelola pemetaan identitas secara terpusat, Linux dapat menghitung nilai UID dan GID. Linux menggunakan Security Identifier (SID) unik pengguna untuk menjaga konsistensi. Untuk mengonfigurasi pemetaan ID pengguna terdistribusi, atur `ldap_id_mapping = True` dalam file sssd.conf. **Masalah umum** Jika Anda mengatur`ldap_id_mapping = False`, terkadang memulai layanan SSSD akan gagal. Alasan kegagalan ini adalah karena perubahan UIDs tidak didukung. Kami menyarankan Anda menghapus cache SSSD setiap kali Anda mengubah dari pemetaan ID ke atribut POSIX atau dari atribut POSIX ke pemetaan ID. Untuk detail lebih lanjut tentang pemetaan ID dan parameter ldap\$1id\$1mapping, lihat halaman manual sssd-ldap (8) di baris perintah Linux. ## Connect ke instance Linux Ketika pengguna terhubung ke instance menggunakan klien SSH, mereka diminta untuk nama pengguna mereka. Pengguna dapat memasukkan nama pengguna dalam `EXAMPLE\username` format `username@example.com` atau. Respons akan muncul mirip dengan yang berikut ini, tergantung pada distribusi Linux yang Anda gunakan: **Amazon Linux, Red Hat Enterprise Linux, dan CentOS Linux** ``` login as: johndoe@example.com johndoe@example.com's password: Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX ``` **SUSE Linux** ``` SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basics Documentation: https://www.suse.com/documentation/sles-15/ Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun... ``` **Ubuntu Linux** ``` login as: admin@example.com admin@example.com@10.24.34.0's password: Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0% ``` # Menggabungkan instans Amazon EC2 Linux secara manual ke Direktori Aktif AWS Microsoft AD Terkelola menggunakan Winbind Anda dapat menggunakan layanan Winbind untuk menggabungkan instans Amazon EC2 Linux secara manual ke domain Direktori Aktif Microsoft AD AWS Terkelola. Ini memungkinkan pengguna Active Directory lokal Anda yang ada untuk menggunakan kredenal Active Directory mereka saat mengakses instance Linux yang bergabung dengan Direktori Aktif AWS Microsoft AD Terkelola Anda. Distribusi instans Linux dan versi berikut ini didukung: + Amazon Linux AMI 2018.03.0 + Amazon Linux 2 (64-bit x86) + Amazon Linux 2023 AMI + Red Hat Enterprise Linux 8 (HVM) (64-bit x86) + Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS + CentOS 7 x86-64 + SUSE Linux Server Perusahaan 15 SP1 **catatan** Distribusi dan versi Linux lainnya mungkin bekerja namun belum diuji. ## Bergabunglah dengan instans Linux ke Direktori Aktif Microsoft AD AWS Terkelola **penting** Beberapa prosedur berikut, jika tidak dilakukan dengan benar, dapat membuat instans anda tidak terjangkau atau tidak dapat digunakan. Oleh karena itu, kami sangat menyarankan Anda membuat backup atau mengambil snapshot dari instans Anda sebelum melakukan prosedur ini. **Untuk menggabungkan instance Linux ke direktori Anda** Ikuti langkah-langkah untuk instans Linux tertentu Anda menggunakan salah satu tab berikut: ------ #### [ Amazon Linux/CENTOS/REDHAT ] 1. Terhubung ke instans menggunakan klien SSH apa saja. 1. Mengkonfigurasi instans Linux untuk menggunakan alamat IP server DNS dari server DNS yang disediakan Directory Service. Anda dapat melakukan ini baik dengan mengaturnya di set Opsi DHCP yang terlampir pada VPC atau dengan mengaturnya secara manual pada instans. Jika Anda ingin mengaturnya secara manual, lihat [Bagaimana cara menetapkan server DNS statis ke instans Amazon EC2 pribadi](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) di AWS Pusat Pengetahuan untuk panduan tentang pengaturan server DNS persisten untuk distribusi dan versi Linux tertentu Anda. 1. Pastikan instans Linux Anda adalah yang terbaru. ``` sudo yum -y update ``` 1. Instal paket Samba / Winbind yang diperlukan pada instans Linux Anda. ``` sudo yum -y install authconfig samba samba-client samba-winbind samba-winbind-clients ``` 1. Buat backup dari file `smb.conf` utama sehingga Anda dapat kembali ke sana jika terjadi kegagalan: ``` sudo cp /etc/samba/smb.conf /etc/samba/smb.bk ``` 1. Buka file konfigurasi [`/etc/samba/smb.conf`] asli di editor teks. ``` sudo vim /etc/samba/smb.conf ``` Isi informasi lingkungan domain Active Directory Anda seperti yang ditunjukkan pada contoh di bawah ini: ``` [global] workgroup = example security = ads realm = example.com idmap config * : rangesize = 1000000 idmap config * : range = 1000000-19999999 idmap config * : backend = autorid winbind enum users = no winbind enum groups = no template homedir = /home/%U@%D template shell = /bin/bash winbind use default domain = false ``` 1. Buka file host [`/etc/hosts`] di editor teks. ``` sudo vim /etc/hosts ``` Tambahkan alamat IP privat instans Linux Anda sebagai berikut: ``` 10.x.x.x Linux_hostname.example.com Linux_hostname ``` **catatan** Jika Anda tidak menentukan alamat IP Anda di file `/etc/hosts`, Anda mungkin menerima error DNS berikut saat menggabungkan instans ke domain.: `No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER` Error ini berarti bahwa penggabungan berhasil tetapi perintah [net ads] tidak dapat mendaftarkan catatan DNS di DNS. 1. Menggabungkan instans Linux ke Direktori Aktif menggunakan utilitas net. ``` sudo net ads join -U join_account@example.com ``` *join\$1account@example.com* Akun di *example.com* domain yang memiliki hak istimewa bergabung domain. Masukkan kata sandi untuk akun saat diminta. Untuk informasi selengkapnya tentang mendelegasikan hak istimewa ini, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md). *example.com* Nama DNS yang memenuhi syarat untuk direktori Anda. ``` Enter join_account@example.com's password: Using short domain name -- example Joined 'IP-10-x-x-x' to dns domain 'example.com' ``` 1. Memodifikasi file konfigurasi PAM, Gunakan perintah di bawah ini untuk menambahkan entri yang diperlukan untuk autentikasi winbind: ``` sudo authconfig --enablewinbind --enablewinbindauth --enablemkhomedir --update ``` 1. Mengatur layanan SSH untuk mengizinkan autentikasi kata sandi dengan mengedit file `/etc/ssh/sshd_config`. 1. Buka file `/etc/ssh/sshd_config` di editor teks. ``` sudo vi /etc/ssh/sshd_config ``` 1. Atur pengaturan `PasswordAuthentication` ke `yes`. ``` PasswordAuthentication yes ``` 1. Mulai ulang layanan SSH. ``` sudo systemctl restart sshd.service ``` Atau: ``` sudo service sshd restart ``` 1. Setelah instans telah dimulai ulang, hubungkan dengan klien SSH dan tambahkan hak istimewa root untuk pengguna atau grup domain ke daftar sudoers dengan melakukan langkah-langkah berikut: 1. Buka file `sudoers` dengan perintah berikut: ``` sudo visudo ``` 1. Tambahkan grup atau pengguna yang diperlukan dari domain Trusting atau Trusted sebagai berikut, dan kemudian simpan. ``` ## Adding Domain Users/Groups. %domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL %domainname\\groupname ALL=(ALL:ALL) ALL domainname\\username ALL=(ALL:ALL) ALL %Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL Trusted_DomainName\\username ALL=(ALL:ALL) ALL ``` (Contoh di atas menggunakan “\$1" untuk membuat karakter spasi Linux.) ------ #### [ SUSE ] 1. Terhubung ke instans menggunakan klien SSH apa saja. 1. Mengkonfigurasi instans Linux untuk menggunakan alamat IP server DNS dari server DNS yang disediakan Directory Service. Anda dapat melakukan ini baik dengan mengaturnya di set Opsi DHCP yang terlampir pada VPC atau dengan mengaturnya secara manual pada instans. Jika Anda ingin mengaturnya secara manual, lihat [Bagaimana cara menetapkan server DNS statis ke instans Amazon EC2 pribadi](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) di AWS Pusat Pengetahuan untuk panduan tentang pengaturan server DNS persisten untuk distribusi dan versi Linux tertentu Anda. 1. Pastikan instans SUSE Linux 15 Anda adalah yang terbaru. 1. Hubungkan repositori paket. ``` sudo SUSEConnect -p PackageHub/15.1/x86_64 ``` 1. Pembaruan SUSE. ``` sudo zypper update -y ``` 1. Instal paket Samba / Winbind yang diperlukan pada instans Linux Anda. ``` sudo zypper in -y samba samba-winbind ``` 1. Buat backup dari file `smb.conf` utama sehingga Anda dapat kembali ke sana jika terjadi kegagalan: ``` sudo cp /etc/samba/smb.conf /etc/samba/smb.bk ``` 1. Buka file konfigurasi [`/etc/samba/smb.conf`] asli di editor teks. ``` sudo vim /etc/samba/smb.conf ``` Isi informasi lingkungan domain direktori Aktif Anda seperti yang ditunjukkan pada contoh di bawah ini: ``` [global] workgroup = example security = ads realm = example.com idmap config * : rangesize = 1000000 idmap config * : range = 1000000-19999999 idmap config * : backend = autorid winbind enum users = no winbind enum groups = no template homedir = /home/%U@%D template shell = /bin/bash winbind use default domain = false ``` 1. Buka file host [`/etc/hosts`] di editor teks. ``` sudo vim /etc/hosts ``` Tambahkan alamat IP privat instans Linux Anda sebagai berikut: ``` 10.x.x.x Linux_hostname.example.com Linux_hostname ``` **catatan** Jika Anda tidak menentukan alamat IP Anda di file `/etc/hosts`, Anda mungkin menerima error DNS berikut saat menggabungkan instans ke domain.: `No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER` Error ini berarti bahwa penggabungan berhasil tetapi perintah [net ads] tidak dapat mendaftarkan catatan DNS di DNS. 1. Menggabungkan instans Linux ke direktori dengan perintah berikut. ``` sudo net ads join -U join_account@example.com ``` *join\$1account* AMAccountNama s di *example.com* domain yang memiliki hak istimewa bergabung domain. Masukkan kata sandi untuk akun saat diminta. Untuk informasi selengkapnya tentang mendelegasikan hak istimewa ini, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md). *example.com* Nama DNS yang memenuhi syarat untuk direktori Anda. ``` Enter join_account@example.com's password: Using short domain name -- example Joined 'IP-10-x-x-x' to dns domain 'example.com' ``` 1. Memodifikasi file konfigurasi PAM, Gunakan perintah di bawah ini untuk menambahkan entri yang diperlukan untuk autentikasi Winbind: ``` sudo pam-config --add --winbind --mkhomedir ``` 1. Buka file konfigurasi Name Service Switch [`/etc/nsswitch.conf`] di editor teks. ``` vim /etc/nsswitch.conf ``` Tambahkan direktif Winbind seperti yang ditunjukkan di bawah ini. ``` passwd: files winbind shadow: files winbind group: files winbind ``` 1. Mengatur layanan SSH untuk mengizinkan autentikasi kata sandi dengan mengedit file `/etc/ssh/sshd_config`. 1. Buka file `/etc/ssh/sshd_config` di editor teks. ``` sudo vim /etc/ssh/sshd_config ``` 1. Atur pengaturan `PasswordAuthentication` ke `yes`. ``` PasswordAuthentication yes ``` 1. Mulai ulang layanan SSH. ``` sudo systemctl restart sshd.service ``` Atau: ``` sudo service sshd restart ``` 1. Setelah instans telah dimulai ulang, hubungkan dengan klien SSH dan tambahkan hak istimewa root untuk pengguna atau grup domain ke daftar sudoers dengan melakukan langkah-langkah berikut: 1. Buka file `sudoers` dengan perintah berikut: ``` sudo visudo ``` 1. Tambahkan grup atau pengguna yang diperlukan dari domain Trusting atau Trusted sebagai berikut, dan kemudian simpan. ``` ## Adding Domain Users/Groups. %domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL %domainname\\groupname ALL=(ALL:ALL) ALL domainname\\username ALL=(ALL:ALL) ALL %Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL Trusted_DomainName\\username ALL=(ALL:ALL) ALL ``` (Contoh di atas menggunakan “\$1" untuk membuat karakter spasi Linux.) ------ #### [ Ubuntu ] 1. Terhubung ke instans menggunakan klien SSH apa saja. 1. Mengkonfigurasi instans Linux untuk menggunakan alamat IP server DNS dari server DNS yang disediakan Directory Service. Anda dapat melakukan ini baik dengan mengaturnya di set Opsi DHCP yang terlampir pada VPC atau dengan mengaturnya secara manual pada instans. Jika Anda ingin mengaturnya secara manual, lihat [Bagaimana cara menetapkan server DNS statis ke instans Amazon EC2 pribadi](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) di AWS Pusat Pengetahuan untuk panduan tentang pengaturan server DNS persisten untuk distribusi dan versi Linux tertentu Anda. 1. Pastikan instans Linux Anda adalah yang terbaru. ``` sudo apt-get -y upgrade ``` 1. Instal paket Samba / Winbind yang diperlukan pada instans Linux Anda. ``` sudo apt -y install samba winbind libnss-winbind libpam-winbind ``` 1. Buat backup dari file `smb.conf` utama sehingga Anda dapat kembali ke sana jika terjadi kegagalan. ``` sudo cp /etc/samba/smb.conf /etc/samba/smb.bk ``` 1. Buka file konfigurasi [`/etc/samba/smb.conf`] asli di editor teks. ``` sudo vim /etc/samba/smb.conf ``` Isi informasi lingkungan domain direktori Aktif Anda seperti yang ditunjukkan pada contoh di bawah ini: ``` [global] workgroup = example security = ads realm = example.com idmap config * : rangesize = 1000000 idmap config * : range = 1000000-19999999 idmap config * : backend = autorid winbind enum users = no winbind enum groups = no template homedir = /home/%U@%D template shell = /bin/bash winbind use default domain = false ``` 1. Buka file host [`/etc/hosts`] di editor teks. ``` sudo vim /etc/hosts ``` Tambahkan alamat IP privat instans Linux Anda sebagai berikut: ``` 10.x.x.x Linux_hostname.example.com Linux_hostname ``` **catatan** Jika Anda tidak menentukan alamat IP Anda di file `/etc/hosts`, Anda mungkin menerima error DNS berikut saat menggabungkan instans ke domain.: `No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER` Error ini berarti bahwa penggabungan berhasil tetapi perintah [net ads] tidak dapat mendaftarkan catatan DNS di DNS. 1. Menggabungkan instans Linux ke Direktori Aktif menggunakan utilitas net. ``` sudo net ads join -U join_account@example.com ``` *join\$1account@example.com* Akun di *example.com* domain yang memiliki hak istimewa bergabung domain. Masukkan kata sandi untuk akun saat diminta. Untuk informasi selengkapnya tentang mendelegasikan hak istimewa ini, lihat [Mendelegasikan hak istimewa bergabung direktori untuk AWS Microsoft AD yang Dikelola](directory_join_privileges.md). *example.com* Nama DNS yang memenuhi syarat untuk direktori Anda. ``` Enter join_account@example.com's password: Using short domain name -- example Joined 'IP-10-x-x-x' to dns domain 'example.com' ``` 1. Memodifikasi file konfigurasi PAM, Gunakan perintah di bawah ini untuk menambahkan entri yang diperlukan untuk autentikasi Winbind: ``` sudo pam-auth-update --add --winbind --enable mkhomedir ``` 1. Buka file konfigurasi Name Service Switch [`/etc/nsswitch.conf`] di editor teks. ``` vim /etc/nsswitch.conf ``` Tambahkan direktif Winbind seperti yang ditunjukkan di bawah ini. ``` passwd: compat winbind group: compat winbind shadow: compat winbind ``` 1. Mengatur layanan SSH untuk mengizinkan autentikasi kata sandi dengan mengedit file `/etc/ssh/sshd_config`. 1. Buka file `/etc/ssh/sshd_config` di editor teks. ``` sudo vim /etc/ssh/sshd_config ``` 1. Atur pengaturan `PasswordAuthentication` ke `yes`. ``` PasswordAuthentication yes ``` 1. Mulai ulang layanan SSH. ``` sudo systemctl restart sshd.service ``` Atau: ``` sudo service sshd restart ``` 1. Setelah instans telah dimulai ulang, hubungkan dengan klien SSH dan tambahkan hak istimewa root untuk pengguna atau grup domain ke daftar sudoers dengan melakukan langkah-langkah berikut: 1. Buka file `sudoers` dengan perintah berikut: ``` sudo visudo ``` 1. Tambahkan grup atau pengguna yang diperlukan dari domain Trusting atau Trusted sebagai berikut, dan kemudian simpan. ``` ## Adding Domain Users/Groups. %domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL %domainname\\groupname ALL=(ALL:ALL) ALL domainname\\username ALL=(ALL:ALL) ALL %Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL Trusted_DomainName\\username ALL=(ALL:ALL) ALL ``` (Contoh di atas menggunakan “\$1" untuk membuat karakter spasi Linux.) ------ ## Connect ke instance Linux Ketika pengguna terhubung ke instance menggunakan klien SSH, mereka diminta untuk nama pengguna mereka. Pengguna dapat memasukkan nama pengguna dalam `EXAMPLE\username` format `username@example.com` atau. Respons akan muncul mirip dengan yang berikut ini, tergantung pada distribusi Linux yang Anda gunakan: **Amazon Linux, Red Hat Enterprise Linux, dan CentOS Linux** ``` login as: johndoe@example.com johndoe@example.com's password: Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX ``` **SUSE Linux** ``` SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basics Documentation: https://www.suse.com/documentation/sles-15/ Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun... ``` **Ubuntu Linux** ``` login as: admin@example.com admin@example.com@10.24.34.0's password: Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0% ```