As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Unindo uma instância Linux do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado
Você pode iniciar e associar uma instância do EC2 Linux ao seu Microsoft AD AWS gerenciado no Console de gerenciamento da AWS. Você também pode unir manualmente a instância EC2 Linux ao seu Microsoft AD AWS gerenciado. Ferramentas como o Winbind também podem ser usadas para que você possa associar uma instância Linux do EC2 ao seu AWS Microsoft AD gerenciado.
As seguintes distribuições e versões de instância do Linux são suportadas:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1
**nota**
As distribuições anteriores ao Ubuntu 14 e ao Red Hat Enterprise Linux 7 e 8 não oferecem suporte ao atributo de associação direta a domínios.
**Topics**
+ [Unindo perfeitamente uma instância Linux do Amazon EC2 ao seu Microsoft AD Active AWS Directory gerenciado](seamlessly_join_linux_instance.md)
+ [Unindo perfeitamente uma instância Linux do Amazon EC2 a um Microsoft AD AWS gerenciado compartilhado](seamlessly_join_linux_to_shared_MAD.md)
+ [Unir manualmente uma instância Linux do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado](join_linux_instance.md)
+ [Unir manualmente uma instância Linux do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado usando o Winbind](join_linux_instance_winbind.md)
# Unindo perfeitamente uma instância Linux do Amazon EC2 ao seu Microsoft AD Active AWS Directory gerenciado
Esse procedimento une perfeitamente uma instância Linux do Amazon EC2 ao seu Microsoft AD Active AWS Directory gerenciado. Para concluir este procedimento, você precisará criar um AWS Secrets Manager segredo que pode incorrer em custos adicionais. Para obter mais informações, consulte [AWS Secrets Manager Preço](https://aws.amazon.com/secrets-manager/pricing/).
Se você precisar realizar uma união de domínio perfeita em várias AWS contas, opcionalmente, você pode optar por ativar o compartilhamento de [diretórios](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html).
As seguintes distribuições e versões de instância do Linux são suportadas:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1
**nota**
As distribuições anteriores ao Ubuntu 14 e ao Red Hat Enterprise Linux 7 e 8 não oferecem suporte ao atributo de associação direta a domínios.
Para uma demonstração do processo de unir perfeitamente uma instância Linux ao seu Microsoft AD Active Directory AWS gerenciado, veja o YouTube vídeo a seguir.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NNUtdVVZVxU?si=_0zOiXhUObcW0_Wo)
## Pré-requisitos
Antes de configurar a associação direta de domínio a uma instância do EC2 Linux, você precisa concluir os procedimentos nestas seções.
### Pré-requisitos de rede para a associação direta ao domínio
Para associar diretamente um domínio em uma instância do EC2 Linux, você precisará concluir o seguinte:
+ Você precisará das seguintes permissões do IAM para ingressar diretamente em uma instância do EC2 Linux:
+ Tenha um Microsoft AD AWS gerenciado. Para saber mais, consulte [Criando seu Microsoft AD AWS gerenciado](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ Você precisará das seguintes permissões do IAM para ingressar diretamente em uma instância do EC2 Windows:
+ Perfil de instância do IAM com as seguintes permissões do IAM:
+ `AmazonSSMManagedInstanceCore`
+ `AmazonSSMDirectoryServiceAccess`
+ O domínio do usuário que une perfeitamente o EC2 ao Managed AWS Microsoft AD precisa das seguintes permissões do IAM:
+ Directory Service Permissões:
+ `"ds:DescribeDirectories"`
+ `"ds:CreateComputer"`
+ Permissões da Amazon VPC:
+ `"ec2:DescribeVpcs"`
+ `"ec2:DescribeSubnets"`
+ `"ec2:DescribeNetworkInterfaces"`
+ `"ec2:CreateNetworkInterface"`
+ `"ec2:AttachNetworkInterface"`
+ Permissões do EC2:
+ `"ec2:DescribeInstances"`
+ `"ec2:DescribeImages"`
+ `"ec2:DescribeInstanceTypes"`
+ `"ec2:RunInstances"`
+ `"ec2:CreateTags"`
+ AWS Systems Manager Permissões:
+ `"ssm:DescribeInstanceInformation"`
+ `"ssm:SendCommand"`
+ `"ssm:GetCommandInvocation"`
+ `"ssm:CreateBatchAssociation"`
+ Quando seu Microsoft AD AWS gerenciado é criado, um grupo de segurança é criado com regras de entrada e saída. Para saber mais sobre essas regras e portas, consulte [O que é criado com seu Microsoft AD AWS gerenciado](ms_ad_getting_started_what_gets_created.md). Para ingressar perfeitamente no domínio de uma instância Linux do EC2, sua VPC em que você está executando sua instância deve permitir as mesmas portas permitidas nas regras de entrada e saída do seu grupo de segurança gerenciado do AWS Microsoft AD.
+ Dependendo das configurações de segurança e firewall da rede, talvez seja exigido permitir tráfego de saída adicional. Esse tráfego seria para HTTPS (porta 443) para os seguintes endpoints:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/seamlessly_join_linux_instance.html)
+ Recomendamos usar um servidor DNS que resolva seu nome de domínio AWS gerenciado do Microsoft AD. Para fazer isso, você pode criar um conjunto de opções de DHCP. Consulte [Criando ou alterando um conjunto de opções de DHCP para o AWS Managed Microsoft AD](dhcp_options_set.md) para obter mais informações.
+ Se você optar por não criar um conjunto de opções DHCP, seus servidores DNS serão estáticos e configurados pelo seu AWS Microsoft AD gerenciado.
### Selecionar sua conta de serviço para associação direta ao domínio
Você pode unir perfeitamente computadores Linux ao seu domínio AWS gerenciado do Microsoft AD Active Directory. Para fazer isso, é necessário usar uma conta de usuário com permissões de criação de conta de computador para associar as máquinas ao domínio. Embora os membros do grupo *Administradores delegados da AWS * ou outros grupos possam ter privilégios suficientes para associar computadores ao domínio, não recomendamos fazer isso. Como prática recomendada, sugerimos usar uma conta de serviço que tenha os privilégios mínimos necessários para associar os computadores ao domínio.
Para delegar uma conta com os privilégios mínimos necessários para associar os computadores ao domínio, você pode executar os seguintes PowerShell comandos. Você deve executar esses comandos em um computador Windows associado ao domínio com as [Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado](ms_ad_install_ad_tools.md) instaladas. Além disso, você deve usar uma conta que tenha permissão para modificar as permissões na UO ou no contêiner do seu Computador. O PowerShell comando define permissões que permitem que a conta de serviço crie objetos de computador no contêiner de computadores padrão do seu domínio.
```
$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer"
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"
```
Se você preferir usar uma interface gráfica de usuário (GUI), poderá usar o processo manual descrito em [Delegar privilégios para sua conta de serviço](ad_connector_getting_started.md#connect_delegate_privileges).
### Criar os segredos para armazenar a conta de serviço do domínio
Você pode usar AWS Secrets Manager para armazenar a conta de serviço de domínio. Para obter mais informações, consulte [Criar um AWS Secrets Manager segredo](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html).
**nota**
Há taxas associadas ao Secrets Manager. Para obter mais informações, consulte [Definição de preço](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) no *Guia de usuário do AWS Secrets Manager *.
**Para criar segredos e armazenar as informações da conta de serviço do domínio**
1. Faça login no Console de gerenciamento da AWS e abra o AWS Secrets Manager console em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Selecione **Armazenar um novo segredo**.
1. Na página **Store a new secret** (Armazenar um novo segredo), faça o seguinte:
1. Em **Tipo de segredo**, escolha **Outro tipo de segredos**.
1. Em **Pares de chave/valor**, faça o seguinte:
1. Na primeira caixa, insira **awsSeamlessDomainUsername**. Na mesma linha, na próxima caixa, insira o nome de usuário da sua conta de serviço. Por exemplo, se você usou o PowerShell comando anteriormente, o nome da conta de serviço seria**awsSeamlessDomain**.
**nota**
Você deve inserir **awsSeamlessDomainUsername** exatamente como está. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.
![\[No AWS Secrets Manager console, na página Escolha um tipo secreto. Outro tipo de segredo é selecionado em Tipo de segredo e awsSeamlessDomainUsername é inserido como o valor da chave.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/secrets_manager_1.png)
1. Escolha **Adicionar linha**.
1. Na nova linha, na primeira caixa, insira **awsSeamlessDomainPassword**. Na mesma linha, na próxima caixa, insira a senha da sua conta de serviço.
**nota**
Você deve inserir **awsSeamlessDomainPassword** exatamente como está. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.
1. Em **Chave de criptografia,** deixe o valor padrão `aws/secretsmanager`. O AWS Secrets Manager sempre criptografa o segredo quando você escolhe essa opção. Também é possível escolher uma chave criada por você.
1. Escolha **Próximo**.
1. Em **Nome secreto**, insira um nome secreto que inclua seu ID de diretório usando o seguinte formato, *d-xxxxxxxxx* substituindo-o por seu ID de diretório:
```
aws/directory-services/d-xxxxxxxxx/seamless-domain-join
```
Ele será usado para recuperar segredos no aplicativo.
**nota**
Você deve inserir **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** exatamente como está, mas *d-xxxxxxxxxx* substituir pelo ID do diretório. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.
![\[No AWS Secrets Manager console, na página de configuração secreta. O nome do segredo é inserido e destacado.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/secrets_manager_2.png)
1. Mantenha todo o resto definido como padrão e, em seguida, escolha **Próximo**.
1. Em **Configurar rotação automática**, mantenha a opção **Desabilitar rotação automática** selecionada e escolha **Próximo**.
Você pode ativar a alternância desse segredo depois de armazená-lo.
1. Revise as configurações e escolha **Armazenar** para salvar as alterações. O console do Secrets Manager leva você de volta para a lista de segredos da sua conta com o novo segredo agora incluído na lista.
1. Escolha seu nome de segredo recém-criado na lista e anote o valor do **ARN do segredo**. Ele será necessário na próxima seção.
### Ativar a alternância do segredo da conta de serviço de domínio
Recomendamos que você alterne regularmente os segredos para melhorar sua postura de segurança.
**Para ativar a alternância do segredo da conta de serviço de domínio**
+ Siga as instruções em [Configurar a rotação automática para AWS Secrets Manager segredos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) no *Guia do AWS Secrets Manager usuário*.
Na Etapa 5, use o modelo de alternância das [credenciais do Microsoft Active Directory](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) no *Guia do usuário do AWS Secrets Manager *.
Para obter ajuda, consulte [Solucionar problemas AWS Secrets Manager de rotação](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) no *Guia do AWS Secrets Manager usuário*.
### Criar a política e o perfil do IAM necessários
Use as etapas de pré-requisito a seguir para criar uma política personalizada que permita acesso somente para leitura ao segredo de junção de domínio contínuo do Secrets Manager (que você criou anteriormente) e para criar uma nova função do Linux IAM. EC2 DomainJoin
#### Criar a política de leitura do IAM para o Secrets Manager
Você usa o console do IAM para criar uma política que concede acesso somente de leitura ao seu segredo do Secrets Manager.
**Para criar a política de leitura do IAM para o Secrets Manager**
1. Faça login no Console de gerenciamento da AWS como um usuário que tem permissão para criar políticas do IAM. Em seguida, abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, em **Gerenciamento de acesso**, escolha **Políticas**.
1. Selecione **Criar política**.
1. Escolha a guia **JSON** e copie o texto do documento de política JSON a seguir. Em seguida, cole-o na caixa de texto **JSON**.
**nota**
Certifique-se de substituir o ARN da região e do recurso pela região e ARN reais do segredo que você criou anteriormente.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
]
}
]
}
```
1. Quando terminar, escolha **Próximo**. O validador de política indica se há qualquer erro de sintaxe. Para obter mais informações, consulte [Validar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).
1. Na página **Revisar política**, insira um nome de política, como **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Revise a seção **Resumo** para ver as permissões que são concedidas pela política. Em seguida, selecione **Criar política** para salvar suas alterações. A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada a uma identidade.
**nota**
Recomendamos criar uma política por segredo. Isso garante que as instâncias tenham acesso somente ao segredo apropriado e minimiza o impacto em caso de comprometimento de uma instância.
#### Crie a EC2 DomainJoin função Linux
Você usa o console do IAM para criar o perfil que usará para associar sua instância do EC2 do Linux ao domínio.
**Para criar a EC2 DomainJoin função Linux**
1. Faça login no Console de gerenciamento da AWS como um usuário que tem permissão para criar políticas do IAM. Em seguida, abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, em **Gerenciamento de acesso**, escolha **Perfis**.
1. No painel de conteúdo, escolha **Criar perfil**.
1. Em **Select type of trusted entity (Selecionar o tipo de entidade confiável)**, escolha **AWS service (serviço)**.
1. Em **Caso de uso**, escolha **EC2** e **Próximo**.
![\[No console do IAM, na página de seleção da entidade confiável. AWS service e EC2 são selecionados.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)
1. Em **Políticas de filtro**, faça o seguinte:
1. Insira **AmazonSSMManagedInstanceCore**. Em seguida, marque a caixa de seleção para esse item na lista.
1. Insira **AmazonSSMDirectoryServiceAccess**. Em seguida, marque a caixa de seleção para esse item na lista.
1. Insira **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (ou o nome da política que você criou no procedimento anterior). Em seguida, marque a caixa de seleção para esse item na lista.
1. Depois de adicionar as três políticas listadas acima, selecione **Criar perfil**.
**nota**
A Amazon SSMDirectory ServiceAccess fornece as permissões para unir instâncias a um Active Directory gerenciado por Directory Service. A Amazon SSMManaged InstanceCore fornece as permissões mínimas necessárias para usar o AWS Systems Manager serviço. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao seu perfil do IAM, consulte [Criar um perfil de instância do IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) no *Guia do usuário do AWS Systems Manager *.
1. Insira um nome para o novo perfil, como **LinuxEC2DomainJoin** ou outro nome que você preferir, no campo **Nome do perfil**.
1. (Opcional ) Em **Descrição da função**, insira uma descrição.
1. (Opcional) Escolha **Adicionar nova tag** na **Etapa 3: adicionar tags** para adicionar tags. Os pares de chave-valor de tag são usados para organizar, rastrear ou controlar o acesso a esse perfil.
1. Selecione **Criar perfil**.
## Associação direta de uma instância do Linux
**Para associar diretamente sua instância do Linux**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. No seletor de região na barra de navegação, escolha o mesmo Região da AWS que o diretório existente.
1. No **Painel do EC2**, na seção **Iniciar instância**, escolha **Iniciar instância**.
1. Na página **Iniciar uma instância**, na seção **Nome e tags**, insira o nome que você gostaria de usar na instância do EC2 para Linux.
1. *(Opcional)* Escolha **Adicionar tags extras** para adicionar um ou mais pares de chave-valor de tag para organizar, monitorar ou controlar o acesso a essa instância do EC2.
1. Na seção **Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon)**, escolha uma AMI do Linux que você deseja iniciar.
**nota**
A AMI usada deve ter AWS Systems Manager (SSM Agent) versão 2.3.1644.0 ou superior. Para verificar a versão do SSM Agent instalada em sua AMI iniciando uma instância por essa AMI, consulte [Obter a versão do SSM Agent instalada](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Se você precisar atualizar o SSM Agent, consulte [Instalar e configurar o SSM Agent em instâncias do EC2 para Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).
O SSM usa o plug-in `aws:domainJoin` ao associar uma instância do Linux a um domínio do Active Directory. O plug-in altera o nome do host das instâncias Linux para o formato EC2 AMAZ-. *XXXXXXX* Para obter mais informações sobre `aws:domainJoin`, consulte a [Referência de plug-ins de documentos de comando do AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) no *Guia do usuário do AWS Systems Manager *.
1. Na seção **Tipo de instância**, escolha o tipo de instância que você gostaria de usar na lista suspensa **Tipo de instância**.
1. Na seção **Par de chaves: login**, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. Para criar um novo par de chaves, escolha **Criar par de chaves**. Insira um nome para o par de chaves e selecione uma opção para **Tipo de par de chaves** e **Formato do arquivo de chave privada**. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha **.pem**. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha **.ppk**. Escolha **Criar par de chaves**. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.
**Importante**
Esta é a única chance de você salvar o arquivo de chave privada.
1. Na página **Iniciar uma instância**, na seção **Configurações de rede**, escolha **Editar**. Escolha a **VPC** na qual seu diretório foi criado na lista suspensa **VPC: *obrigatório***.
1. Escolha uma das sub-redes públicas em sua VPC na lista suspensa **Sub-rede**. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.
Para obter mais informações sobre como conectar a um gateway da Internet, consulte [Conectar à Internet usando um gateway da Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) no *Guia do usuário da Amazon VPC*.
1. Em **Atribuir IP público automaticamente**, escolha **Habilitar**.
Para obter mais informações sobre endereçamento IP público e privado, consulte [Endereçamento IP de instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) no *Guia do usuário do Amazon EC2*.
1. Para configurações de **Firewall (grupos de segurança)**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.
1. Para opções de **Configurar armazenamento**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.
1. Selecione a seção **Detalhes avançados**, escolha seu domínio na lista suspensa **Diretório de associação ao domínio**.
**nota**
Depois de escolher o diretório de associação do domínio, você verá:
![\[Uma mensagem de erro ao selecionar seu diretório de associação do domínio. Há um erro com seu documento do SSM existente.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
Esse erro ocorre se o assistente de inicialização do EC2 identificar um documento do SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações:
Se você editou anteriormente o documento do SSM e as propriedades são esperadas, escolha fechar e continue executando a instância do EC2 sem alterações.
Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento do SSM será criado automaticamente quando você iniciar a instância do EC2.
1. Para o **perfil da instância** do IAM, escolha a função do IAM que você criou anteriormente na seção de pré-requisitos **Etapa 2: Criar a** função Linux. EC2 DomainJoin
1. Escolha **Iniciar instância**.
**nota**
Se você estiver realizando uma associação direta a domínio com o SUSE Linux, uma reinicialização será necessária antes que as autenticações funcionem. Para reinicializar o SUSE via terminal Linux, digite **sudo reboot**.
# Unindo perfeitamente uma instância Linux do Amazon EC2 a um Microsoft AD AWS gerenciado compartilhado
Neste procedimento, você associará diretamente uma instância do Amazon EC2 Linux a um AWS Managed Microsoft AD compartilhado. Para fazer isso, você criará uma política de leitura AWS Secrets Manager do IAM na função de instância do EC2 na conta em que deseja iniciar a instância do EC2 Linux. Ela será chamada de `Account 2` neste procedimento. Essa instância usará o AWS Managed Microsoft AD que está sendo compartilhado da outra conta, chamada de `Account 1`.
## Pré-requisitos
Antes de unir perfeitamente uma instância Linux do Amazon EC2 a um Microsoft AD AWS gerenciado compartilhado, você precisará concluir o seguinte:
+ Etapas de 1 a 3 do tutorial, [Tutorial: Compartilhando seu diretório AWS gerenciado do Microsoft AD para uma associação perfeita ao domínio EC2](ms_ad_tutorial_directory_sharing.md). Este tutorial explica como configurar sua rede e compartilhar seu Microsoft AD AWS gerenciado.
+ O procedimento descrito em [Unindo perfeitamente uma instância Linux do Amazon EC2 ao seu Microsoft AD Active AWS Directory gerenciado](seamlessly_join_linux_instance.md).
## Etapa 1. Crie uma EC2 DomainJoin função Linux na Conta 2
Nesta etapa, você usará o console do IAM para criar o perfil do IAM que será usado para associar a instância EC2 Linux ao domínio enquanto estiver autenticado na `Account 2`.
**Crie a EC2 DomainJoin função Linux**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo, em **Gerenciamento de acesso**, escolha **Perfis**.
1. Na página **Perfis**, selecione **Criar perfil**.
1. Em **Select type of trusted entity (Selecionar o tipo de entidade confiável)**, escolha **AWS service (serviço)**.
1. Em **Caso de uso**, escolha **EC2** e **Próximo**
1. Em **Políticas de filtro**, faça o seguinte:
1. Insira `AmazonSSMManagedInstanceCore`. Em seguida, marque a caixa de seleção para esse item na lista.
1. Insira `AmazonSSMDirectoryServiceAccess`. Em seguida, marque a caixa de seleção para esse item na lista.
1. Depois de adicionar essas políticas, selecione **Criar perfil**.
**nota**
`AmazonSSMDirectoryServiceAccess`fornece as permissões para unir instâncias a um Active Directory gerenciado por Directory Service. `AmazonSSMManagedInstanceCore`fornece as permissões mínimas necessárias para uso AWS Systems Manager. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao perfil do IAM, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) no *Guia do usuário do AWS Systems Manager *.
1. Insira um nome para o novo perfil, como `LinuxEC2DomainJoin` ou outro nome que você preferir, no campo **Nome do perfil**.
1. *(Opcional)* Em **Descrição do perfil**, insira uma descrição.
1. *(Opcional)* Escolha **Adicionar nova tag** na **Etapa 3: Adicionar tags** para adicionar tags. Os pares de chave-valor de tag são usados para organizar, rastrear ou controlar o acesso a esse perfil.
1. Selecione **Criar perfil**.
## Etapa 2. Crie acesso a recursos entre contas para compartilhar AWS Secrets Manager segredos
A próxima seção contém requisitos adicionais que precisam ser atendidos para unir perfeitamente as instâncias do EC2 Linux a um AWS Microsoft AD gerenciado compartilhado. Esses requisitos incluem criar políticas de recursos e vinculá-las aos serviços e recursos apropriados.
Para permitir que os usuários de uma conta acessem AWS Secrets Manager segredos em outra conta, você deve permitir o acesso em uma política de recursos e em uma política de identidade. Esse tipo de acesso é chamado de [acesso a recursos entre contas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).
Esse tipo de acesso é diferente de conceder acesso a identidades na mesma conta que o segredo do Secrets Manager. Você também deve permitir que a identidade use a chave do [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) (KMS) com a qual o segredo está criptografado. Essa permissão é necessária porque você não pode usar a chave AWS gerenciada (`aws/secretsmanager`) para acesso entre contas. Em vez disso, você criptografará o segredo com uma chave do KMS que criar e, em seguida, anexará uma política de chave a ele. Para alterar a chave de criptografia de um segredo, consulte [Modificação de um segredo do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html).
**nota**
Existem taxas associadas AWS Secrets Manager, dependendo de qual segredo você usa. Para obter a lista de preços atual completa, consulte [Definição de preço do AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/). Você pode usar o Chave gerenciada pela AWS `aws/secretsmanager` que o Secrets Manager cria para criptografar seus segredos gratuitamente. Se você criar suas próprias chaves KMS para criptografar seus segredos, AWS cobrará de acordo com a taxa atual do AWS KMS. Para obter mais informações, consulte [AWS Key Management Service Preço](https://aws.amazon.com/kms/pricing/).
As etapas a seguir permitem que você crie as políticas de recursos para permitir que os usuários unam perfeitamente uma instância do EC2 Linux a um AWS Microsoft AD gerenciado compartilhado.
**Anexar uma política de recursos ao segredo na Conta 1**
1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Na lista de segredos, escolha o seu **Segredo** que foi criado durante o [Pré-requisitos](#seamlessly_join_linux_to_shared_MAD_prereqs).
1. Na **página de detalhes do segredo**, na guia **Visão geral**, role para baixo até **Permissões de recursos**.
1. Selecione **Editar permissões**.
1. No campo da política, insira a política a seguir. A política a seguir permite que o **Linux EC2 DomainJoin** in acesse `Account 2` a entrada secreta`Account 1`. Substitua o valor do ARN pelo valor do ARN da sua `Account 2`, o perfil `LinuxEC2DomainJoin` que você criou na [Etapa 1](#seamlessly_join_linux_to_shared_MAD_step_1). Para usar essa política, consulte [Anexar uma política de permissões a um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/LinuxEC2DomainJoin"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
------
**Adicionar uma instrução à política de chave para a chave do KMS na Conta 1**
1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. No painel de navegação à esquerda, selecione **Chaves gerenciadas pelo cliente**.
1. Na página **Chaves gerenciadas pelo cliente**, selecione a chave que você criou.
1. Na página **Detalhes da chave**, navegue até **Política de chave** e selecione **Editar**.
1. A instrução de política de chave a seguir permite que o `ApplicationRole` na `Account 2` use a chave do KMS na `Account 1` para descriptografar o segredo na `Account 1`. Para usar essa declaração, adicione-a à política de chaves para sua chave do KMS. Para obter mais informações, consulte [Alterar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).
```
{
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Account2:role/ApplicationRole"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
**Crie uma política de identidade para a identidade na Conta 2**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo, em **Gerenciamento de acesso**, escolha **Políticas**.
1. Selecione **Create Policy (Criar política)**. Escolha **JSON** no **Editor de políticas**.
1. A política a seguir permite que o `ApplicationRole` na `Account 2` acesse o segredo na `Account 1` e descriptografe o valor do segredo usando a chave de criptografia, que também está na `Account 1`. Você pode encontrar o ARN do seu segredo no console do Secrets Manager na página **Detalhes do segredo** em **ARN do segredo**. Como alternativa, você pode chamar [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) para identificar o ARN do segredo. Substitua o ARN do recurso pelo ARN do recurso no ARN do segredo e `Account 1`. Para usar essa política, consulte [Anexar uma política de permissões a um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Describekey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/Your_Encryption_Key"
}
]
}
```
------
1. Selecione **Próximo** e, em seguida, **Salvar alterações**.
1. Encontre e selecione o perfil criado em `Account 2` em [Attach a resource policy to the secret in Account 1](#step1ResourcePolicy).
1. Em **Adicionar permissões**, selecione **Anexar políticas**.
1. Na barra de pesquisa, encontre a política criada em [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) e marque a caixa para adicionar a política ao perfil. Em seguida selecione **Adicionar permissões**.
## Etapa 3. Associação direta de uma instância do Linux
Agora você pode usar o procedimento a seguir para unir perfeitamente sua instância do EC2 Linux ao seu AWS Microsoft AD gerenciado compartilhado.
**Para associar diretamente sua instância do Linux**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. No seletor de região na barra de navegação, escolha o mesmo Região da AWS que o diretório existente.
1. No **Painel do EC2**, na seção **Iniciar instância**, escolha **Iniciar instância**.
1. Na página **Iniciar uma instância**, na seção **Nome e tags**, insira o nome que você gostaria de usar na instância do EC2 para Linux.
1. *(Opcional)* Escolha **Adicionar tags extras** para adicionar um ou mais pares de chave-valor de tag para organizar, monitorar ou controlar o acesso a essa instância do EC2.
1. Na seção **Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon)**, escolha uma AMI do Linux que você deseja iniciar.
**nota**
A AMI usada deve ter AWS Systems Manager (SSM Agent) versão 2.3.1644.0 ou superior. Para verificar a versão do SSM Agent instalada em sua AMI iniciando uma instância por essa AMI, consulte [Obter a versão do SSM Agent instalada](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Se você precisar atualizar o SSM Agent, consulte [Instalar e configurar o SSM Agent em instâncias do EC2 para Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).
O SSM usa o plug-in `aws:domainJoin` ao associar uma instância do Linux a um domínio do Active Directory. O plug-in altera o nome do host das instâncias Linux para o formato EC2 AMAZ-. *XXXXXXX* Para obter mais informações sobre `aws:domainJoin`, consulte a [Referência de plug-ins de documentos de comando do AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) no *Guia do usuário do AWS Systems Manager *.
1. Na seção **Tipo de instância**, escolha o tipo de instância que você gostaria de usar na lista suspensa **Tipo de instância**.
1. Na seção **Par de chaves: login**, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. Para criar um novo par de chaves, escolha **Criar par de chaves**. Insira um nome para o par de chaves e selecione uma opção para **Tipo de par de chaves** e **Formato do arquivo de chave privada**. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha **.pem**. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha **.ppk**. Escolha **Criar par de chaves**. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.
**Importante**
Esta é a única chance de você salvar o arquivo de chave privada.
1. Na página **Iniciar uma instância**, na seção **Configurações de rede**, escolha **Editar**. Escolha a **VPC** na qual seu diretório foi criado na lista suspensa **VPC: *obrigatório***.
1. Escolha uma das sub-redes públicas em sua VPC na lista suspensa **Sub-rede**. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.
Para obter mais informações sobre como conectar a um gateway da Internet, consulte [Conectar à Internet usando um gateway da Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) no *Guia do usuário da Amazon VPC*.
1. Em **Atribuir IP público automaticamente**, escolha **Habilitar**.
Para obter mais informações sobre endereçamento IP público e privado, consulte [Endereçamento IP de instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) no *Guia do usuário do Amazon EC2*.
1. Para configurações de **Firewall (grupos de segurança)**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.
1. Para opções de **Configurar armazenamento**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.
1. Selecione a seção **Detalhes avançados**, escolha seu domínio na lista suspensa **Diretório de associação ao domínio**.
**nota**
Depois de escolher o diretório de associação do domínio, você verá:
![\[Uma mensagem de erro ao selecionar seu diretório de associação do domínio. Há um erro com seu documento do SSM existente.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
Esse erro ocorre se o assistente de inicialização do EC2 identificar um documento do SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações:
Se você editou anteriormente o documento do SSM e as propriedades são esperadas, escolha fechar e continue executando a instância do EC2 sem alterações.
Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento do SSM será criado automaticamente quando você iniciar a instância do EC2.
1. Para o **perfil da instância** do IAM, escolha a função do IAM que você criou anteriormente na seção de pré-requisitos **Etapa 2: Criar a** função Linux. EC2 DomainJoin
1. Escolha **Iniciar instância**.
**nota**
Se você estiver realizando uma associação direta a domínio com o SUSE Linux, uma reinicialização será necessária antes que as autenticações funcionem. Para reinicializar o SUSE via terminal Linux, digite **sudo reboot**.
# Unir manualmente uma instância Linux do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado
Além das instâncias do Amazon EC2, você também pode unir determinadas Windows instâncias Linux do Amazon EC2 ao seu Microsoft AD Active AWS Directory gerenciado. As seguintes distribuições e versões de instância do Linux são suportadas:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ AMI do Amazon Linux 2023
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1
**nota**
Outras distribuições e versões do Linux podem funcionar, mas não foram testadas.
## Associe uma instância Linux ao seu Microsoft AD AWS gerenciado
Antes de associar uma instância do Amazon Linux, CentOS, Red Hat ou Ubuntu ao seu diretório, a instância deve primeiro ser iniciada conforme especificado em [Associação direta de uma instância do Linux](seamlessly_join_linux_instance.md#seamless-linux-join-instance).
**Importante**
Alguns dos procedimentos a seguir, se não forem executados corretamente, podem tornar sua instância inacessível ou não utilizável. Portanto, nós sugerimos enfaticamente que você faça um backup ou tire um snapshot da sua instância antes de executar esses procedimentos.
**Para associar uma instância do Linux ao seu diretório**
Siga as etapas para a sua instância do Linux específica usando uma das seguintes guias:
------
#### [ Amazon Linux ]
1. Conecte-se à instância usando qualquer cliente SSH.
1. Configure a instância Linux para usar os endereços IP do servidor DNS dos Directory Service servidores DNS fornecidos. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se desejar defini-lo manualmente, consulte [Como faço para atribuir um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimentos da AWS para obter orientação sobre a definição do servidor de DNS persistente para sua distribuição e versão específicas do Linux.
1. Verifique se sua instância do Amazon Linux de 64 bits está atualizada.
```
sudo yum -y update
```
1. Instale os pacotes do Amazon Linux necessários em sua instância do Linux.
**nota**
Alguns desses pacotes já podem estar instalados.
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.
Amazon Linux
```
sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
```
**nota**
Para obter ajuda para determinar a versão do Amazon Linux que você está usando, consulte [Como identificar imagens do Amazon Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id) no *Guia do usuário do Amazon EC2 para instâncias do Linux.*
1. Junte a instância ao diretório com o comando a seguir.
```
sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
```
*join\$1account@EXAMPLE.COM*
Uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
*example.com*
O nome de DNS totalmente qualificado do seu diretório.
```
...
* Successfully enrolled machine in realm
```
1. Ajuste o serviço SSH para permitir autenticação de senha.
1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.
```
sudo vi /etc/ssh/sshd_config
```
1. Defina a configuração `PasswordAuthentication` como `yes`.
```
PasswordAuthentication yes
```
1. Reinicie o serviço SSH.
```
sudo systemctl restart sshd.service
```
Alternativa:
```
sudo service sshd restart
```
1. Depois que a instância for reiniciada, conecte-se a ela com qualquer cliente SSH e adicione o grupo Administradores AWS Delegados à lista de sudoers executando as seguintes etapas:
1. Abra o arquivo `sudoers` com o seguinte comando:
```
sudo visudo
```
1. Adicione o seguinte ao final do arquivo `sudoers` e salve-o.
```
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
```
(O exemplo acima usa "\$1" para criar o caractere de espaço do Linux.)
------
#### [ CentOS ]
1. Conecte-se à instância usando qualquer cliente SSH.
1. Configure a instância Linux para usar os endereços IP do servidor DNS dos Directory Service servidores DNS fornecidos. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se desejar defini-lo manualmente, consulte [Como faço para atribuir um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimentos da AWS para obter orientação sobre a definição do servidor de DNS persistente para sua distribuição e versão específicas do Linux.
1. Verifique se sua instância do CentOS 7 está atualizada.
```
sudo yum -y update
```
1. Instale os pacotes do CentOS 7 necessários na sua instância do Linux.
**nota**
Alguns desses pacotes já podem estar instalados.
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.
```
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
```
1. Junte a instância ao diretório com o comando a seguir.
```
sudo realm join -U join_account@example.com example.com --verbose
```
*join\$1account@example.com*
Uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
*example.com*
O nome de DNS totalmente qualificado do seu diretório.
```
...
* Successfully enrolled machine in realm
```
1. Ajuste o serviço SSH para permitir autenticação de senha.
1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.
```
sudo vi /etc/ssh/sshd_config
```
1. Defina a configuração `PasswordAuthentication` como `yes`.
```
PasswordAuthentication yes
```
1. Reinicie o serviço SSH.
```
sudo systemctl restart sshd.service
```
Alternativa:
```
sudo service sshd restart
```
1. Depois que a instância for reiniciada, conecte-se a ela com qualquer cliente SSH e adicione o grupo Administradores AWS Delegados à lista de sudoers executando as seguintes etapas:
1. Abra o arquivo `sudoers` com o seguinte comando:
```
sudo visudo
```
1. Adicione o seguinte ao final do arquivo `sudoers` e salve-o.
```
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
```
(O exemplo acima usa "\$1" para criar o caractere de espaço do Linux.)
------
#### [ Red Hat ]
1. Conecte-se à instância usando qualquer cliente SSH.
1. Configure a instância Linux para usar os endereços IP do servidor DNS dos Directory Service servidores DNS fornecidos. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se desejar defini-lo manualmente, consulte [Como faço para atribuir um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimentos da AWS para obter orientação sobre a definição do servidor de DNS persistente para sua distribuição e versão específicas do Linux.
1. Certifique-se de que a instância do Red Hat - 64 bits está atualizada.
```
sudo yum -y update
```
1. Instale os pacotes do Red Hat necessários na sua instância do Linux.
**nota**
Alguns desses pacotes já podem estar instalados.
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.
```
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
```
1. Junte a instância ao diretório com o comando a seguir.
```
sudo realm join -v -U join_account example.com --install=/
```
*join\$1account*
O **AMAccountnome s** de uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
*example.com*
O nome de DNS totalmente qualificado do seu diretório.
```
...
* Successfully enrolled machine in realm
```
1. Ajuste o serviço SSH para permitir autenticação de senha.
1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.
```
sudo vi /etc/ssh/sshd_config
```
1. Defina a configuração `PasswordAuthentication` como `yes`.
```
PasswordAuthentication yes
```
1. Reinicie o serviço SSH.
```
sudo systemctl restart sshd.service
```
Alternativa:
```
sudo service sshd restart
```
1. Depois que a instância for reiniciada, conecte-se a ela com qualquer cliente SSH e adicione o grupo Administradores AWS Delegados à lista de sudoers executando as seguintes etapas:
1. Abra o arquivo `sudoers` com o seguinte comando:
```
sudo visudo
```
1. Adicione o seguinte ao final do arquivo `sudoers` e salve-o.
```
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
```
(O exemplo acima usa "\$1" para criar o caractere de espaço do Linux.)
------
#### [ SUSE ]
1. Conecte-se à instância usando qualquer cliente SSH.
1. Configure a instância do Linux para usar os endereços IP dos servidores de DNS fornecidos pelo Directory Service. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se você quiser configurá-lo manualmente, consulte [Como atribuo um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimento para obter orientação sobre como configurar AWS o servidor DNS persistente para sua distribuição e versão específicas do Linux.
1. Verifique se sua instância do SUSE Linux 15 está atualizada.
1. Conecte o repositório de pacotes.
```
sudo SUSEConnect -p PackageHub/15.1/x86_64
```
1. Atualize o SUSE.
```
sudo zypper update -y
```
1. Instale os pacotes SUSE Linux 15 necessários em sua instância do Linux.
**nota**
Alguns desses pacotes já podem estar instalados.
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.
```
sudo zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client krb5-client
```
1. Junte a instância ao diretório com o comando a seguir.
```
sudo realm join -U join_account example.com --verbose
```
*join\$1account*
O AMAccount nome s no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
*example.com*
O nome do DNS totalmente qualificado do seu diretório.
```
…
realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed.
```
Observe que espera-se ambos os retornos a seguir.
```
! Couldn't authenticate with keytab while discovering which salt to use:
! Enabling SSSD in nsswitch.conf and PAM failed.
```
1. Habilite manualmente o **SSSD** no **PAM**.
```
sudo pam-config --add --sss
```
1. Edite o nsswitch.conf para habilitar o SSSD no nsswitch.conf
```
sudo vi /etc/nsswitch.conf
```
```
passwd: compat sss
group: compat sss
shadow: compat sss
```
1. Adicione a seguinte linha a/etc/pam.d/common-session para criar automaticamente um diretório inicial no login inicial
```
sudo vi /etc/pam.d/common-session
```
```
session optional pam_mkhomedir.so skel=/etc/skel umask=077
```
1. Reinicialize a instância para concluir o processo de ingresso no domínio.
```
sudo reboot
```
1. Reconecte-se à instância usando qualquer cliente SSH para verificar se o acesso ao domínio foi concluído com êxito e finalizar etapas adicionais
1. Como verificar se a instância foi inscrita no domínio
```
sudo realm list
```
```
example.com
type: kerberos
realm-name: EXAMPLE.COM
domain-name: example.com
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: adcli
required-package: samba-client
login-formats: %U@example.com
login-policy: allow-realm-logins
```
1. Como verificar o status do daemon SSSD
```
systemctl status sssd
```
```
sssd.service - System Security Services Daemon
Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2020-04-15 16:22:32 UTC; 3min 49s ago
Main PID: 479 (sssd)
Tasks: 4
CGroup: /system.slice/sssd.service
├─479 /usr/sbin/sssd -i --logger=files
├─505 /usr/lib/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files
├─548 /usr/lib/sssd/sssd_nss --uid 0 --gid 0 --logger=files
└─549 /usr/lib/sssd/sssd_pam --uid 0 --gid 0 --logger=files
```
1. Como permitir o acesso de um usuário via SSH e console
```
sudo realm permit join_account@example.com
```
Como permitir acesso a um grupo de domínios via SSH e console
```
sudo realm permit -g 'AWS Delegated Administrators'
```
Ou como permitir que todos os usuários acessem
```
sudo realm permit --all
```
1. Ajuste o serviço SSH para permitir autenticação de senha.
1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.
```
sudo vi /etc/ssh/sshd_config
```
1. Defina a configuração `PasswordAuthentication` como `yes`.
```
PasswordAuthentication yes
```
1. Reinicie o serviço SSH.
```
sudo systemctl restart sshd.service
```
Alternativa:
```
sudo service sshd restart
```
1. 13. Depois que a instância for reiniciada, conecte-se a ela com qualquer cliente SSH e adicione o grupo Administradores AWS Delegados à lista de sudoers executando as seguintes etapas:
1. Abra o arquivo sudoers com o seguinte comando:
```
sudo visudo
```
1. Adicione o seguinte ao final do arquivo sudoers e salve-o.
```
## Add the "Domain Admins" group from the awsad.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL) NOPASSWD: ALL
```
------
#### [ Ubuntu ]
1. Conecte-se à instância usando qualquer cliente SSH.
1. Configure a instância Linux para usar os endereços IP do servidor DNS dos Directory Service servidores DNS fornecidos. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se desejar defini-lo manualmente, consulte [Como faço para atribuir um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimentos da AWS para obter orientação sobre a definição do servidor de DNS persistente para sua distribuição e versão específicas do Linux.
1. Certifique-se de que a instância do Ubuntu - 64 bits está atualizada.
```
sudo apt-get update
sudo apt-get -y upgrade
```
1. Instale os pacotes do Ubuntu necessários na sua instância do Linux.
**nota**
Alguns desses pacotes já podem estar instalados.
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.
```
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
```
1. Desabilite a resolução de DNS reverso e defina o realm padrão para o FQDN do domínio. Instâncias do Ubuntu **devem** ser capazes de fazer a resolução inversa no DNS para que um realm possa funcionar. Caso contrário, você precisa desabilitar DNS reverso no /etc/krb5.conf, como a seguir:
```
sudo vi /etc/krb5.conf
```
```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```
1. Junte a instância ao diretório com o comando a seguir.
```
sudo realm join -U join_account example.com --verbose
```
*join\$1account@example.com*
O **AMAccountnome s** de uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
*example.com*
O nome de DNS totalmente qualificado do seu diretório.
```
...
* Successfully enrolled machine in realm
```
1. Ajuste o serviço SSH para permitir autenticação de senha.
1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.
```
sudo vi /etc/ssh/sshd_config
```
1. Defina a configuração `PasswordAuthentication` como `yes`.
```
PasswordAuthentication yes
```
1. Reinicie o serviço SSH.
```
sudo systemctl restart sshd.service
```
Alternativa:
```
sudo service sshd restart
```
1. Depois que a instância for reiniciada, conecte-se a ela com qualquer cliente SSH e adicione o grupo Administradores AWS Delegados à lista de sudoers executando as seguintes etapas:
1. Abra o arquivo `sudoers` com o seguinte comando:
```
sudo visudo
```
1. Adicione o seguinte ao final do arquivo `sudoers` e salve-o.
```
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
```
(O exemplo acima usa "\$1" para criar o caractere de espaço do Linux.)
------
## Restringir o acesso de login da conta
Como todas as contas estão definidas no Active Directory, por padrão, todos os usuários no diretório podem fazer login na instância. Você pode permitir que somente usuários específicos façam login na instância com **ad\$1access\$1filter** em **sssd.conf**. Por exemplo:
```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
*memberOf*
Indica que os usuários só podem ter acesso à instância se participarem de um grupo específico.
*cn*
O nome comum do grupo que deve ter acesso. Neste exemplo, o nome do grupo é*admins*.
*ou*
Essa é a unidade organizacional na qual o grupo acima está localizado. Neste exemplo, a OU é*Testou*.
*dc*
Este é o componente de domínio do seu domínio. Neste exemplo, *example*.
*dc*
Este é um componente adicional de domínio. Neste exemplo, *com*.
Você deve adicionar manualmente **ad\$1access\$1filter** ao **/etc/sssd/sssd.conf**.
Abra o arquivo **/etc/sssd/sssd.conf** em um editor de textos.
```
sudo vi /etc/sssd/sssd.conf
```
Depois disso, seu **sssd.conf** pode ficar da seguinte forma:
```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
Para que a configuração entre em vigor, é necessário reiniciar o serviço sssd:
```
sudo systemctl restart sssd.service
```
Você também poderia usar o:
```
sudo service sssd restart
```
Como todas as contas estão definidas no Active Directory, por padrão, todos os usuários no diretório podem fazer login na instância. Você pode permitir que somente usuários específicos façam login na instância com **ad\$1access\$1filter** em **sssd.conf**.
Por exemplo:
```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
*memberOf*
Indica que os usuários só podem ter acesso à instância se participarem de um grupo específico.
*cn*
O nome comum do grupo que deve ter acesso. Neste exemplo, o nome do grupo é*admins*.
*ou*
Essa é a unidade organizacional na qual o grupo acima está localizado. Neste exemplo, a OU é*Testou*.
*dc*
Este é o componente de domínio do seu domínio. Neste exemplo, *example*.
*dc*
Este é um componente adicional de domínio. Neste exemplo, *com*.
Você deve adicionar manualmente **ad\$1access\$1filter** ao **/etc/sssd/sssd.conf**.
1. Abra o arquivo **/etc/sssd/sssd.conf** em um editor de textos.
```
sudo vi /etc/sssd/sssd.conf
```
1. Depois disso, seu **sssd.conf** pode ficar da seguinte forma:
```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
1. Para que a configuração entre em vigor, é necessário reiniciar o serviço sssd:
```
sudo systemctl restart sssd.service
```
Você também poderia usar o:
```
sudo service sssd restart
```
## Mapeamento de ID
O mapeamento de ID pode ser realizado por dois métodos para manter uma experiência unificada entre as identidades User Identifier (UID) e Group Identifier (GID) do UNIX/Linux e as identidades Security Identifier (SID) do Windows e do Active Directory. Esses métodos são:
1. Centralizado
1. Distribuído
**nota**
O mapeamento centralizado da identidade do usuário no Active Directory requer uma interface de sistema operacional portátil ou POSIX.
**Mapeamento centralizado da identidade do usuário**
O Active Directory ou outro serviço do Lightweight Directory Access Protocol (LDAP) fornece UID e GID aos usuários do Linux. No Active Directory, esses identificadores serão armazenados nos atributos dos usuários se a extensão POSIX estiver configurada:
+ UID: o nome de usuário do Linux (string)
+ Número UID: o número de ID do usuário Linux (inteiro)
+ Número GID: o número de ID do grupo Linux (inteiro)
Para configurar uma instância do Linux para usar o UID e o GID no Active Directory, defina `ldap_id_mapping = False` no arquivo sssd.conf. Antes de definir esse valor, verifique se você adicionou um UID, um número UID e um número GID aos usuários e grupos no Active Directory.
**Mapeamento distribuído de identidade de usuário**
Se o Active Directory não tiver a extensão POSIX ou se você optar por não gerenciar centralmente o mapeamento de identidade, o Linux poderá calcular os valores de UID e GID. O Linux usa o identificador de segurança (SID) exclusivo do usuário para manter a consistência.
Para configurar o mapeamento distribuído de ID do usuário, defina `ldap_id_mapping = True` no arquivo sssd.conf.
**Problemas comuns**
Se você definir como `ldap_id_mapping = False`, às vezes a inicialização do serviço SSSD falha. O motivo dessa falha é devido a alterações UIDs não suportadas. Recomendamos excluir o cache SSSD sempre que mudar do mapeamento de ID para atributos POSIX ou vice-versa. Para obter mais detalhes sobre o mapeamento de ID e os parâmetros ldap\$1id\$1mapping, consulte a página sssd-ldap(8) man na linha de comando do Linux.
## Conectar-se à instância do Linux
Quando um usuário se conectar à instância usando um cliente SSH, será solicitado seu nome de usuário. O usuário pode informar o nome de usuário no formato `username@example.com` ou `EXAMPLE\username`. A resposta será semelhante à seguinte, dependendo da distribuição do Linux que você estiver usando:
**Amazon Linux, Red Hat Enterprise Linux e CentOS Linux**
```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```
**SUSE Linux**
```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)
As "root" (sudo or sudo -i) use the:
- zypper command for package management
- yast command for configuration management
Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud
Have a lot of fun...
```
**Ubuntu Linux**
```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sat Apr 18 22:03:35 UTC 2020
System load: 0.01 Processes: 102
Usage of /: 18.6% of 7.69GB Users logged in: 2
Memory usage: 16% IP address for eth0: 10.24.34.1
Swap usage: 0%
```
# Unir manualmente uma instância Linux do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado usando o Winbind
Você pode usar o serviço Winbind para associar manualmente suas instâncias do Amazon EC2 para Linux a um domínio do AWS Managed Microsoft AD Active Directory. Isso permite que seus usuários locais existentes do Active Directory usem suas credenciais do Active Directory ao acessar as instâncias Linux associadas ao seu AWS Microsoft AD Active Directory gerenciado. As seguintes distribuições e versões de instância do Linux são suportadas:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ AMI do Amazon Linux 2023
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1
**nota**
Outras distribuições e versões do Linux podem funcionar, mas não foram testadas.
## Associe uma instância Linux ao seu Microsoft AD Active Directory AWS gerenciado
**Importante**
Alguns dos procedimentos a seguir, se não forem executados corretamente, podem tornar sua instância inacessível ou não utilizável. Portanto, nós sugerimos enfaticamente que você faça um backup ou tire um snapshot da sua instância antes de executar esses procedimentos.
**Para associar uma instância do Linux ao seu diretório**
Siga as etapas para a sua instância do Linux específica usando uma das seguintes guias:
------
#### [ Amazon Linux/CENTOS/REDHAT ]
1. Conecte-se à instância usando qualquer cliente SSH.
1. Configure a instância do Linux para usar os endereços IP dos servidores de DNS fornecidos pelo Directory Service. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se você quiser configurá-lo manualmente, consulte [Como atribuo um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimento para obter orientação sobre como configurar AWS o servidor DNS persistente para sua distribuição e versão específicas do Linux.
1. Verifique se sua instância do Linux está atualizada.
```
sudo yum -y update
```
1. Instale os pacotes do Samba/Winbind necessários na sua instância do Linux.
```
sudo yum -y install authconfig samba samba-client samba-winbind samba-winbind-clients
```
1. Faça um backup do arquivo `smb.conf` principal para que você possa voltar a ele em caso de falha:
```
sudo cp /etc/samba/smb.conf /etc/samba/smb.bk
```
1. Abra o arquivo de configuração original [`/etc/samba/smb.conf`] em um editor de texto.
```
sudo vim /etc/samba/smb.conf
```
Preencha as informações do ambiente de domínio do Active Directory conforme mostrado no exemplo abaixo:
```
[global]
workgroup = example
security = ads
realm = example.com
idmap config * : rangesize = 1000000
idmap config * : range = 1000000-19999999
idmap config * : backend = autorid
winbind enum users = no
winbind enum groups = no
template homedir = /home/%U@%D
template shell = /bin/bash
winbind use default domain = false
```
1. Abra o arquivo de hosts [`/etc/hosts` ]em um editor de texto.
```
sudo vim /etc/hosts
```
Adicione o endereço IP privado da sua instância Linux da seguinte forma:
```
10.x.x.x Linux_hostname.example.com Linux_hostname
```
**nota**
Se você não especificou seu endereço IP no arquivo `/etc/hosts`, talvez receba o seguinte erro de DNS ao associar a instância ao domínio:
`No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER`
Esse erro significa que a associação foi bem-sucedida, mas o comando [net ads] não conseguiu registrar o registro de DNS no DNS.
1. Associe a instância do Linux ao Active Directory usando o utilitário net.
```
sudo net ads join -U join_account@example.com
```
*join\$1account@example.com*
Uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
*example.com*
O nome de DNS totalmente qualificado do seu diretório.
```
Enter join_account@example.com's password:
Using short domain name -- example
Joined 'IP-10-x-x-x' to dns domain 'example.com'
```
1. Modifique o arquivo de configuração do PAM. Use o comando abaixo para adicionar as entradas necessárias para a autenticação winbind:
```
sudo authconfig --enablewinbind --enablewinbindauth --enablemkhomedir --update
```
1. Configure o serviço de SSH para permitir autenticação de senha editando o arquivo `/etc/ssh/sshd_config`.
1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.
```
sudo vi /etc/ssh/sshd_config
```
1. Defina a configuração `PasswordAuthentication` como `yes`.
```
PasswordAuthentication yes
```
1. Reinicie o serviço SSH.
```
sudo systemctl restart sshd.service
```
Alternativa:
```
sudo service sshd restart
```
1. Após a instância reiniciar, conecte-a com qualquer cliente SSH e adicione os privilégios de usuário raiz para um usuário ou grupo do domínio à lista de sudoers executando as seguintes etapas:
1. Abra o arquivo `sudoers` com o seguinte comando:
```
sudo visudo
```
1. Adicione os grupos ou usuários necessários do seu domínio confiante ou confiável conforme descrito a seguir e salve-os.
```
## Adding Domain Users/Groups.
%domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL
%domainname\\groupname ALL=(ALL:ALL) ALL
domainname\\username ALL=(ALL:ALL) ALL
%Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL
Trusted_DomainName\\username ALL=(ALL:ALL) ALL
```
(O exemplo acima usa "\$1" para criar o caractere de espaço do Linux.)
------
#### [ SUSE ]
1. Conecte-se à instância usando qualquer cliente SSH.
1. Configure a instância do Linux para usar os endereços IP dos servidores de DNS fornecidos pelo Directory Service. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se você quiser configurá-lo manualmente, consulte [Como atribuo um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimento para obter orientação sobre como configurar AWS o servidor DNS persistente para sua distribuição e versão específicas do Linux.
1. Verifique se sua instância do SUSE Linux 15 está atualizada.
1. Conecte o repositório de pacotes.
```
sudo SUSEConnect -p PackageHub/15.1/x86_64
```
1. Atualize o SUSE.
```
sudo zypper update -y
```
1. Instale os pacotes do Samba/Winbind necessários na sua instância do Linux.
```
sudo zypper in -y samba samba-winbind
```
1. Faça um backup do arquivo `smb.conf` principal para que você possa voltar a ele em caso de falha:
```
sudo cp /etc/samba/smb.conf /etc/samba/smb.bk
```
1. Abra o arquivo de configuração original [`/etc/samba/smb.conf`] em um editor de texto.
```
sudo vim /etc/samba/smb.conf
```
Preencha as informações do ambiente de domínio do Active Directory conforme mostrado no exemplo abaixo:
```
[global]
workgroup = example
security = ads
realm = example.com
idmap config * : rangesize = 1000000
idmap config * : range = 1000000-19999999
idmap config * : backend = autorid
winbind enum users = no
winbind enum groups = no
template homedir = /home/%U@%D
template shell = /bin/bash
winbind use default domain = false
```
1. Abra o arquivo de hosts [`/etc/hosts` ]em um editor de texto.
```
sudo vim /etc/hosts
```
Adicione o endereço IP privado da sua instância Linux da seguinte forma:
```
10.x.x.x Linux_hostname.example.com Linux_hostname
```
**nota**
Se você não especificou seu endereço IP no arquivo `/etc/hosts`, talvez receba o seguinte erro de DNS ao associar a instância ao domínio:
`No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER`
Esse erro significa que a associação foi bem-sucedida, mas o comando [net ads] não conseguiu registrar o registro de DNS no DNS.
1. Associe a instância do Linux ao diretório com o comando a seguir.
```
sudo net ads join -U join_account@example.com
```
*join\$1account*
O AMAccount nome s no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
*example.com*
O nome do DNS totalmente qualificado do seu diretório.
```
Enter join_account@example.com's password:
Using short domain name -- example
Joined 'IP-10-x-x-x' to dns domain 'example.com'
```
1. Modifique o arquivo de configuração do PAM. Use o comando abaixo para adicionar as entradas necessárias para a autenticação Winbind:
```
sudo pam-config --add --winbind --mkhomedir
```
1. Abra o arquivo de configuração do Name Service Switch [`/etc/nsswitch.conf`] em um editor de texto.
```
vim /etc/nsswitch.conf
```
Adicione a diretiva Winbind conforme mostrado abaixo.
```
passwd: files winbind
shadow: files winbind
group: files winbind
```
1. Configure o serviço de SSH para permitir autenticação de senha editando o arquivo `/etc/ssh/sshd_config`.
1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.
```
sudo vim /etc/ssh/sshd_config
```
1. Defina a configuração `PasswordAuthentication` como `yes`.
```
PasswordAuthentication yes
```
1. Reinicie o serviço SSH.
```
sudo systemctl restart sshd.service
```
Alternativa:
```
sudo service sshd restart
```
1. Após a instância reiniciar, conecte-a com qualquer cliente SSH e adicione privilégios de usuário raiz para um usuário ou grupo do domínio à lista de sudoers executando as seguintes etapas:
1. Abra o arquivo `sudoers` com o seguinte comando:
```
sudo visudo
```
1. Adicione os grupos ou usuários necessários do seu domínio confiante ou confiável conforme descrito a seguir e salve-os.
```
## Adding Domain Users/Groups.
%domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL
%domainname\\groupname ALL=(ALL:ALL) ALL
domainname\\username ALL=(ALL:ALL) ALL
%Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL
Trusted_DomainName\\username ALL=(ALL:ALL) ALL
```
(O exemplo acima usa "\$1" para criar o caractere de espaço do Linux.)
------
#### [ Ubuntu ]
1. Conecte-se à instância usando qualquer cliente SSH.
1. Configure a instância do Linux para usar os endereços IP dos servidores de DNS fornecidos pelo Directory Service. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se você quiser configurá-lo manualmente, consulte [Como atribuo um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimento para obter orientação sobre como configurar AWS o servidor DNS persistente para sua distribuição e versão específicas do Linux.
1. Verifique se sua instância do Linux está atualizada.
```
sudo apt-get -y upgrade
```
1. Instale os pacotes do Samba/Winbind necessários na sua instância do Linux.
```
sudo apt -y install samba winbind libnss-winbind libpam-winbind
```
1. Faça um backup do arquivo `smb.conf` principal para que você possa voltar a ele em caso de falha.
```
sudo cp /etc/samba/smb.conf /etc/samba/smb.bk
```
1. Abra o arquivo de configuração original [`/etc/samba/smb.conf`] em um editor de texto.
```
sudo vim /etc/samba/smb.conf
```
Preencha as informações do ambiente de domínio do Active Directory conforme mostrado no exemplo abaixo:
```
[global]
workgroup = example
security = ads
realm = example.com
idmap config * : rangesize = 1000000
idmap config * : range = 1000000-19999999
idmap config * : backend = autorid
winbind enum users = no
winbind enum groups = no
template homedir = /home/%U@%D
template shell = /bin/bash
winbind use default domain = false
```
1. Abra o arquivo de hosts [`/etc/hosts` ]em um editor de texto.
```
sudo vim /etc/hosts
```
Adicione o endereço IP privado da sua instância Linux da seguinte forma:
```
10.x.x.x Linux_hostname.example.com Linux_hostname
```
**nota**
Se você não especificou seu endereço IP no arquivo `/etc/hosts`, talvez receba o seguinte erro de DNS ao associar a instância ao domínio:
`No DNS domain configured for linux-instance. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER`
Esse erro significa que a associação foi bem-sucedida, mas o comando [net ads] não conseguiu registrar o registro de DNS no DNS.
1. Associe a instância do Linux ao Active Directory usando o utilitário net.
```
sudo net ads join -U join_account@example.com
```
*join\$1account@example.com*
Uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).
*example.com*
O nome de DNS totalmente qualificado do seu diretório.
```
Enter join_account@example.com's password:
Using short domain name -- example
Joined 'IP-10-x-x-x' to dns domain 'example.com'
```
1. Modifique o arquivo de configuração do PAM. Use o comando abaixo para adicionar as entradas necessárias para a autenticação Winbind:
```
sudo pam-auth-update --add --winbind --enable mkhomedir
```
1. Abra o arquivo de configuração do Name Service Switch [`/etc/nsswitch.conf`] em um editor de texto.
```
vim /etc/nsswitch.conf
```
Adicione a diretiva Winbind conforme mostrado abaixo.
```
passwd: compat winbind
group: compat winbind
shadow: compat winbind
```
1. Configure o serviço de SSH para permitir autenticação de senha editando o arquivo `/etc/ssh/sshd_config`.
1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.
```
sudo vim /etc/ssh/sshd_config
```
1. Defina a configuração `PasswordAuthentication` como `yes`.
```
PasswordAuthentication yes
```
1. Reinicie o serviço SSH.
```
sudo systemctl restart sshd.service
```
Alternativa:
```
sudo service sshd restart
```
1. Após a instância reiniciar, conecte-a com qualquer cliente SSH e adicione privilégios de usuário raiz para um usuário ou grupo do domínio à lista de sudoers executando as seguintes etapas:
1. Abra o arquivo `sudoers` com o seguinte comando:
```
sudo visudo
```
1. Adicione os grupos ou usuários necessários do seu domínio confiante ou confiável conforme descrito a seguir e salve-os.
```
## Adding Domain Users/Groups.
%domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL
%domainname\\groupname ALL=(ALL:ALL) ALL
domainname\\username ALL=(ALL:ALL) ALL
%Trusted_DomainName\\groupname ALL=(ALL:ALL) ALL
Trusted_DomainName\\username ALL=(ALL:ALL) ALL
```
(O exemplo acima usa "\$1" para criar o caractere de espaço do Linux.)
------
## Conectar-se à instância do Linux
Quando um usuário se conectar à instância usando um cliente SSH, será solicitado seu nome de usuário. O usuário pode informar o nome de usuário no formato `username@example.com` ou `EXAMPLE\username`. A resposta será semelhante à seguinte, dependendo da distribuição do Linux que você estiver usando:
**Amazon Linux, Red Hat Enterprise Linux e CentOS Linux**
```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```
**SUSE Linux**
```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)
As "root" (sudo or sudo -i) use the:
- zypper command for package management
- yast command for configuration management
Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud
Have a lot of fun...
```
**Ubuntu Linux**
```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sat Apr 18 22:03:35 UTC 2020
System load: 0.01 Processes: 102
Usage of /: 18.6% of 7.69GB Users logged in: 2
Memory usage: 16% IP address for eth0: 10.24.34.1
Swap usage: 0%
```