As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Maneiras de associar uma instância do Amazon EC2 ao Simple AD
<a name="simple_ad_join_instance"></a>

Você pode associar diretamente uma instância do Amazon EC2 ao domínio do Active Directory quando a instância é iniciada. Para obter mais informações, consulte [Unindo uma instância Windows do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado](launching_instance.md). Você também pode iniciar uma instância do EC2 e associá-la a um domínio do Active Directory diretamente do Directory Service console com a [AWS Systems Manager automação](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html).

Se você precisar associar manualmente uma instância do EC2 ao domínio do Active Directory, deverá iniciá-la na região, na sub-rede e no grupo de segurança apropriados e, depois, associar a instância ao domínio.

Para se conectar de modo remoto a essas instâncias, você deve ter conectividade IP com as instâncias da rede da qual está se conectando. Na maioria dos casos, é necessário que um gateway da Internet esteja conectado à sua VPC e que a instância tenha um endereço IP público.

**Topics**
+ [Associação de uma instância do Amazon EC2 para Windows ao Simple AD Active Directory](simple_ad_launching_instance.md)
+ [Associação de uma instância do Amazon EC2 para Linux ao Simple AD Active Directory](simple_ad_linux_domain_join.md)
+ [Delegação de privilégios de associação a diretório do Simple AD](simple_ad_directory_join_privileges.md)
+ [Criação de um conjunto de opções de DHCP para o Simple AD](simple_ad_dhcp_options_set.md)

# Associação de uma instância do Amazon EC2 para Windows ao Simple AD Active Directory
<a name="simple_ad_launching_instance"></a>

Você pode iniciar e associar uma instância do Windows do Amazon EC2 a um Simple AD. Como alternativa, você pode associar manualmente uma instância existente do Windows do EC2 a um Simple AD

------
#### [ Seamlessly join an EC2 Windows ]

Para associar diretamente um domínio em uma instância do EC2, você precisará concluir o seguinte:

**Pré-requisitos**
+ Ter um Simple AD. Para saber mais, consulte [Criação do Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).
+ Você precisará das seguintes permissões do IAM para ingressar diretamente em uma instância do EC2 Windows:
  + Perfil de instância do IAM com as seguintes permissões do IAM:
    + `AmazonSSMManagedInstanceCore`
    + `AmazonSSMDirectoryServiceAccess`
  + O domínio do usuário que associa o EC2 diretamente ao Simple AD precisa das seguintes permissões do IAM:
    + Directory Service Permissões:
      + `"ds:DescribeDirectories"`
      + `"ds:CreateComputer"`
    + Permissões da Amazon VPC:
      + `"ec2:DescribeVpcs"`
      + `"ec2:DescribeSubnets"`
      + `"ec2:DescribeNetworkInterfaces"`
      + `"ec2:CreateNetworkInterface"`
      + `"ec2:AttachNetworkInterface"`
    + Permissões do EC2:
      + `"ec2:DescribeInstances"`
      + `"ec2:DescribeImages"`
      + `"ec2:DescribeInstanceTypes"`
      + `"ec2:RunInstances"`
      + `"ec2:CreateTags"`
    + AWS Systems Manager Permissões:
      + `"ssm:DescribeInstanceInformation"`
      + `"ssm:SendCommand"`
      + `"ssm:GetCommandInvocation"`
      + `"ssm:CreateBatchAssociation"`

Quando o Simple AD é criado, um grupo de segurança é criado com regras de entrada e saída. Para saber mais sobre essas regras e portas, consulte [O que é criado com o Simple AD](simple_ad_what_gets_created.md). Para associar diretamente o domínio de uma instância do EC2 Windows, a VPC em que você está iniciando a instância deve permitir as mesmas portas permitidas nas regras de entrada e saída do grupo de segurança do Simple AD.
+ Dependendo das configurações de segurança e firewall da rede, talvez seja exigido permitir tráfego de saída adicional. Esse tráfego seria para HTTPS (porta 443) para os seguintes endpoints:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/simple_ad_launching_instance.html)
+ Recomendamos usar um servidor DNS que resolva o nome de domínio do Simple AD. Para fazer isso, você pode criar um conjunto de opções de DHCP. Consulte [Criação de um conjunto de opções de DHCP para o Simple AD](simple_ad_dhcp_options_set.md) para obter mais informações.
  + Se você optar por não criar um conjunto de opções DHCP, os servidores DNS serão estáticos e configurados pelo Simple AD.

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Na barra de navegação, escolha o mesmo Região da AWS que o diretório existente.

1. No **Painel do EC2**, na seção **Iniciar instância**, escolha **Iniciar instância**.

1. Na página **Iniciar uma instância**, na seção **Nome e tags**, insira o nome que você gostaria de usar para sua instância do Windows EC2.

1.  (Opcional) Escolha **Adicionar tags extras** para um ou mais pares chave-valor de tag para organizar, monitorar ou controlar o acesso para esta instância do EC2. 

1. Na seção **Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon)**, escolha **Windows** no painel **Início rápido**. É possível alterar a imagem de máquina da Amazon (AMI) do Windows na lista suspensa **Imagem de máquina da Amazon (AMI)**. 

1. Na seção **Tipo de instância**, escolha o tipo de instância que você gostaria de usar na lista suspensa **Tipo de instância**.

1. Na seção **Par de chaves: login**, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente.

   1. Para criar um novo par de chaves, escolha **Criar par de chaves**.

   1. Insira um nome para o par de chaves e selecione uma opção para **Tipo de par de chaves** e **Formato do arquivo de chave privada**.

   1.  Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha **.pem**. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha **.ppk**.

   1. Escolha **Criar par de chaves**.

   1. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.
**Importante**  
Esta é a única chance de você salvar o arquivo de chave privada.

1. Na página **Iniciar uma instância**, na seção **Configurações de rede**, escolha **Editar**. Escolha a **VPC** na qual seu diretório foi criado na lista suspensa **VPC: *obrigatório***.

1. Escolha uma das sub-redes públicas em sua VPC na lista suspensa **Sub-rede**. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.

   Para obter mais informações sobre como conectar a um gateway da Internet, consulte [Conectar à Internet usando um gateway da Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) no *Guia do usuário da Amazon VPC*.

1. Em **Atribuir IP público automaticamente**, escolha **Habilitar**.

   Para obter mais informações sobre endereçamento IP público e privado, consulte [Endereçamento IP de instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) no *Guia do usuário do Amazon EC2*.

1. Para configurações de **Firewall (grupos de segurança)**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades. 

1. Para opções de **Configurar armazenamento**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

1. Selecione a seção **Detalhes avançados**, escolha seu domínio na lista suspensa **Diretório de associação ao domínio**.
**nota**  
Depois de escolher o diretório de associação do domínio, você verá:   

![\[Uma mensagem de erro ao selecionar seu diretório de associação do domínio. Há um erro com seu documento do SSM existente.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Esse erro ocorre se o assistente de inicialização do EC2 identificar um documento do SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações:  
Se você editou anteriormente o documento do SSM e as propriedades são esperadas, escolha fechar e continue executando a instância do EC2 sem alterações.
Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento do SSM será criado automaticamente quando você iniciar a instância do EC2.

1. Para **Perfil de instância do IAM**, é possível selecionar um perfil de instância do IAM existente ou criar um novo. Selecione um perfil de instância do IAM que tenha as políticas AWS gerenciadas **Amazon SSMManaged InstanceCore** e **Amazon SSMDirectory ServiceAccess** anexadas a ele na lista suspensa do **perfil da instância do IAM**. Para criar um novo, escolha o link **Criar perfil do IAM** e faça o seguinte: 

   1. Selecione **Criar perfil**.

   1. Em **Selecionar entidade confiável**, escolha **serviço da AWS **.

   1. Em **Use case** (Caso de uso), selecione **EC2**.

   1.  Em **Adicionar permissões**, na lista de políticas, selecione as SSMDirectory ServiceAccess políticas da **Amazon SSMManaged InstanceCore** e **da Amazon**. Para filtrar a lista, digite **SSM** na caixa de pesquisa. Escolha **Próximo**. 
**nota**  
A **Amazon SSMDirectory ServiceAccess** fornece as permissões para unir instâncias a um Active Directory gerenciado por Directory Service. A **Amazon SSMManaged InstanceCore** fornece as permissões mínimas necessárias para usar o AWS Systems Manager serviço. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao seu perfil do IAM, consulte [Criar um perfil de instância do IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) no *Guia do usuário do AWS Systems Manager *.

   1. Na página **Nomear, revisar e criar**, insira um **Nome de perfil**. Você precisará desse nome de perfil para anexar à instância do EC2.

   1. (Opcional) Você pode fornecer uma descrição do perfil de instância do IAM no campo **Descrição**.

   1. Selecione **Criar perfil**.

   1.  Volte para a página **Iniciar uma instância** e escolha o ícone de atualização ao lado do **Perfil de instância do IAM**. Seu novo perfil de instância do IAM deve estar visível na lista suspensa do **Perfil de instância do IAM**. Escolha o novo perfil e mantenha o resto das configurações com seus valores padrão. 

1. Escolha **Iniciar instância**.

------
#### [ Manually join an EC2 Windows ]

Para associar manualmente uma instância existente do Amazon EC2 para Windows a um Simple AD Active Directory, ela deve ser iniciada usando os parâmetros conforme especificado em [Associação de uma instância do Amazon EC2 para Windows ao Simple AD Active Directory](#simple_ad_launching_instance).

Você precisará dos endereços IP dos servidores DNS do Simple AD. Essas informações podem ser encontradas em **Serviços de diretório** > **Diretórios** > o link **ID do diretório** do diretório > seções **Detalhes do diretório** e **Rede e segurança**.

![\[No Directory Service console, na página de detalhes do diretório, os endereços IP dos servidores DNS Directory Service fornecidos são destacados.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/directory_details_highlighted.png)


**Para associar uma instância do Windows a um Simple AD Active Directory**

1. Conecte-se à instância usando qualquer cliente Remote Desktop Protocol.

1. Abra a caixa de diálogo de IPv4 propriedades TCP/ na instância.

   1. Abra **Conexões de rede**.
**dica**  
Você pode abrir **Conexões de rede** de maneira direta executando o seguinte comando a partir de um prompt de comando na instância.  

      ```
      %SystemRoot%\system32\control.exe ncpa.cpl
      ```

   1. Abra o menu de contexto (clique com o botão direito do mouse) de qualquer conexão de rede habilitada e escolha **Propriedades**.

   1. Na caixa de diálogo de propriedades da conexão, abra (clique duas vezes) **Protocolo de Internet versão 4**.

1. Selecione **Usar os seguintes endereços de servidor DNS**, altere os endereços do **Servidor DNS preferencial** e do **Servidor DNS alternativo** para os endereços IP dos servidores DNS fornecidos pelo Simple AD e escolha **OK**.  
![\[A caixa de diálogo Propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) com os campos do servidor DNS preferencial e do servidor DNS alternativo destacados.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/dns_server_addresses.png)

1. Abra a caixa de diálogo **Propriedades do sistema** da instância, selecione a guia **Nome do computador** e escolha **Alterar**.
**dica**  
Você pode abrir a caixa de diálogo **Propriedades do sistema** de maneira direta executando o seguinte comando a partir de um prompt de comando na instância.  

   ```
   %SystemRoot%\system32\control.exe sysdm.cpl
   ```

1. No campo **Membro de**, selecione **Domínio**, insira o nome totalmente qualificado do Simple AD Active Directory e escolha **OK**.

1. Quando for solicitado o nome e a senha do administrador do domínio, insira o nome de usuário e a senha de uma conta com privilégios de associação no domínio. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegação de privilégios de associação a diretório do Simple AD](simple_ad_directory_join_privileges.md).
**nota**  
É possível inserir o nome totalmente qualificado do domínio ou o nome NetBIOS, seguido por uma barra invertida (\$1) e pelo nome do usuário. O nome de usuário seria **Administrador**. Por exemplo, **corp.example.com\$1administrator** ou **corp\$1administrator**.

1. Depois que você receber a mensagem de boas-vindas ao domínio, reinicie a instância para que as alterações entrem em vigor.

Agora que sua instância foi associada ao domínio do Simple AD Active Directory, você pode fazer login nela de maneira remota e instalar utilitários para gerenciar o diretório, como a adição de usuários e grupos. As ferramentas administrativas do Active Directory podem ser usadas para criar usuários e grupos. Para obter mais informações, consulte [Instalar as ferramentas de administração do Active Directory para Simple AD](simple_ad_install_ad_tools.md).

------

# Associação de uma instância do Amazon EC2 para Linux ao Simple AD Active Directory
<a name="simple_ad_linux_domain_join"></a>

Você pode iniciar e associar uma instância do Amazon EC2 para Linux ao Simple AD no Console de gerenciamento da AWS. Você também pode associar manualmente uma instância do EC2 para Linux ao Simple AD.

As seguintes distribuições e versões de instância do Linux são suportadas:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1

**nota**  
As distribuições anteriores ao Ubuntu 14 e ao Red Hat Enterprise Linux 7 e 8 não oferecem suporte ao atributo de associação direta a domínios.

**Topics**
+ [Associação direta de uma instância do Amazon EC2 para Linux ao Simple AD Active Directory](simple_ad_seamlessly_join_linux_instance.md)
+ [Associação manual de uma instância do Amazon EC2 para Linux ao Simple AD Active Directory](simple_ad_join_linux_instance.md)

# Associação direta de uma instância do Amazon EC2 para Linux ao Simple AD Active Directory
<a name="simple_ad_seamlessly_join_linux_instance"></a>

Este procedimento associa diretamente uma instância do Amazon EC2 para Linux ao Simple AD Active Directory.

As seguintes distribuições e versões de instância do Linux são suportadas:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1

**nota**  
As distribuições anteriores ao Ubuntu 14 e ao Red Hat Enterprise Linux 7 e 8 não oferecem suporte ao atributo de associação direta a domínios.

## Pré-requisitos
<a name="simple_ad_seamless-linux-prereqs"></a>

Antes de configurar a associação direta a domínios em uma instância do Linux, é necessário concluir os procedimentos nesta seção.

### Selecionar sua conta de serviço para associação direta ao domínio
<a name="simple_ad_seamless-linux-prereqs-select"></a>

É possível associar diretamente computadores Linux ao seu domínio do Simple AD. Para fazer isso, é necessário criar uma conta de usuário com permissões de criação de conta de computador para associar os computadores ao domínio. Embora os membros do grupo *Administradores de Domínio* ou outros grupos possam ter privilégios suficientes para associar computadores ao domínio, não recomendamos fazer isso. Como prática recomendada, sugerimos usar uma conta de serviço que tenha os privilégios mínimos necessários para associar os computadores ao domínio.

Para obter informações sobre como processar e delegar permissões à sua conta de serviço para criar uma conta de computador, consulte [Delegar privilégios para sua conta de serviço](ad_connector_getting_started.md#connect_delegate_privileges).

### Criar os segredos para armazenar a conta de serviço do domínio
<a name="-create-secrets"></a>

Você pode usar AWS Secrets Manager para armazenar a conta de serviço de domínio. Para obter mais informações, consulte [Criar um AWS Secrets Manager segredo](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html).

**nota**  
Há taxas associadas ao Secrets Manager. Para obter mais informações, consulte [Definição de preço](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) no *Guia de usuário do AWS Secrets Manager *.

**Para criar segredos e armazenar as informações da conta de serviço do domínio**

1. Faça login no Console de gerenciamento da AWS e abra o AWS Secrets Manager console em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Selecione **Armazenar um novo segredo**. 

1. Na página **Store a new secret** (Armazenar um novo segredo), faça o seguinte:

   1. Em **Tipo de segredo**, escolha **Outro tipo de segredos**.

   1. Em **Pares de chave/valor**, faça o seguinte:

      1. Na primeira caixa, insira **awsSeamlessDomainUsername**. Na mesma linha, na próxima caixa, insira o nome de usuário da sua conta de serviço. Por exemplo, se você usou o PowerShell comando anteriormente, o nome da conta de serviço seria**awsSeamlessDomain**.
**nota**  
Você deve inserir **awsSeamlessDomainUsername** exatamente como está. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.   
![\[No AWS Secrets Manager console, na página Escolha um tipo secreto. Outro tipo de segredo é selecionado em Tipo de segredo e awsSeamlessDomainUsername é inserido como o valor da chave.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/secrets_manager_1.png)

      1. Escolha **Adicionar linha**.

      1. Na nova linha, na primeira caixa, insira **awsSeamlessDomainPassword**. Na mesma linha, na próxima caixa, insira a senha da sua conta de serviço.
**nota**  
Você deve inserir **awsSeamlessDomainPassword** exatamente como está. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará. 

      1. Em **Chave de criptografia,** deixe o valor padrão `aws/secretsmanager`. O AWS Secrets Manager sempre criptografa o segredo quando você escolhe essa opção. Também é possível escolher uma chave criada por você.

      1. Escolha **Próximo**.

1. Em **Nome secreto**, insira um nome secreto que inclua seu ID de diretório usando o seguinte formato, *d-xxxxxxxxx* substituindo-o por seu ID de diretório:

   ```
   aws/directory-services/d-xxxxxxxxx/seamless-domain-join
   ```

   Ele será usado para recuperar segredos no aplicativo.
**nota**  
Você deve inserir **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** exatamente como está, mas *d-xxxxxxxxxx* substituir pelo ID do diretório. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.   
![\[No AWS Secrets Manager console, na página de configuração secreta. O nome do segredo é inserido e destacado.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/secrets_manager_2.png)

1. Mantenha todo o resto definido como padrão e, em seguida, escolha **Próximo**.

1. Em **Configurar rotação automática**, mantenha a opção **Desabilitar rotação automática** selecionada e escolha **Próximo**.

   Você pode ativar a alternância desse segredo depois de armazená-lo.

1. Revise as configurações e escolha **Armazenar** para salvar as alterações. O console do Secrets Manager leva você de volta para a lista de segredos da sua conta com o novo segredo agora incluído na lista. 

1. Escolha seu nome de segredo recém-criado na lista e anote o valor do **ARN do segredo**. Ele será necessário na próxima seção.

### Ativar a alternância do segredo da conta de serviço de domínio
<a name="seamless-linux-prereqs-turn-on-rotation"></a>

Recomendamos que você alterne regularmente os segredos para melhorar sua postura de segurança. 

**Para ativar a alternância do segredo da conta de serviço de domínio**
+ Siga as instruções em [Configurar a rotação automática para AWS Secrets Manager segredos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) no *Guia do AWS Secrets Manager usuário*.

  Na Etapa 5, use o modelo de alternância das [credenciais do Microsoft Active Directory](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) no *Guia do usuário do AWS Secrets Manager *.

  Para obter ajuda, consulte [Solucionar problemas AWS Secrets Manager de rotação](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) no *Guia do AWS Secrets Manager usuário*.

### Criar a política e o perfil do IAM necessários
<a name="seamless-linux-prereqs-create-policy"></a>

Use as etapas de pré-requisito a seguir para criar uma política personalizada que permita acesso somente para leitura ao segredo de junção de domínio contínuo do Secrets Manager (que você criou anteriormente) e para criar uma nova função do Linux IAM. EC2 DomainJoin 

#### Criar a política de leitura do IAM para o Secrets Manager
<a name="seamless-linux-prereqs-create-policy-step1"></a>

Você usa o console do IAM para criar uma política que concede acesso somente de leitura ao seu segredo do Secrets Manager.

**Para criar a política de leitura do IAM para o Secrets Manager**

1. Faça login no Console de gerenciamento da AWS como um usuário que tem permissão para criar políticas do IAM. Em seguida, abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, em **Gerenciamento de acesso**, escolha **Políticas**.

1. Selecione **Criar política**.

1. Escolha a guia **JSON** e copie o texto do documento de política JSON a seguir. Em seguida, cole-o na caixa de texto **JSON**.
**nota**  
Certifique-se de substituir o ARN da região e do recurso pela região e ARN reais do segredo que você criou anteriormente.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }
   ```

1. Quando terminar, escolha **Próximo**. O validador de política indica se há qualquer erro de sintaxe. Para obter mais informações, consulte [Validar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).

1. Na página **Revisar política**, insira um nome de política, como **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Revise a seção **Resumo** para ver as permissões que são concedidas pela política. Em seguida, selecione **Criar política** para salvar suas alterações. A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada a uma identidade.

**nota**  
Recomendamos criar uma política por segredo. Isso garante que as instâncias tenham acesso somente ao segredo apropriado e minimiza o impacto em caso de comprometimento de uma instância. 

#### Crie a EC2 DomainJoin função Linux
<a name="seamless-linux-prereqs-create-policy-step2"></a>

Você usa o console do IAM para criar o perfil que usará para associar sua instância do EC2 do Linux ao domínio.

**Para criar a EC2 DomainJoin função Linux**

1. Faça login no Console de gerenciamento da AWS como um usuário que tem permissão para criar políticas do IAM. Em seguida, abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, em **Gerenciamento de acesso**, escolha **Perfis**.

1. No painel de conteúdo, escolha **Criar perfil**.

1. Em **Select type of trusted entity (Selecionar o tipo de entidade confiável)**, escolha **AWS service (serviço)**.

1. Em **Caso de uso**, escolha **EC2** e **Próximo**.  
![\[No console do IAM, na página de seleção da entidade confiável. AWS service e EC2 são selecionados.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)

1. Em **Políticas de filtro**, faça o seguinte:

   1. Insira **AmazonSSMManagedInstanceCore**. Em seguida, marque a caixa de seleção para esse item na lista.

   1. Insira **AmazonSSMDirectoryServiceAccess**. Em seguida, marque a caixa de seleção para esse item na lista.

   1. Insira **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (ou o nome da política que você criou no procedimento anterior). Em seguida, marque a caixa de seleção para esse item na lista.

   1. Depois de adicionar as três políticas listadas acima, selecione **Criar perfil**.
**nota**  
A Amazon SSMDirectory ServiceAccess fornece as permissões para unir instâncias a um Active Directory gerenciado por Directory Service. A Amazon SSMManaged InstanceCore fornece as permissões mínimas necessárias para usar o AWS Systems Manager serviço. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao seu perfil do IAM, consulte [Criar um perfil de instância do IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) no *Guia do usuário do AWS Systems Manager *.

1. Insira um nome para o novo perfil, como **LinuxEC2DomainJoin** ou outro nome que você preferir, no campo **Nome do perfil**.

1. (Opcional ) Em **Descrição da função**, insira uma descrição.

1. (Opcional) Escolha **Adicionar nova tag** na **Etapa 3: adicionar tags** para adicionar tags. Os pares de chave-valor de tag são usados para organizar, rastrear ou controlar o acesso a esse perfil.

1. Selecione **Criar perfil**.

## Associação direta de uma instância do Linux ao Simple AD Active Directory
<a name="simple_ad_seamless-linux-join-instance"></a>

**Para associar diretamente sua instância do Linux**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. No seletor de região na barra de navegação, escolha o mesmo Região da AWS que o diretório existente.

1. No **Painel do EC2**, na seção **Iniciar instância**, escolha **Iniciar instância**.

1. Na página **Iniciar uma instância**, na seção **Nome e tags**, insira o nome que você gostaria de usar na instância do EC2 para Linux.

1.  *(Opcional)* Escolha **Adicionar tags extras** para adicionar um ou mais pares de chave-valor de tag para organizar, monitorar ou controlar o acesso a essa instância do EC2. 

1. Na seção **Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon)**, escolha uma AMI do Linux que você deseja iniciar.
**nota**  
A AMI usada deve ter AWS Systems Manager (SSM Agent) versão 2.3.1644.0 ou superior. Para verificar a versão do SSM Agent instalada em sua AMI iniciando uma instância por essa AMI, consulte [Obter a versão do SSM Agent instalada](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Se você precisar atualizar o SSM Agent, consulte [Instalar e configurar o SSM Agent em instâncias do EC2 para Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).  
O SSM usa o plug-in `aws:domainJoin` ao associar uma instância do Linux a um domínio do Active Directory. O plug-in altera o nome do host das instâncias Linux para o formato EC2 AMAZ-. *XXXXXXX* Para obter mais informações sobre `aws:domainJoin`, consulte a [Referência de plug-ins de documentos de comando do AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) no *Guia do usuário do AWS Systems Manager *.

1. Na seção **Tipo de instância**, escolha o tipo de instância que você gostaria de usar na lista suspensa **Tipo de instância**.

1. Na seção **Par de chaves: login**, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. Para criar um novo par de chaves, escolha **Criar par de chaves**. Insira um nome para o par de chaves e selecione uma opção para **Tipo de par de chaves** e **Formato do arquivo de chave privada**. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha **.pem**. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha **.ppk**. Escolha **Criar par de chaves**. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.
**Importante**  
Esta é a única chance de você salvar o arquivo de chave privada.

1. Na página **Iniciar uma instância**, na seção **Configurações de rede**, escolha **Editar**. Escolha a **VPC** na qual seu diretório foi criado na lista suspensa **VPC: *obrigatório***.

1. Escolha uma das sub-redes públicas em sua VPC na lista suspensa **Sub-rede**. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.

   Para obter mais informações sobre como conectar a um gateway da Internet, consulte [Conectar à Internet usando um gateway da Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) no *Guia do usuário da Amazon VPC*.

1. Em **Atribuir IP público automaticamente**, escolha **Habilitar**.

   Para obter mais informações sobre endereçamento IP público e privado, consulte [Endereçamento IP de instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) no *Guia do usuário do Amazon EC2*.

1. Para configurações de **Firewall (grupos de segurança)**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades. 

1. Para opções de **Configurar armazenamento**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

1. Selecione a seção **Detalhes avançados**, escolha seu domínio na lista suspensa **Diretório de associação ao domínio**.
**nota**  
Depois de escolher o diretório de associação do domínio, você verá:   

![\[Uma mensagem de erro ao selecionar seu diretório de associação do domínio. Há um erro com seu documento do SSM existente.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Esse erro ocorre se o assistente de inicialização do EC2 identificar um documento do SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações:  
Se você editou anteriormente o documento do SSM e as propriedades são esperadas, escolha fechar e continue executando a instância do EC2 sem alterações.
Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento do SSM será criado automaticamente quando você iniciar a instância do EC2.

1. Para o **perfil da instância** do IAM, escolha a função do IAM que você criou anteriormente na seção de pré-requisitos **Etapa 2: Criar a** função Linux. EC2 DomainJoin 

1. Escolha **Iniciar instância**.

**nota**  
Se você estiver realizando uma associação direta a domínio com o SUSE Linux, uma reinicialização será necessária antes que as autenticações funcionem. Para reinicializar o SUSE via terminal Linux, digite **sudo reboot**.

# Associação manual de uma instância do Amazon EC2 para Linux ao Simple AD Active Directory
<a name="simple_ad_join_linux_instance"></a>

Além das instâncias do Amazon EC2 para Windows, também é possível associar determinadas instâncias do Amazon EC2 para Linux ao diretório do Simple AD. As seguintes distribuições e versões de instância do Linux são suportadas:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ AMI do Amazon Linux 2023
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1

**nota**  
Outras distribuições e versões do Linux podem funcionar, mas não foram testadas.

## Pré-requisitos
<a name="simple_ad_join_linux_prereq"></a>

Antes de associar uma instância do Amazon Linux, CentOS, Red Hat ou Ubuntu ao seu diretório, a instância deve primeiro ser iniciada conforme especificado em [Associação direta de uma instância do Amazon EC2 para Linux ao Simple AD Active Directory](simple_ad_seamlessly_join_linux_instance.md).

**Importante**  
Alguns dos procedimentos a seguir, se não forem executados corretamente, podem tornar sua instância inacessível ou não utilizável. Portanto, nós sugerimos enfaticamente que você faça um backup ou tire um snapshot da sua instância antes de executar esses procedimentos.

**Para associar uma instância do Linux ao seu diretório**  
Siga as etapas para a sua instância do Linux específica usando uma das seguintes guias:

------
#### [ Amazon Linux ]<a name="amazonlinux"></a>

1. Conecte-se à instância usando qualquer cliente SSH.

1. Configure a instância Linux para usar os endereços IP do servidor DNS dos Directory Service servidores DNS fornecidos. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se desejar defini-lo manualmente, consulte [Como faço para atribuir um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimentos da AWS para obter orientação sobre a definição do servidor de DNS persistente para sua distribuição e versão específicas do Linux.

1. Verifique se sua instância do Amazon Linux de 64 bits está atualizada.

   ```
   sudo yum -y update
   ```

1. Instale os pacotes do Amazon Linux necessários em sua instância do Linux.
**nota**  
Alguns desses pacotes já podem estar instalados.   
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.  
Amazon Linux  

   ```
   sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
   ```
**nota**  
Para obter ajuda para determinar a versão do Amazon Linux que você está usando, consulte [Como identificar imagens do Amazon Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id) no *Guia do usuário do Amazon EC2 para instâncias do Linux.*

1. Junte a instância ao diretório com o comando a seguir. 

   ```
   sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
   ```  
*join\$1account@EXAMPLE.COM*  
Uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).  
*example.com*  
O nome de DNS totalmente qualificado do seu diretório.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Ajuste o serviço SSH para permitir autenticação de senha.

   1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Defina a configuração `PasswordAuthentication` como `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Reinicie o serviço SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      Alternativa:

      ```
      sudo service sshd restart
      ```

1. Após a instância reiniciar, conecte-a com qualquer cliente SSH e adicione o grupo de administradores de domínio à lista de sudoers executando as seguintes etapas:

   1. Abra o arquivo `sudoers` com o seguinte comando:

      ```
      sudo visudo
      ```

   1. Adicione o seguinte ao final do arquivo `sudoers` e salve-o.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (O exemplo acima usa "\$1<space>" para criar o caractere de espaço do Linux.)

------
#### [ CentOS ]<a name="centos"></a>

1. Conecte-se à instância usando qualquer cliente SSH.

1. Configure a instância Linux para usar os endereços IP do servidor DNS dos Directory Service servidores DNS fornecidos. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se desejar defini-lo manualmente, consulte [Como faço para atribuir um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimentos da AWS para obter orientação sobre a definição do servidor de DNS persistente para sua distribuição e versão específicas do Linux.

1. Verifique se sua instância do CentOS 7 está atualizada.

   ```
   sudo yum -y update
   ```

1. Instale os pacotes do CentOS 7 necessários na sua instância do Linux.
**nota**  
Alguns desses pacotes já podem estar instalados.   
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.

   ```
   sudo yum -y install sssd realmd krb5-workstation samba-common-tools
   ```

1. Junte a instância ao diretório com o comando a seguir. 

   ```
   sudo realm join -U join_account@example.com example.com --verbose
   ```  
*join\$1account@example.com*  
Uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).  
*example.com*  
O nome de DNS totalmente qualificado do seu diretório.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Ajuste o serviço SSH para permitir autenticação de senha.

   1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Defina a configuração `PasswordAuthentication` como `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Reinicie o serviço SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      Alternativa:

      ```
      sudo service sshd restart
      ```

1. Após a instância reiniciar, conecte-a com qualquer cliente SSH e adicione o grupo de administradores de domínio à lista de sudoers executando as seguintes etapas:

   1. Abra o arquivo `sudoers` com o seguinte comando:

      ```
      sudo visudo
      ```

   1. Adicione o seguinte ao final do arquivo `sudoers` e salve-o.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (O exemplo acima usa "\$1<space>" para criar o caractere de espaço do Linux.)

------
#### [ Red hat ]<a name="redhat"></a>

1. Conecte-se à instância usando qualquer cliente SSH.

1. Configure a instância Linux para usar os endereços IP do servidor DNS dos Directory Service servidores DNS fornecidos. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se desejar defini-lo manualmente, consulte [Como faço para atribuir um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimentos da AWS para obter orientação sobre a definição do servidor de DNS persistente para sua distribuição e versão específicas do Linux.

1. Certifique-se de que a instância do Red Hat - 64 bits está atualizada.

   ```
   sudo yum -y update
   ```

1. Instale os pacotes do Red Hat necessários na sua instância do Linux.
**nota**  
Alguns desses pacotes já podem estar instalados.   
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.

   ```
   sudo yum -y install sssd realmd krb5-workstation samba-common-tools
   ```

1. Junte a instância ao diretório com o comando a seguir. 

   ```
   sudo realm join -v -U join_account example.com --install=/
   ```  
*join\$1account*  
O **AMAccountnome s** de uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).  
*example.com*  
O nome de DNS totalmente qualificado do seu diretório.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Ajuste o serviço SSH para permitir autenticação de senha.

   1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Defina a configuração `PasswordAuthentication` como `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Reinicie o serviço SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      Alternativa:

      ```
      sudo service sshd restart
      ```

1. Após a instância reiniciar, conecte-a com qualquer cliente SSH e adicione o grupo de administradores de domínio à lista de sudoers executando as seguintes etapas:

   1. Abra o arquivo `sudoers` com o seguinte comando:

      ```
      sudo visudo
      ```

   1. Adicione o seguinte ao final do arquivo `sudoers` e salve-o.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (O exemplo acima usa "\$1<space>" para criar o caractere de espaço do Linux.)

------
#### [ Ubuntu ]<a name="ubuntu"></a>

1. Conecte-se à instância usando qualquer cliente SSH.

1. Configure a instância Linux para usar os endereços IP do servidor DNS dos Directory Service servidores DNS fornecidos. Você pode fazer isso configurando-o nas opções de DHCP conectadas à VPC ou configurando-o manualmente na instância. Se desejar defini-lo manualmente, consulte [Como faço para atribuir um servidor DNS estático a uma instância privada do Amazon EC2](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) no Centro de Conhecimentos da AWS para obter orientação sobre a definição do servidor de DNS persistente para sua distribuição e versão específicas do Linux.

1. Certifique-se de que a instância do Ubuntu - 64 bits está atualizada.

   ```
   sudo apt-get update
   sudo apt-get -y upgrade
   ```

1. Instale os pacotes do Ubuntu necessários na sua instância do Linux.
**nota**  
Alguns desses pacotes já podem estar instalados.   
Enquanto você instala os pacotes, você pode ver várias telas pop-up de configuração. Você geralmente pode deixar os campos nessas telas em branco.

   ```
   sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
   ```

1. Desabilite a resolução de DNS reverso e defina o realm padrão para o FQDN do domínio. Instâncias do Ubuntu **devem** ser capazes de fazer a resolução inversa no DNS para que um realm possa funcionar. Caso contrário, você precisa desabilitar DNS reverso no /etc/krb5.conf, como a seguir:

   ```
   sudo vi /etc/krb5.conf
   ```

   ```
   [libdefaults]
   default_realm = EXAMPLE.COM
   rdns = false
   ```

1. Junte a instância ao diretório com o comando a seguir. 

   ```
   sudo realm join -U join_account example.com --verbose
   ```  
*join\$1account@example.com*  
O **AMAccountnome s** de uma conta no *example.com* domínio que tem privilégios de associação ao domínio. Digite a senha da conta quando solicitado. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md).  
*example.com*  
O nome de DNS totalmente qualificado do seu diretório.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Ajuste o serviço SSH para permitir autenticação de senha.

   1. Abra o arquivo `/etc/ssh/sshd_config` em um editor de textos.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Defina a configuração `PasswordAuthentication` como `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Reinicie o serviço SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      Alternativa:

      ```
      sudo service sshd restart
      ```

1. Após a instância reiniciar, conecte-a com qualquer cliente SSH e adicione o grupo de administradores de domínio à lista de sudoers executando as seguintes etapas:

   1. Abra o arquivo `sudoers` com o seguinte comando:

      ```
      sudo visudo
      ```

   1. Adicione o seguinte ao final do arquivo `sudoers` e salve-o.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (O exemplo acima usa "\$1<space>" para criar o caractere de espaço do Linux.)

------

**nota**  
Ao usar o Simple AD, se você criar uma conta de usuário em uma instância do Linux com a opção "Forçar usuário a alterar a senha no primeiro login", esse usuário não poderá alterar inicialmente sua senha usando o comando **kpasswd**. Para alterar a senha pela primeira vez, um administrador de domínio deverá atualizar a senha de usuário usando as ferramentas de gerenciamento do Active Directory.

## Gerenciar contas de uma instância do Linux
<a name="simple_ad_manage_accounts"></a>

Para gerenciar contas no Simple AD de uma instância do Linux, você deve atualizar arquivos de configuração específicos na sua instância do Linux da seguinte maneira:

1. ****Defina **krb5\$1use\$1kdcinfo** como False no arquivo/.conf. etc/sssd/sssd**** Por exemplo:

   ```
   [domain/example.com]
       krb5_use_kdcinfo = False
   ```

1. Para que a configuração seja aplicada, você precisa reiniciar o serviço sssd:

   ```
   $ sudo systemctl restart sssd.service
   ```

   Você também poderia usar o:

   ```
   $ sudo service sssd start
   ```

1. Se você pretende gerenciar usuários de uma instância do CentOS Linux, também deverá editar o arquivo **/etc/smb.conf** para incluir: 

   ```
   [global] 
     workgroup = EXAMPLE.COM
     realm = EXAMPLE.COM 
     netbios name = EXAMPLE
     security = ads
   ```

## Restringir o acesso de login da conta
<a name="simple_ad_linux_filter"></a>

Como todas as contas estão definidas no Active Directory, por padrão, todos os usuários no diretório podem fazer login na instância. Você pode permitir que somente usuários específicos façam login na instância com **ad\$1access\$1filter** em **sssd.conf**. Por exemplo:

```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```

*memberOf*  
Indica que os usuários só podem ter acesso à instância se participarem de um grupo específico.

*cn*  
O nome comum do grupo que deve ter acesso. Neste exemplo, o nome do grupo é*admins*.

*ou*  
Essa é a unidade organizacional na qual o grupo acima está localizado. Neste exemplo, a OU é*Testou*.

*dc*  
Este é o componente de domínio do seu domínio. Neste exemplo, *example*.

*dc*  
Este é um componente adicional de domínio. Neste exemplo, *com*.

Você deve adicionar manualmente **ad\$1access\$1filter** ao **/etc/sssd/sssd.conf**.

Abra o arquivo **/etc/sssd/sssd.conf** em um editor de textos.

```
sudo vi /etc/sssd/sssd.conf
```

Depois disso, seu **sssd.conf** pode ficar da seguinte forma:

```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam

[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```

Para que a configuração entre em vigor, é necessário reiniciar o serviço sssd:

```
sudo systemctl restart sssd.service
```

Você também poderia usar o:

```
sudo service sssd restart
```

## Mapeamento de ID
<a name="simple-ad-id-mapping"></a>

O mapeamento de ID pode ser realizado por dois métodos para manter uma experiência unificada entre as identidades User Identifier (UID) e Group Identifier (GID) do UNIX/Linux e as identidades Security Identifier (SID) do Windows e do Active Directory. Esses métodos são:

1. Centralizado

1. Distribuído

**nota**  
O mapeamento centralizado da identidade do usuário no Active Directory requer uma interface de sistema operacional portátil ou POSIX.

**Mapeamento centralizado da identidade do usuário**  
O Active Directory ou outro serviço do Lightweight Directory Access Protocol (LDAP) fornece UID e GID aos usuários do Linux. No Active Directory, esses identificadores serão armazenados nos atributos dos usuários se a extensão POSIX estiver configurada:
+ UID: o nome de usuário do Linux (string)
+ Número UID: o número de ID do usuário Linux (inteiro)
+ Número GID: o número de ID do grupo Linux (inteiro)

Para configurar uma instância do Linux para usar o UID e o GID no Active Directory, defina `ldap_id_mapping = False` no arquivo sssd.conf. Antes de definir esse valor, verifique se você adicionou um UID, um número UID e um número GID aos usuários e grupos no Active Directory.

**Mapeamento distribuído de identidade de usuário**  
Se o Active Directory não tiver a extensão POSIX ou se você optar por não gerenciar centralmente o mapeamento de identidade, o Linux poderá calcular os valores de UID e GID. O Linux usa o identificador de segurança (SID) exclusivo do usuário para manter a consistência.

Para configurar o mapeamento distribuído de ID do usuário, defina `ldap_id_mapping = True` no arquivo sssd.conf.

**Problemas comuns**  
Se você definir como `ldap_id_mapping = False`, às vezes a inicialização do serviço SSSD falha. O motivo dessa falha é devido a alterações UIDs não suportadas. Recomendamos excluir o cache SSSD sempre que mudar do mapeamento de ID para atributos POSIX ou vice-versa. Para obter mais detalhes sobre o mapeamento de ID e os parâmetros ldap\$1id\$1mapping, consulte a página sssd-ldap(8) man na linha de comando do Linux.

## Conectar-se à instância do Linux
<a name="simple_ad_linux_connect"></a>

Quando um usuário se conectar à instância usando um cliente SSH, será solicitado seu nome de usuário. O usuário pode informar o nome de usuário no formato `username@example.com` ou `EXAMPLE\username`. A resposta será semelhante à seguinte, dependendo da distribuição do Linux que você estiver usando:

**Amazon Linux, Red Hat Enterprise Linux e CentOS Linux**

```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```

**SUSE Linux**

```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)

As "root" (sudo or sudo -i) use the:
  - zypper command for package management
  - yast command for configuration management

Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud

Have a lot of fun...
```

**Ubuntu Linux**

```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)

* Documentation:  https://help.ubuntu.com
* Management:     https://landscape.canonical.com
* Support:        https://ubuntu.com/advantage

  System information as of Sat Apr 18 22:03:35 UTC 2020

  System load:  0.01              Processes:           102
  Usage of /:   18.6% of 7.69GB   Users logged in:     2
  Memory usage: 16%               IP address for eth0: 10.24.34.1
  Swap usage:   0%
```

# Delegação de privilégios de associação a diretório do Simple AD
<a name="simple_ad_directory_join_privileges"></a>

Para fazer com que um computador passe a integrar seu diretório, você precisa de uma conta com privilégios para integrar computadores ao diretório. 

Com o Simple AD os membros do grupo **Administradores de Domínio** têm privilégios suficientes para associar computadores ao diretório.

No entanto, a prática recomendada é que você deve usar uma conta que tenha apenas os privilégios mínimos necessários. O procedimento a seguir demonstra como criar um novo grupo chamado `Joiners` e delegar a ele os privilégios necessários para integrar computadores ao diretório.

Execute este procedimento em um computador que esteja integrado ao seu diretório e possua o snap-in do MMC **Usuário e Computadores do Active Directory)** instalado. Você também deve estar conectado como administrador de domínio.

**Para delegar privilégios de associação para o Simple AD**

1. Abra **Active Directory User and Computers (Usuário e computadores do Active Directory)** e selecione a raiz do domínio na árvore de navegação.

1. Na árvore de navegação à esquerda, abra o menu de contexto (clique com o botão direito do mouse) em **Users (Usuários)**, selecione **New (Novo)** e selecione **Group (Grupo)**. 

1. Na caixa **New Object - Group**, digite o seguinte, e escolha **OK**.
   + Em **Group name (Nome do grupo)**, digite **Joiners**.
   + Em **Group scope**, escolha **Global**.
   + Em **Group type**, escolha **Security**.

1. Na árvore de navegação, selecione a raiz do seu domínio. No menu **Action**, escolha **Delegate Control**.

1. Na página **Delegation of Control Wizard**, escolha **Next** e escolha **Add**.

1. Na caixa **Select Users, Computers, or Groups (Selecionar usuários, computadores ou grupos)**, digite `Joiners` e escolha **OK**. Se mais de um objeto for encontrado, selecione o grupo `Joiners` criado acima. Escolha **Próximo**.

1. Na página **Tasks to Delegate**, selecione **Create a custom task to delegate** e escolha **Next**.

1. Selecione **Only the following objects in the folder** e selecione **Computer objects**. 

1. Selecione **Create selected objects in this folder** e **Delete selected objects in this folder**. Escolha **Próximo**.  
![\[A caixa de diálogo Tipo de objeto do Active Directory do assistente de delegação de controle com somente os seguintes objetos na pasta: objetos de usuário selecionados, criar objetos selecionados nessa pasta e excluir objetos selecionados nessa pasta.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)

1. Selecione **Read** e **Write** e escolha **Next**.  
![\[A caixa de diálogo Permissões do assistente de delegação de controle com as seguintes permissões selecionadas: geral, específica da propriedade e leitura.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)

1. Verifique as informações da página **Completing the Delegation of Control Wizard** e escolha **Finish**. 

1. Crie um usuário com uma senha forte e adicione-o ao grupo `Joiners`. O usuário então terá privilégios suficientes para se conectar Directory Service ao diretório.

# Criação de um conjunto de opções de DHCP para o Simple AD
<a name="simple_ad_dhcp_options_set"></a>

AWS recomenda que você crie um conjunto de opções de DHCP para seu Directory Service diretório e atribua o conjunto de opções de DHCP à VPC em que seu diretório está. Dessa maneira, todas as instâncias nessa VPC podem apontar para o domínio especificado e os servidores DNS para resolver seus nomes de domínio.

 Para obter mais informações sobre os conjuntos de opções de DHCP, consulte [Conjuntos de opções de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) no *Guia do usuário do Amazon VPC*.

**Para criar um conjunto de opções de DHCP para o seu diretório**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, selecione **Conjuntos de opções DHCP** e, então, selecione **Criar conjuntos de opções DHCP**.

1. Na página **Criar conjunto de opções de DHCP**, forneça os seguintes valores para o seu diretório:  
**Nome**  
Um tag opcional para o conjunto de opções.  
**Domain name**  
O nome totalmente qualificado do diretório, como `corp.example.com`.  
**Servidores de nomes de domínio**  
Os endereços IP dos AWS servidores DNS do seu diretório fornecido.   
Para encontrar esses endereços, vá para o painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), selecione **Diretórios** e escolha o ID do diretório correto.  
**Servidores NTP**  
Deixe esse campo em branco.  
**Servidores de nomes NetBIOS**  
Deixe esse campo em branco.  
**Tipo de nó NetBIOS**  
Deixe esse campo em branco.

1. Escolha **Create DHCP Options set**. O novo conjunto de opções DHCP aparece na sua lista de opções DHCP.

1. Anote o ID do novo conjunto de opções DHCP (dopt-*xxxxxxxx*). Você precisará usá-lo para associar o novo conjunto de opções à sua VPC.

**Para alterar o conjunto de opções DHCP associado a uma VPC**

Depois de criar um conjunto de opções DHCP, você não pode modificá-las. Se você quiser que sua VPC use um conjunto diferente de opções DHCP, será necessário criar um novo conjunto e associá-lo a sua VPC. Você também pode configurar sua VPC para não usar nenhuma opção DHCP.

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Seu VPCs**.

1. Selecione a VPC e escolha **Ações**, **Editar configurações da VPC**.

1. Em **Conjunto de opções DHCP**, selecione um conjunto de opções ou escolha **Nenhum conjunto de opções de DHCP** e escolha **Salvar**.

Para alterar o conjunto de opções de DHCP associado a uma VPC usando a linha de comando, confira o seguinte:
+ **AWS CLI**: [associate-dhcp-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html)
+  **AWS Tools for Windows PowerShell**: [Register-EC2DhcpOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html)