Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Modi per aggiungere un'istanza Amazon EC2 al tuo Simple AD
<a name="simple_ad_join_instance"></a>

Puoi aggiungere facilmente un'istanza Amazon EC2 al tuo dominio Active Directory quando l'istanza viene lanciata. Per ulteriori informazioni, consulta [Unire un'istanza Windows di Amazon EC2 alla tua directory gestita di AWS Microsoft AD Active Directory](launching_instance.md). [Puoi anche avviare un'istanza EC2 e aggiungerla a un dominio Active Directory direttamente dalla Directory Service console con Automation.AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)

Se devi aggiungere manualmente un'istanza EC2 al tuo dominio Active Directory, devi avviare l'istanza nella regione e nel gruppo di sicurezza o nella sottorete appropriati, quindi aggiungere l'istanza al dominio.

Per essere in grado di connettersi in remoto a queste istanze, è necessario disporre di connettività IP per le istanze dalla rete da cui ti connetti. Nella maggior parte dei casi, questo richiede che un gateway Internet sia associato al VPC e che l'istanza disponga di un indirizzo IP pubblico.

**Topics**
+ [Unire un'istanza Windows di Amazon EC2 al tuo Simple AD Active Directory](simple_ad_launching_instance.md)
+ [Unisci un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory](simple_ad_linux_domain_join.md)
+ [Delega dei privilegi di accesso alle directory per Simple AD](simple_ad_directory_join_privileges.md)
+ [Creazione di un set di opzioni DHCP per Simple AD](simple_ad_dhcp_options_set.md)

# Unire un'istanza Windows di Amazon EC2 al tuo Simple AD Active Directory
<a name="simple_ad_launching_instance"></a>

Puoi avviare e unire un'Windowsistanza Amazon EC2 a un Simple AD. In alternativa, puoi aggiungere manualmente un'Windowsistanza EC2 esistente a un Simple AD

------
#### [ Seamlessly join an EC2 Windows ]

Per aggiungere facilmente un dominio a un'istanza EC2, devi completare quanto segue:

**Prerequisiti**
+ Crea un Simple AD Per saperne di più, vedi[Crea il tuo Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).
+ Avrai bisogno delle seguenti autorizzazioni IAM per unirti senza problemi a un'istanza Windows EC2:
  + Profilo di istanza IAM con le seguenti autorizzazioni IAM:
    + `AmazonSSMManagedInstanceCore`
    + `AmazonSSMDirectoryServiceAccess`
  + Il dominio utente che unisce perfettamente EC2 a Simple AD necessita delle seguenti autorizzazioni IAM:
    + Directory Service Autorizzazioni:
      + `"ds:DescribeDirectories"`
      + `"ds:CreateComputer"`
    + Autorizzazioni Amazon VPC:
      + `"ec2:DescribeVpcs"`
      + `"ec2:DescribeSubnets"`
      + `"ec2:DescribeNetworkInterfaces"`
      + `"ec2:CreateNetworkInterface"`
      + `"ec2:AttachNetworkInterface"`
    + Autorizzazioni EC2:
      + `"ec2:DescribeInstances"`
      + `"ec2:DescribeImages"`
      + `"ec2:DescribeInstanceTypes"`
      + `"ec2:RunInstances"`
      + `"ec2:CreateTags"`
    + AWS Systems Manager Autorizzazioni:
      + `"ssm:DescribeInstanceInformation"`
      + `"ssm:SendCommand"`
      + `"ssm:GetCommandInvocation"`
      + `"ssm:CreateBatchAssociation"`

Quando viene creato Simple AD, viene creato un gruppo di sicurezza con regole in entrata e in uscita. Per ulteriori informazioni su queste regole e porte, consulta. [Cosa viene creato con il tuo Simple AD](simple_ad_what_gets_created.md) Per aggiungere facilmente un dominio a un'Windowsistanza EC2, il VPC su cui stai lanciando l'istanza deve consentire le stesse porte consentite nelle regole in entrata e in uscita del gruppo di sicurezza Simple AD.
+ A seconda della sicurezza di rete e delle impostazioni del firewall, potrebbe esserti richiesto di consentire traffico in uscita aggiuntivo. Questo traffico sarebbe destinato a HTTPS (porta 443) verso i seguenti endpoint:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/simple_ad_launching_instance.html)
+ Ti consigliamo di utilizzare un server DNS che risolva il tuo nome di dominio Simple AD. A tale scopo, è possibile creare un set di opzioni DHCP. Per ulteriori informazioni, consulta [Creazione di un set di opzioni DHCP per Simple AD](simple_ad_dhcp_options_set.md).
  + Se scegli di non creare un set di opzioni DHCP, i tuoi server DNS saranno statici e configurati dal tuo Simple AD.

1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Nella barra di navigazione, scegli la Regione AWS stessa cartella esistente.

1. Nel **Pannello di controllo EC2**, nella sezione **Avvia istanza**, scegli **Avvia istanza**.

1. Nella pagina **Avvia un'istanza**, nella sezione **Nome e tag**, inserisci il nome che desideri utilizzare per la tua istanza Windows EC2.

1.  (Facoltativo) Scegli **Aggiungi tag aggiuntivo**, per aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa istanza EC2. 

1. Nella sezione **Applicazione e immagine del sistema operativo (Amazon Machine Image)**, scegli **Windows** nel riquadro **Guida rapida**. Puoi modificare l'Amazon Machine Image (AMI) di Windows dall'elenco a discesa **Amazon Machine Image (AMI)**. 

1. Nella sezione **Tipo di istanza**, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa **Tipo di istanza**.

1. Nella sezione **Coppia di chiavi (accesso)**, puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente.

   1. Per creare una nuova coppia di chiavi, scegli **Crea nuova coppia di chiavi**.

   1. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il **Tipo di coppia di chiavi** e il **Formato del file della chiave privata**.

   1.  Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegli **.pem**. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegli **.ppk**.

   1. Scegli **crea coppia di chiavi**.

   1. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.
**Importante**  
Questo è l'unico momento in cui salvare il file della chiave privata.

1. Nella pagina **Avvia un'istanza**, nella sezione **Impostazioni di rete**, scegli **Modifica**. Scegli il **VPC** in cui è stata creata la tua directory dall'elenco a discesa **VPC -* obbligatorio***.

1. Scegli una delle sottoreti pubbliche nel tuo VPC dall'elenco a discesa **Sottorete**. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

   Per ulteriori informazioni su come connettersi a un gateway Internet, consulta [Eseguire la connessione a Internet utilizzando un gateway Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) nella *Guida per l'utente di Amazon VPC*.

1. In **Assegna automaticamente IP pubblico**, scegli **Abilita**.

   Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta la sezione [Indirizzamento IP delle istanze Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) nella *Amazon EC2* User Guide.

1. Nelle impostazioni **Firewall (gruppi di sicurezza)**, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze. 

1. Nelle impostazioni **Configurazione dell'archiviazione**, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

1. Seleziona la sezione **Dettagli avanzati**, scegli il tuo dominio dall'elenco a discesa **Directory di aggiunta al dominio**.
**Nota**  
Dopo aver scelto la directory di accesso al dominio, potresti vedere:   

![\[Un messaggio di errore quando si seleziona la directory di accesso al dominio. C'è un errore con il documento SSM esistente.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Questo errore si verifica se la procedura guidata di avvio di EC2 identifica un documento SSM esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:  
Se in precedenza hai modificato il documento SSM e le proprietà sono previste, scegli chiudi e procedi all'avvio dell'istanza EC2 senza modifiche.
Seleziona qui il link Elimina il documento SSM esistente per eliminare il documento SSM. Ciò consentirà la creazione di un documento SSM con le proprietà corrette. Il documento SSM verrà creato automaticamente all'avvio dell'istanza EC2.

1. In **Profilo dell'istanza IAM**, puoi selezionare un profilo dell'istanza IAM esistente o crearne uno nuovo. Seleziona un profilo di istanza IAM a cui sono SSMDirectory ServiceAccess associate le policy AWS gestite **Amazon SSMManaged InstanceCore** **e Amazon** dall'elenco a discesa del **profilo dell'istanza IAM**. Per crearne uno nuovo, scegli il link **Crea nuovo profilo IAM**, quindi procedi come segue: 

   1. Scegli **Crea ruolo**.

   1. In **Seleziona entità attendibile**, scegli **Servizio AWS **.

   1. Per **Caso d’uso**, seleziona **EC2**.

   1.  In **Aggiungi autorizzazioni**, nell'elenco delle politiche, seleziona le SSMDirectory ServiceAccess politiche di **Amazon SSMManaged InstanceCore** e **Amazon**. Nella casella di ricerca, digita **SSM** per filtrare l'elenco. Scegli **Next (Successivo)**. 
**Nota**  
**Amazon SSMDirectory ServiceAccess** fornisce le autorizzazioni per unire le istanze a un Active Directory gestito da. Directory Service**Amazon SSMManaged InstanceCore** fornisce le autorizzazioni minime necessarie per utilizzare il AWS Systems Manager servizio. Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che puoi assegnare al tuo ruolo IAM, consulta [Creazione di un profilo dell'istanza IAM per Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) nella *Guida per l'utente di AWS Systems Manager *.

   1. Nella pagina **Denomina, rivedi e crea** inserisci un **Nome ruolo**. È necessario aggiungere questo nome del ruolo all'istanza EC2.

   1. (Facoltativo) Puoi fornire una descrizione del profilo dell'istanza IAM nel campo **Descrizione**.

   1. Scegli **Crea ruolo**.

   1.  Torna alla pagina **Avvia un'istanza** e scegli l'icona di aggiornamento accanto al **profilo dell'istanza IAM**. Il tuo nuovo profilo dell'istanza IAM dovrebbe essere visibile nell'elenco a discesa **Profilo dell'istanza IAM**. Scegli il nuovo profilo e lascia il resto delle impostazioni con i valori predefiniti. 

1. Scegliere **Launch Instance (Avvia istanza)**.

------
#### [ Manually join an EC2 Windows ]

Per unire manualmente un'istanza Amazon EC2 Windows esistente a un Simple AD Active Directory, l'istanza deve essere avviata utilizzando i parametri specificati in. [Unire un'istanza Windows di Amazon EC2 al tuo Simple AD Active Directory](#simple_ad_launching_instance)

Avrai bisogno degli indirizzi IP dei server DNS Simple AD. Queste informazioni sono disponibili nelle sezioni **Servizi di directory** > **Directory** > **ID directory** relativo alla directory > **Dettagli della directory** e **Rete e sicurezza**.

![\[Nella Directory Service console, nella pagina dei dettagli della directory, vengono evidenziati gli indirizzi IP dei server DNS Directory Service forniti.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/directory_details_highlighted.png)


**Per aggiungere un'istanza di Windows a un Active Directory Simple AD**

1. Connettiti all'istanza utilizzando qualsiasi client Remote Desktop Protocol.

1. Aprire la finestra di dialogo TCP/ IPv4 properties sull'istanza.

   1. Apri **Network Connections (Connessioni di rete)**.
**Suggerimento**  
Puoi aprire le **Network Connections (Connessioni di rete)** direttamente eseguendo quanto segue da un prompt del comando sull'istanza.  

      ```
      %SystemRoot%\system32\control.exe ncpa.cpl
      ```

   1. Apri il menu contestuale (fai clic con il pulsante destro del mouse) per qualsiasi connessione di rete abilitata e scegli **Properties (Proprietà)**.

   1. Nella finestra di dialogo delle proprietà di connessione, apri (doppio clic) **Internet Protocol Version 4 (Protocollo Internet versione 4)**.

1. **Seleziona **Utilizza i seguenti indirizzi di server DNS, modifica gli indirizzi** del **server DNS preferito e del server** **DNS alternativo con gli indirizzi IP dei server DNS** forniti da Simple AD e scegli OK.**  
![\[La finestra di dialogo delle proprietà del protocollo Internet versione 4 (TCP/IPv4) con i campi del server DNS preferito e del server DNS alternativo evidenziati.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/dns_server_addresses.png)

1. Apri la finestra di dialogo **System Properties (Proprietà del sistema)** per l'istanza, seleziona la scheda **Computer Name (Nome computer)** e scegli **Change (Modifica)**.
**Suggerimento**  
Puoi aprire la finestra di dialogo **System Properties (Proprietà di sistema)** direttamente eseguendo quanto segue da un prompt del comando sull'istanza.  

   ```
   %SystemRoot%\system32\control.exe sysdm.cpl
   ```

1. Nel campo **Membro di**, seleziona **Dominio**, inserisci il nome completo del tuo Simple AD Active Directory e scegli **OK**.

1. Quando viene richiesto di specificare il nome e la password per l'amministratore del dominio, immetti il nome utente e la password di un account che dispone di privilegi di aggiunta di dominio. Per ulteriori informazioni sulla delega di questi privilegi, consulta [Delega dei privilegi di accesso alle directory per Simple AD](simple_ad_directory_join_privileges.md).
**Nota**  
È possibile immettere il nome completo del dominio o il nome NetBIOS, seguito da una barra rovesciata (\$1) e quindi dal nome utente. **Il nome utente sarebbe Administrator.** Ad esempio **corp.example.com\$1administrator** o **corp\$1administrator**.

1. Dopo aver ricevuto il messaggio che ti invita al dominio, riavvia l'istanza perché le modifiche diventino effettive.

Ora che l'istanza è stata aggiunta al dominio Simple AD Active Directory, puoi accedere all'istanza in remoto e installare le utilità per gestire la directory, ad esempio aggiungere utenti e gruppi. Gli strumenti di amministrazione di Active Directory possono essere utilizzati per creare utenti e gruppi. Per ulteriori informazioni, consulta [Installazione degli strumenti di amministrazione di Active Directory per Simple AD](simple_ad_install_ad_tools.md).

------

# Unisci un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory
<a name="simple_ad_linux_domain_join"></a>

Puoi avviare e aggiungere un'istanza Amazon EC2 Linux al tuo Simple AD in. Console di gestione AWS Puoi anche aggiungere manualmente un'istanza EC2 Linux al tuo Simple AD.

Sono supportate le seguenti distribuzioni e versioni di istanze Linux:
+ AMI Amazon Linux 2018.03.0
+ Amazon Linux 2 (64-bit x86)
+ Red Hat Enterprise Linux 8 (HVM) (64-bit x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**Nota**  
Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 e 8 non supportano la funzionalità seamless domain join.

**Topics**
+ [Unisci senza problemi un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory](simple_ad_seamlessly_join_linux_instance.md)
+ [Unisci manualmente un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory](simple_ad_join_linux_instance.md)

# Unisci senza problemi un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory
<a name="simple_ad_seamlessly_join_linux_instance"></a>

Questa procedura unisce senza problemi un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory.

Sono supportate le seguenti distribuzioni e versioni di istanze Linux:
+ AMI Amazon Linux 2018.03.0
+ Amazon Linux 2 (64-bit x86)
+ Red Hat Enterprise Linux 8 (HVM) (64-bit x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**Nota**  
Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 e 8 non supportano la funzionalità seamless domain join.

## Prerequisiti
<a name="simple_ad_seamless-linux-prereqs"></a>

Prima di poter configurare Seamless Domain Join su un'istanza Linux, è necessario completare le procedure descritte in questa sezione.

### Selezione dell'account del servizio di aggiunta ottimizzata del dominio
<a name="simple_ad_seamless-linux-prereqs-select"></a>

Puoi aggiungere in modo ottimizzato computer Linux al tuo dominio Simple AD. A tale scopo, devi creare un account utente con le autorizzazioni di creazione di account di computer per aggiungere i computer al dominio. Sebbene i membri degli *Amministratori di dominio* o di altri gruppi possano disporre di privilegi sufficienti per aggiungere computer al dominio, questa operazione non è consigliata. Come procedura consigliata, suggeriamo di utilizzare un account del servizio con i privilegi minimi necessari per aggiungere i computer al dominio.

Per informazioni su come elaborare e delegare le autorizzazioni all'account del servizio per la creazione di account del computer, consulta [Delegare privilegi all'account del servizio](ad_connector_getting_started.md#connect_delegate_privileges).

### Creazione dei segreti per archiviare l'account del servizio di dominio
<a name="-create-secrets"></a>

È possibile utilizzare Gestione dei segreti AWS per archiviare l'account del servizio di dominio. Per ulteriori informazioni, consulta [Creare un Gestione dei segreti AWS segreto](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html).

**Nota**  
Secrets Manager è a pagamento. Per ulteriori informazioni, consulta la sezione [Prezzi](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) nella *Guida Gestione dei segreti AWS per l'utente*.

**Per creare segreti e archiviare le informazioni sull'account del servizio di dominio**

1. Accedi Console di gestione AWS e apri la Gestione dei segreti AWS console all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Scegli **Archivia un nuovo segreto**. 

1. Nella pagina **Archivia un nuovo segreto**, procedere nel seguente modo:

   1. In **Tipo segreto**, scegli **Altro tipo di segreti**.

   1. In **Coppie chiave/valore**, procedi come segue:

      1. Nella prima casella, inserisci **awsSeamlessDomainUsername**. Nella stessa riga, nella casella successiva, inserisci il nome utente per il tuo account di servizio. Ad esempio, se hai utilizzato il PowerShell comando in precedenza, il nome dell'account del servizio sarebbe**awsSeamlessDomain**.
**Nota**  
Devi inserire **awsSeamlessDomainUsername** esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.   
![\[Nella Gestione dei segreti AWS console nella pagina Scegli un tipo segreto. Un altro tipo di segreto viene selezionato in Tipo segreto e awsSeamlessDomainUsername immesso come valore chiave.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/secrets_manager_1.png)

      1. Scegli **Aggiungi riga**.

      1. Nella nuova riga, nella prima casella, inserisci **awsSeamlessDomainPassword**. Nella stessa riga, nella casella successiva, inserisci la password per il tuo account del servizio.
**Nota**  
Devi inserire **awsSeamlessDomainPassword** esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo. 

      1. In **Chiave di crittografia,** lascia il valore predefinito`aws/secretsmanager`. Gestione dei segreti AWS crittografa sempre il segreto quando scegli questa opzione. Puoi anche scegliere una chiave creata da te.

      1. Scegli **Next (Successivo)**.

1. In **Nome segreto**, inserisci un nome segreto che includa l'ID della tua directory utilizzando il seguente formato, sostituendolo *d-xxxxxxxxx* con il tuo ID di directory:

   ```
   aws/directory-services/d-xxxxxxxxx/seamless-domain-join
   ```

   Questo nome viene utilizzato per recuperare i segreti nell'applicazione.
**Nota**  
Devi inserirlo **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** esattamente così com'è, ma sostituirlo *d-xxxxxxxxxx* con l'ID della tua directory. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.   
![\[Nella Gestione dei segreti AWS console nella pagina segreta di configurazione. Il nome segreto viene inserito ed evidenziato.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/secrets_manager_2.png)

1. Lascia tutto il resto impostato sui valori predefiniti, quindi scegli **Avanti.**

1. In **Configura rotazione automatica**, lascia selezionata **Disabilita rotazione automatica** e scegli **Successivo**.

   Puoi attivare la rotazione di questo segreto dopo averlo archiviato.

1. Controlla le impostazioni, quindi scegli **Archivia** per salvare le modifiche. La console Secrets Manager restituisce l'elenco dei segreti nel tuo account con il nuovo segreto ora incluso nell'elenco. 

1. Scegli il nome segreto appena creato dall'elenco e prendi nota del valore **ARN segreto**. Lo utilizzerai nella sezione successiva.

### Attiva la rotazione per il segreto dell'account del servizio di dominio
<a name="seamless-linux-prereqs-turn-on-rotation"></a>

Ti consigliamo di modificare regolarmente i segreti per migliorare il tuo livello di sicurezza. 

**Per attivare la rotazione per il segreto dell'account del servizio di dominio**
+ Segui le istruzioni in [Configurare la rotazione automatica per Gestione dei segreti AWS i segreti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) nella *Guida per l'Gestione dei segreti AWS utente*.

  Per il passaggio 5, utilizzare il modello di rotazione [Microsoft Active Directory credenziali](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) nella *Guida per l'Gestione dei segreti AWS utente*.

  *Per assistenza, consulta [Risoluzione dei problemi di Gestione dei segreti AWS rotazione](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) nella Guida per l'Gestione dei segreti AWS utente.*

### Creazione della policy e del ruolo IAM richiesti
<a name="seamless-linux-prereqs-create-policy"></a>

Utilizza i seguenti passaggi preliminari per creare una policy personalizzata che consenta l'accesso in sola lettura al tuo Secrets Manager seamless domain join secret (che hai creato in precedenza) e per creare un nuovo ruolo Linux IAM. EC2 DomainJoin 

#### Creazione della policy di lettura IAM di Secrets Manager
<a name="seamless-linux-prereqs-create-policy-step1"></a>

Utilizzi la console IAM per creare una policy che conceda l'accesso in sola lettura al segreto di Secrets Manager.

**Per creare la policy di lettura IAM di Secrets Manager**

1. Accedi Console di gestione AWS come utente autorizzato a creare policy IAM. Quindi apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione, **Gestione degli accessi**, scegli **Politiche**.

1. Scegli **Crea policy**.

1. Seleziona la scheda **JSON** e copia il testo dal documento della seguente policy JSON. Quindi incollalo nella casella di testo **JSON**.
**Nota**  
Assicurati di sostituire l'ARN della regione e della risorsa con la regione e l'ARN effettivi del segreto che hai creato in precedenza.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }
   ```

1. Quando hai terminato, seleziona **Successivo**. In Validatore di policy vengono segnalati eventuali errori di sintassi. Per ulteriori informazioni, consulta [Convalida delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).

1. Nella pagina **Verifica policy**, inserisci un nome per la policy, ad esempio **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Consulta la sezione **Riepilogo** per visualizzare le autorizzazioni concesse dalla policy. Seleziona **Crea policy** per salvare le modifiche. La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegarsi a un'identità.

**Nota**  
Consigliamo di creare una policy per ogni segreto. In questo modo, ti assicuri che le istanze abbiano accesso solo al segreto in questione e riduci al minimo l'impatto se un'istanza viene compromessa. 

#### Crea il ruolo Linux EC2 DomainJoin
<a name="seamless-linux-prereqs-create-policy-step2"></a>

Utilizzi la console IAM per creare il ruolo che userai per aggiungere il dominio alla tua istanza EC2 Linux.

**Per creare il EC2 DomainJoin ruolo Linux**

1. Accedi Console di gestione AWS come utente autorizzato a creare policy IAM. Quindi apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, in **Gestione degli accessi**, scegli **Ruoli**.

1. Nel riquadro del contenuto seleziona **Crea ruolo**.

1. In **Select type of trusted entity** (Seleziona tipo di entità attendibile), scegli **AWS service** (Servizio).

1. **In Caso d'uso**, scegli **EC2**, quindi scegli **Avanti**.  
![\[Nella console IAM, nella pagina Seleziona un'entità affidabile. AWS service ed EC2 sono selezionati.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)

1. In **Filtra policy**‬, procedi come segue:

   1. Specificare **AmazonSSMManagedInstanceCore**. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

   1. Specificare **AmazonSSMDirectoryServiceAccess**. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

   1. Inserisci **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (o il nome della policy creata nella procedura precedente). Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

   1. Dopo aver aggiunto le tre politiche sopra elencate, seleziona **Crea ruolo**.
**Nota**  
Amazon SSMDirectory ServiceAccess fornisce le autorizzazioni per unire le istanze a un Active Directory gestito da. Directory Service Amazon SSMManaged InstanceCore fornisce le autorizzazioni minime necessarie per utilizzare il AWS Systems Manager servizio. Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che puoi assegnare al tuo ruolo IAM, consulta [Creazione di un profilo dell'istanza IAM per Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) nella *Guida per l'utente di AWS Systems Manager *.

1. Inserisci un nome per il tuo nuovo ruolo, ad esempio **LinuxEC2DomainJoin** o un altro nome che preferisci nel campo **Nome del ruolo**.

1. (Facoltativo) Per **Role Description (Descrizione ruolo)**, immetti una descrizione.

1. (Facoltativo) Scegli **Aggiungi nuovo tag** nel **Passaggio 3: Aggiungi tag** per aggiungere tag. Le coppie chiave-valore dei tag vengono utilizzate per organizzare, tracciare o controllare l'accesso per questo ruolo.

1. Scegli **Crea ruolo**.

## Unisci senza problemi un'istanza Linux al tuo Simple AD Active Directory
<a name="simple_ad_seamless-linux-join-instance"></a>

**Per unire senza problemi la tua istanza Linux**

1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Dal selettore della regione nella barra di navigazione, scegli la Regione AWS stessa cartella esistente.

1. Nel **Pannello di controllo EC2**, nella sezione **Avvia istanza**, scegli **Avvia istanza**.

1. Nella pagina **Avvia un'istanza**, nella sezione **Nome e tag**, inserisci il nome che desideri utilizzare per la tua istanza Linux EC2.

1.  *(Facoltativo)* Scegli **Aggiungi tag aggiuntivi** per aggiungere una o più coppie chiave-valore di tag per organizzare, tracciare o controllare l'accesso per questa istanza EC2. 

1. Nella sezione **Applicazione e immagine del sistema operativo (Amazon Machine Image)**, scegli un'AMI Linux che desideri avviare.
**Nota**  
L'AMI utilizzato deve avere AWS Systems Manager (SSM Agent) la versione 2.3.1644.0 o successiva. Per verificare la versione dell'Agente SSM installata nell'AMI avviando un'istanza da quest'ultima, consulta [Ottenere la versione dell'Agente SSM attualmente installata](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Se è necessario aggiornare l'Agente SSM, consulta [Installazione e configurazione dell'Agente SSM su istanze EC2 per Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).  
SSM utilizza il `aws:domainJoin` plug-in quando aggiunge un'istanza Linux a un dominio Active Directory. Il plugin cambia il nome host per le istanze Linux nel formato EC2 AMAZ-. *XXXXXXX* *Per ulteriori informazioni in merito`aws:domainJoin`, consultate [AWS Systems Manager Command Document Plugin reference nella Guida](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) per l'AWS Systems Manager utente.*

1. Nella sezione **Tipo di istanza**, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa **Tipo di istanza**.

1. Nella sezione **Coppia di chiavi (accesso)**, puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente. Per creare una nuova coppia di chiavi, scegli **Crea nuova coppia di chiavi**. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il **Tipo di coppia di chiavi** e il **Formato del file della chiave privata**. Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegli **.pem**. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegli **.ppk**. Scegli **crea coppia di chiavi**. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.
**Importante**  
Questo è l'unico momento in cui salvare il file della chiave privata.

1. Nella pagina **Avvia un'istanza**, nella sezione **Impostazioni di rete**, scegli **Modifica**. Scegli il **VPC** in cui è stata creata la tua directory dall'elenco a discesa **VPC -* obbligatorio***.

1. Scegli una delle sottoreti pubbliche nel tuo VPC dall'elenco a discesa **Sottorete**. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

   Per ulteriori informazioni su come connettersi a un gateway Internet, consulta [Eseguire la connessione a Internet utilizzando un gateway Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) nella *Guida per l'utente di Amazon VPC*.

1. In **Assegna automaticamente IP pubblico**, scegli **Abilita**.

   Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta la sezione [Indirizzamento IP delle istanze Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) nella *Amazon EC2* User Guide.

1. Nelle impostazioni **Firewall (gruppi di sicurezza)**, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze. 

1. Nelle impostazioni **Configurazione dell'archiviazione**, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

1. Seleziona la sezione **Dettagli avanzati**, scegli il tuo dominio dall'elenco a discesa **Directory di aggiunta al dominio**.
**Nota**  
Dopo aver scelto la directory di accesso al dominio, potresti vedere:   

![\[Un messaggio di errore quando si seleziona la directory di accesso al dominio. C'è un errore con il documento SSM esistente.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Questo errore si verifica se la procedura guidata di avvio di EC2 identifica un documento SSM esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:  
Se in precedenza hai modificato il documento SSM e le proprietà sono previste, scegli chiudi e procedi all'avvio dell'istanza EC2 senza modifiche.
Seleziona qui il link Elimina il documento SSM esistente per eliminare il documento SSM. Ciò consentirà la creazione di un documento SSM con le proprietà corrette. Il documento SSM verrà creato automaticamente all'avvio dell'istanza EC2.

1. Per il **profilo dell'istanza IAM**, scegli il ruolo IAM creato in precedenza nella sezione dei prerequisiti **Fase 2: Creazione del** ruolo Linux. EC2 DomainJoin 

1. Scegliere **Launch Instance (Avvia istanza)**.

**Nota**  
Se stai eseguendo l'aggiunta ottimizzata di un dominio con SUSE Linux, è necessario un riavvio prima che le autenticazioni funzionino. **Per riavviare SUSE dal terminale Linux, digita sudo reboot**.

# Unisci manualmente un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory
<a name="simple_ad_join_linux_instance"></a>

Oltre alle istanze Windows di Amazon EC2, puoi anche aggiungere determinate istanze Amazon EC2 Linux alla tua Simple AD Active Directory. Sono supportate le seguenti distribuzioni e versioni di istanze Linux:
+ AMI Amazon Linux 2018.03.0
+ Amazon Linux 2 (64-bit x86)
+ AMI Amazon Linux 2023
+ Red Hat Enterprise Linux 8 (HVM) (64-bit x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**Nota**  
Le altre distribuzioni e versioni di Linux potrebbero non funzionare, sebbene non siano state testate.

## Prerequisiti
<a name="simple_ad_join_linux_prereq"></a>

Prima di poter collegare un'istanza Amazon Linux, CentOS, Red Hat o Ubuntu alla tua directory, l'istanza deve essere avviata come specificato in [Unisci senza problemi un'istanza Amazon EC2 Linux al tuo Simple AD Active Directory](simple_ad_seamlessly_join_linux_instance.md).

**Importante**  
Alcune delle procedure seguenti, se non eseguite correttamente, possono rendere l'istanza non raggiungibile o inutilizzabile. Pertanto, ti consigliamo vivamente di effettuare un backup o effettuare uno snapshot dell'istanza prima di eseguire queste procedure.

**Per collegare un'istanza Linux alla tua directory**  
Segui i passaggi descritti per l'istanza Linux specifica utilizzando una delle seguenti schede:

------
#### [ Amazon Linux ]<a name="amazonlinux"></a>

1. Connettiti all'istanza tramite qualsiasi client SSH.

1. Configura l'istanza Linux per utilizzare gli indirizzi IP dei server DNS dei server DNS Directory Service forniti. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC o effettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente, consulta [Come assegnare un server DNS statico a un'istanza Amazon EC2 privata](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) in AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per la tua distribuzione e versione specifica di Linux.

1. Assicurati che l'istanza di Amazon Linux a 64 bit sia aggiornata.

   ```
   sudo yum -y update
   ```

1. Installa i pacchetti Amazon Linux necessari sull'istanza Linux.
**Nota**  
Alcuni di questi pacchetti potrebbero essere già installati.   
Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup di configurazione. In generale, puoi lasciare vuoti i campi di queste schermate.  
Amazon Linux  

   ```
   sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
   ```
**Nota**  
Per informazioni su come determinare la versione di Amazon Linux in uso, consulta [Identificazione delle immagini di Amazon Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id) nella *Guida per l'utente di Amazon EC2 per le istanze Linux*.

1. Collega l'istanza alla directory tramite il comando seguente. 

   ```
   sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
   ```  
*join\$1account@EXAMPLE.COM*  
Un account nel *example.com* dominio con privilegi di accesso al dominio. Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulla delega di questi privilegi, consulta [Delega dei privilegi di accesso alle directory per Managed AWS Microsoft AD](directory_join_privileges.md).  
*example.com*  
Il nome completo del DNS della directory.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Imposta il servizio SSH per permettere l'autenticazione della password.

   1. Apri il file `/etc/ssh/sshd_config` in un editor di testo.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Imposta `PasswordAuthentication` su `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Riavvia il servizio SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      In alternativa:

      ```
      sudo service sshd restart
      ```

1. Dopo il riavvio dell'istanza, connettiti a essa tramite qualsiasi client SSH, quindi aggiungi il gruppo di amministratori di dominio all'elenco dei sudoers seguendo la procedura seguente:

   1. Apri il file `sudoers` tramite il comando seguente:

      ```
      sudo visudo
      ```

   1. Aggiungi il codice seguente alla fine del file `sudoers` e salva il file.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (L'esempio precedente utilizza "\$1<space>" per creare il carattere di spazio di Linux).

------
#### [ CentOS ]<a name="centos"></a>

1. Connettiti all'istanza tramite qualsiasi client SSH.

1. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS dei server DNS Directory Service forniti. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC o effettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente, consulta [Come assegnare un server DNS statico a un'istanza Amazon EC2 privata](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) in AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per la tua distribuzione e versione specifica di Linux.

1. Assicurati che l'istanza di CentOS 7 sia aggiornata.

   ```
   sudo yum -y update
   ```

1. Installa i pacchetti CentOS 7 necessari sull'istanza Linux.
**Nota**  
Alcuni di questi pacchetti potrebbero essere già installati.   
Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup di configurazione. In generale, puoi lasciare vuoti i campi di queste schermate.

   ```
   sudo yum -y install sssd realmd krb5-workstation samba-common-tools
   ```

1. Collega l'istanza alla directory tramite il comando seguente. 

   ```
   sudo realm join -U join_account@example.com example.com --verbose
   ```  
*join\$1account@example.com*  
Un account nel *example.com* dominio con privilegi di accesso al dominio. Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulla delega di questi privilegi, consulta [Delega dei privilegi di accesso alle directory per Managed AWS Microsoft AD](directory_join_privileges.md).  
*example.com*  
Il nome completo del DNS della directory.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Imposta il servizio SSH per permettere l'autenticazione della password.

   1. Apri il file `/etc/ssh/sshd_config` in un editor di testo.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Imposta `PasswordAuthentication` su `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Riavvia il servizio SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      In alternativa:

      ```
      sudo service sshd restart
      ```

1. Dopo il riavvio dell'istanza, connettiti a essa tramite qualsiasi client SSH, quindi aggiungi il gruppo di amministratori di dominio all'elenco dei sudoers seguendo la procedura seguente:

   1. Apri il file `sudoers` tramite il comando seguente:

      ```
      sudo visudo
      ```

   1. Aggiungi il codice seguente alla fine del file `sudoers` e salva il file.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (L'esempio precedente utilizza "\$1<space>" per creare il carattere di spazio di Linux).

------
#### [ Red hat ]<a name="redhat"></a>

1. Connettiti all'istanza tramite qualsiasi client SSH.

1. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS dei server DNS Directory Service forniti. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC o effettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente, consulta [Come assegnare un server DNS statico a un'istanza Amazon EC2 privata](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) in AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per la tua distribuzione e versione specifica di Linux.

1. Assicurati che l'istanza Red Hat - 64bit sia aggiornata.

   ```
   sudo yum -y update
   ```

1. Installa i pacchetti Red Hat necessari nell'istanza Linux.
**Nota**  
Alcuni di questi pacchetti potrebbero essere già installati.   
Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup di configurazione. In generale, puoi lasciare vuoti i campi di queste schermate.

   ```
   sudo yum -y install sssd realmd krb5-workstation samba-common-tools
   ```

1. Collega l'istanza alla directory tramite il comando seguente. 

   ```
   sudo realm join -v -U join_account example.com --install=/
   ```  
*join\$1account*  
Il **AMAccountnome s** di un account nel *example.com* dominio che dispone dei privilegi di accesso al dominio. Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulla delega di questi privilegi, consulta [Delega dei privilegi di accesso alle directory per Managed AWS Microsoft AD](directory_join_privileges.md).  
*example.com*  
Il nome completo del DNS della directory.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Imposta il servizio SSH per permettere l'autenticazione della password.

   1. Apri il file `/etc/ssh/sshd_config` in un editor di testo.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Imposta `PasswordAuthentication` su `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Riavvia il servizio SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      In alternativa:

      ```
      sudo service sshd restart
      ```

1. Dopo il riavvio dell'istanza, connettiti a essa tramite qualsiasi client SSH, quindi aggiungi il gruppo di amministratori di dominio all'elenco dei sudoers seguendo la procedura seguente:

   1. Apri il file `sudoers` tramite il comando seguente:

      ```
      sudo visudo
      ```

   1. Aggiungi il codice seguente alla fine del file `sudoers` e salva il file.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (L'esempio precedente utilizza "\$1<space>" per creare il carattere di spazio di Linux).

------
#### [ Ubuntu ]<a name="ubuntu"></a>

1. Connettiti all'istanza tramite qualsiasi client SSH.

1. Configura l'istanza Linux per utilizzare gli indirizzi IP dei server DNS dei server DNS Directory Service forniti. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC o effettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente, consulta [Come assegnare un server DNS statico a un'istanza Amazon EC2 privata](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) in AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per la tua distribuzione e versione specifica di Linux.

1. Assicurati che l'istanza Ubuntu - 64bit sia aggiornata.

   ```
   sudo apt-get update
   sudo apt-get -y upgrade
   ```

1. Installa i pacchetti Ubuntu necessari nell'istanza Linux.
**Nota**  
Alcuni di questi pacchetti potrebbero essere già installati.   
Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup di configurazione. In generale, puoi lasciare vuoti i campi di queste schermate.

   ```
   sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
   ```

1. Disattivare la risoluzione DNS inversa e impostare l'area di autenticazione predefinita sul nome di dominio completo del dominio. Perché un realm possa funzionare, le istanze Ubuntu **devono** essere risolvibili in modo inverso nel DNS. In caso contrario, dovrai disabilitare il DNS inverso in /etc/krb5.conf come segue:

   ```
   sudo vi /etc/krb5.conf
   ```

   ```
   [libdefaults]
   default_realm = EXAMPLE.COM
   rdns = false
   ```

1. Collega l'istanza alla directory tramite il comando seguente. 

   ```
   sudo realm join -U join_account example.com --verbose
   ```  
*join\$1account@example.com*  
Il **AMAccountnome s** di un account nel *example.com* dominio che dispone dei privilegi di accesso al dominio. Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulla delega di questi privilegi, consulta [Delega dei privilegi di accesso alle directory per Managed AWS Microsoft AD](directory_join_privileges.md).  
*example.com*  
Il nome completo del DNS della directory.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Imposta il servizio SSH per permettere l'autenticazione della password.

   1. Apri il file `/etc/ssh/sshd_config` in un editor di testo.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Imposta `PasswordAuthentication` su `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Riavvia il servizio SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      In alternativa:

      ```
      sudo service sshd restart
      ```

1. Dopo il riavvio dell'istanza, connettiti a essa tramite qualsiasi client SSH, quindi aggiungi il gruppo di amministratori di dominio all'elenco dei sudoers seguendo la procedura seguente:

   1. Apri il file `sudoers` tramite il comando seguente:

      ```
      sudo visudo
      ```

   1. Aggiungi il codice seguente alla fine del file `sudoers` e salva il file.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (L'esempio precedente utilizza "\$1<space>" per creare il carattere di spazio di Linux).

------

**Nota**  
Quando si utilizza Simple AD, se crei un account utente su un'istanza Linux con l'opzione "Richiedi all'utente di modificare la password al primo accesso", tale utente non sarà in grado di modificare inizialmente la password utilizzando **kpasswd**. Per modificare la password la prima volta, un amministratore del dominio deve aggiornare la password utente tramite gli strumenti di gestione di Active Directory.

## Gestione di account da un'istanza Linux
<a name="simple_ad_manage_accounts"></a>

Per gestire gli account in Simple AD da un'istanza Linux, è necessario aggiornare file di configurazione specifici dell'istanza Linux come segue:

1. ****Imposta **krb5\$1use\$1kdcinfo** su False nel file/.conf. etc/sssd/sssd**** Esempio:

   ```
   [domain/example.com]
       krb5_use_kdcinfo = False
   ```

1. Perché la configurazione diventi effettiva, devi riavviare il servizio sssd:

   ```
   $ sudo systemctl restart sssd.service
   ```

   In alternativa, puoi usare:

   ```
   $ sudo service sssd start
   ```

1. Se si gestiscono utenti da un'istanza Linux CentOS, è anche necessario modificare il file **/etc/smb.conf** per includere: 

   ```
   [global] 
     workgroup = EXAMPLE.COM
     realm = EXAMPLE.COM 
     netbios name = EXAMPLE
     security = ads
   ```

## Limitazioni di accesso all'account
<a name="simple_ad_linux_filter"></a>

Poiché tutti gli account vengono definiti in Active Directory, per impostazione predefinita tutti gli utenti nella directory possono accedere all'istanza. Puoi permettere solo a utenti specifici di accedere all'istanza con **ad\$1access\$1filter** in **sssd.conf**. Esempio:

```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```

*memberOf*  
Indica che agli utenti è consentito solo l'accesso all'istanza se membri di un determinato gruppo.

*cn*  
Il nome canonico del gruppo a cui è consentito l'accesso. In questo esempio, il nome del gruppo *admins* è.

*ou*  
È l'unità organizzativa in cui si trova il gruppo di cui sopra. In questo esempio, l'unità organizzativa è*Testou*.

*dc*  
È il componente di dominio del tuo dominio. In questo esempio, *example*.

*dc*  
È un componente di dominio aggiuntivo. In questo esempio, *com*.

È necessario aggiungere manualmente **ad\$1access\$1filter** a **/etc/sssd/sssd.conf**.

Apri il file **/etc/sssd/sssd.conf** in un editor di testo.

```
sudo vi /etc/sssd/sssd.conf
```

A questo punto, il tuo **sssd.conf** potrebbe avere questo aspetto:

```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam

[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```

Perché la configurazione diventi effettiva, devi riavviare il servizio sssd:

```
sudo systemctl restart sssd.service
```

In alternativa, puoi usare:

```
sudo service sssd restart
```

## Mappatura degli ID
<a name="simple-ad-id-mapping"></a>

La mappatura degli ID può essere eseguita con due metodi per mantenere un'esperienza unificata tra le identità UNIX/Linux User Identifier (UID) e Group Identifier (GID) e le identità di Windows e Active Directory Security Identifier (SID). Questi metodi sono:

1. Centralizzato

1. Distribuito

**Nota**  
La mappatura centralizzata dell'identità degli utenti in Active Directory richiede l'interfaccia del sistema operativo portatile o POSIX.

**Mappatura centralizzata delle identità degli utenti**  
Active Directory o un altro servizio LDAP (Lightweight Directory Access Protocol) fornisce UID e GID agli utenti Linux. In Active Directory, questi identificatori vengono memorizzati negli attributi degli utenti se l'estensione POSIX è configurata:
+ UID: il nome utente Linux (String)
+ Numero UID: il numero ID utente Linux (numero intero)
+ Numero GID: il numero ID del gruppo Linux (numero intero)

Per configurare un'istanza Linux per utilizzare l'UID e il GID di Active Directory, impostali `ldap_id_mapping = False` nel file sssd.conf. Prima di impostare questo valore, verifica di aver aggiunto un UID, un numero UID e un numero GID agli utenti e ai gruppi in Active Directory.

**Mappatura distribuita delle identità degli utenti**  
Se Active Directory non ha l'estensione POSIX o se scegli di non gestire centralmente la mappatura delle identità, Linux può calcolare i valori UID e GID. Linux utilizza l'identificatore di sicurezza (SID) univoco dell'utente per mantenere la coerenza.

Per configurare la mappatura distribuita degli ID utente, impostala `ldap_id_mapping = True` nel file sssd.conf.

**Problemi comuni**  
Se lo imposti`ldap_id_mapping = False`, a volte l'avvio del servizio SSSD fallirà. Il motivo di questo errore è dovuto al fatto che le modifiche UIDs non sono supportate. Ti consigliamo di eliminare la cache SSSD ogni volta che passi dalla mappatura degli ID agli attributi POSIX o dagli attributi POSIX alla mappatura degli ID. Per ulteriori dettagli sulla mappatura degli ID e sui parametri ldap\$1id\$1mapping, consultate la pagina man sssd-ldap (8) nella riga di comando di Linux.

## Connect all'istanza Linux
<a name="simple_ad_linux_connect"></a>

Quando un utente effettua la connessione all'istanza tramite un client SSH, gli verrà richiesto di inserire il proprio nome utente. L'utente può immettere il nome utente nei formati `username@example.com` o `EXAMPLE\username` . La risposta apparirà simile alla seguente, a seconda della distribuzione Linux utilizzata:

**Amazon Linux, Red Hat Enterprise Linux e CentOS Linux**

```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```

**SUSE Linux**

```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)

As "root" (sudo or sudo -i) use the:
  - zypper command for package management
  - yast command for configuration management

Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud

Have a lot of fun...
```

**Ubuntu Linux**

```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)

* Documentation:  https://help.ubuntu.com
* Management:     https://landscape.canonical.com
* Support:        https://ubuntu.com/advantage

  System information as of Sat Apr 18 22:03:35 UTC 2020

  System load:  0.01              Processes:           102
  Usage of /:   18.6% of 7.69GB   Users logged in:     2
  Memory usage: 16%               IP address for eth0: 10.24.34.1
  Swap usage:   0%
```

# Delega dei privilegi di accesso alle directory per Simple AD
<a name="simple_ad_directory_join_privileges"></a>

Per unire un computer alla directory, devi disporre di un account con privilegi per aggiungere computer alla directory. 

Con Simple AD, i membri del gruppo **Amministratori di dominio** dispongono di privilegi sufficienti per aggiungere computer alla directory.

Tuttavia, come best practice, dovresti utilizzare un account che disponga solo dei privilegi minimi necessari. La seguente procedura mostra come creare un nuovo gruppo denominato `Joiners` e delegare i privilegi necessari a questo gruppo per aggiungere i computer alla directory.

Devi eseguire questa procedura su un computer che è stato aggiunto alla directory e che abbia installato lo snap-in di MMC **Utenti e computer di Active Directory**. Inoltre, è necessario aver eseguito l'accesso come amministratore del dominio.

**Per delegare i privilegi di aggiunta per Simple AD**

1. Apri **Active Directory User and Computers** (Utenti e computer di Active Directory) e seleziona la radice del dominio nell'albero di spostamento.

1. Nella struttura di navigazione a sinistra, fare clic con il pulsante destro del mouse per aprire il menu di scelta rapida **Users (Utenti)**, scegliere **New (Nuovo)**, quindi **Group (Gruppo)**. 

1. Nella finestra **New Object - Group** (Nuovo oggetto - Gruppo), digita quanto segue e scegli **OK**.
   + Per **Group name (Nome gruppo)**, digita **Joiners**.
   + In **Group scope** (Ambito del gruppo), scegli **Global** (Globale).
   + Per **Group type** (Tipo gruppo), scegli **Security** (Sicurezza).

1. Nella struttura di navigazione, selezionare la radice del dominio. Nel menu **Action** (Operazione), scegli **Delegate Control** (Delega controllo).

1. Nella pagina **Delegation of Control Wizard** (Delega guidata del controllo), scegli **Next** (Avanti), quindi scegli **Add** (Aggiungi).

1. Nella finestra **Select Users, Computers, or Groups** (Seleziona utenti, computer o gruppi), digita `Joiners` e scegli **OK**. Se viene trovato più di un oggetto, selezionare il gruppo `Joiners` creato sopra. Scegli **Next (Successivo)**.

1. Nella pagina **Operazioni da delegare**, selezionare **Crea un'operazione personalizzata per eseguire la delega**, quindi scegliere **Avanti**.

1. Seleziona **Only the following objects in the folder** (Solo i seguenti oggetti contenuti nella cartella), quindi **Computer objects** (Oggetti computer). 

1. Selezionare **Crea gli oggetti selezionati in questa cartella** e **Elimina gli oggetti selezionati in questa cartella**. Quindi scegli **Successivo**.  
![\[Delegation of Control Wizard Active Directory Object Type, finestra di dialogo con solo i seguenti oggetti nella cartella: oggetti utente selezionati, creazione degli oggetti selezionati in questa cartella ed eliminazione degli oggetti selezionati in questa cartella.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)

1. Seleziona **Read** (Lettura) e **Write** (Scrittura), quindi scegli **Next** (Avanti).  
![\[Finestra di dialogo per la delega delle autorizzazioni di Control Wizard con le seguenti autorizzazioni selezionate: generali, specifiche della proprietà e di lettura.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)

1. Verificare le informazioni nella pagina **Completing the Delegation of Control Wizard** (Completamento della delega guidata del controllo) e scegli **Finish** (Termina). 

1. Crea un utente con una password complessa e aggiungilo al gruppo `Joiners`. L'utente disporrà quindi di privilegi sufficienti per connettersi alla directory. Directory Service 

# Creazione di un set di opzioni DHCP per Simple AD
<a name="simple_ad_dhcp_options_set"></a>

AWS consiglia di creare un set di opzioni DHCP per la Directory Service directory e di assegnare le opzioni DHCP impostate al VPC in cui si trova la directory. Questo permette alle istanze in tale VPC di puntare al dominio e ai server DNS specificati per risolvere i propri nomi di dominio.

 Per ulteriori informazioni sui set di opzioni DHCP, consulta [Set di opzioni DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) nella *Guida per l'utente di Amazon VPC*.

**Creazione di un set opzioni DHCP per la tua directory**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, scegliere **DHCP Options Sets (Set di opzioni DHCP)**, quindi selezionare **Create DHCP options set (Crea set di opzioni DHCP)**.

1. Nella pagina **Crea set di opzioni DHCP**, fornisci i seguenti valori per la directory:  
**Nome**  
Un tag opzionale per il set di opzioni.  
**Nome dominio**  
Il nome completo della tua directory, ad esempio `corp.example.com`.  
**Server dei nomi di dominio (DNS)**  
Gli indirizzi IP dei server DNS della directory AWS fornita dall'utente.   
Puoi trovare questi indirizzi accedendo al riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), selezionando **Directory** e quindi l'ID directory corretto.  
**Server NTP**  
Lasciare questo campo vuoto.  
**Server dei nomi NetBIOS**  
Lasciare questo campo vuoto.  
**Tipo di nodo NetBIOS**  
Lasciare questo campo vuoto.

1. Selezionare **Create DHCP options set (Crea set di opzioni DHCP)**. Il nuovo set di opzioni DHCP viene visualizzato nell'elenco delle opzioni DHCP.

1. Prendi nota dell'ID del nuovo set di opzioni DHCP (dopt-). *xxxxxxxx* Devi utilizzarlo per associare il nuovo set di opzioni al tuo VPC.

**Modifica del set opzioni DHCP associato a un VPC**

Dopo aver creato un set di opzioni DHCP, non puoi modificarle. Se desideri che il tuo VPC utilizzi un altro set di opzioni DHCP, devi creare un nuovo set e associarlo al tuo VPC. Puoi anche impostare il tuo VPC senza utilizzare alcuna opzione DHCP.

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. **Nel riquadro di navigazione, scegli Your. VPCs**

1. Seleziona il VPC, quindi scegli **Azioni, Modifica impostazioni** **VPC.**

1. Per il **set di opzioni DHCP**, seleziona un set di opzioni o scegli **Nessun set di opzioni DHCP**, quindi scegli **Salva**.

Per modificare il set di opzioni DHCP associato a un VPC utilizzando la riga di comando, vedere quanto segue:
+ **AWS CLI**: [associate-dhcp-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html)
+  **AWS Tools for Windows PowerShell**: [Register-EC2DhcpOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html)