As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Associe manualmente uma instância Amazon EC2 Linux ao seu Simple AD Active Directory
Além das instâncias EC2 do Amazon Windows, você também pode unir determinadas instâncias do Amazon EC2 Linux ao seu Simple AD Active Directory. As seguintes distribuições e versões de instância do Linux são suportadas:
-
Amazon Linux AMI 2018.03.0
-
Amazon Linux 2 (64 bits x86)
-
AMI do Amazon Linux 2023
-
Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
-
Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS
-
CentOS 7 x86-64
-
Servidor SUSE Linux Enterprise 15 SP1
nota
Outras distribuições e versões do Linux podem funcionar, mas não foram testadas.
Pré-requisitos
Antes de associar uma instância do Amazon Linux, CentOS, Red Hat ou Ubuntu ao seu diretório, a instância deve primeiro ser iniciada conforme especificado em Associe perfeitamente uma instância Amazon EC2 Linux ao seu Simple AD Active Directory.
Importante
Alguns dos procedimentos a seguir, se não forem executados corretamente, podem tornar sua instância inacessível ou não utilizável. Portanto, nós sugerimos enfaticamente que você faça um backup ou tire um snapshot da sua instância antes de executar esses procedimentos.
Para associar uma instância do Linux ao seu diretório
Siga as etapas para a sua instância do Linux específica usando uma das seguintes guias:
nota
Ao usar o Simple AD, se você criar uma conta de usuário em uma instância do Linux com a opção "Forçar usuário a alterar a senha no primeiro login", esse usuário não poderá alterar inicialmente sua senha usando o comando kpasswd. Para alterar a senha pela primeira vez, um administrador de domínio deverá atualizar a senha de usuário usando as ferramentas de gerenciamento do Active Directory.
Gerenciar contas de uma instância do Linux
Para gerenciar contas no Simple AD de uma instância do Linux, você deve atualizar arquivos de configuração específicos na sua instância do Linux da seguinte maneira:
-
Defina krb5_use_kdcinfo como False no arquivo/.conf. etc/sssd/sssd Por exemplo:
[domain/example.com] krb5_use_kdcinfo = False
-
Para que a configuração seja aplicada, você precisa reiniciar o serviço sssd:
$ sudo systemctl restart sssd.service
Você também poderia usar o:
$ sudo service sssd start
-
Se você pretende gerenciar usuários de uma instância do CentOS Linux, também deverá editar o arquivo /etc/smb.conf para incluir:
[global] workgroup = EXAMPLE.COM realm = EXAMPLE.COM netbios name = EXAMPLE security = ads
Restringir o acesso de login da conta
Como todas as contas estão definidas no Active Directory, por padrão, todos os usuários no diretório podem fazer login na instância. Você pode permitir que somente usuários específicos façam login na instância com ad_access_filter em sssd.conf. Por exemplo:
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
-
Indica que os usuários só podem ter acesso à instância se participarem de um grupo específico.
cn
-
O nome comum do grupo que deve ter acesso. Neste exemplo, o nome do grupo é
admins
. ou
-
Essa é a unidade organizacional na qual o grupo acima está localizado. Neste exemplo, a OU é
Testou
. dc
-
Este é o componente de domínio do seu domínio. Neste exemplo,
example
. dc
-
Este é um componente adicional de domínio. Neste exemplo,
com
.
Você deve adicionar manualmente ad_access_filter ao /etc/sssd/sssd.conf.
Abra o arquivo /etc/sssd/sssd.conf em um editor de textos.
sudo vi /etc/sssd/sssd.conf
Depois disso, seu sssd.conf pode ficar da seguinte forma:
[sssd] domains = example.com config_file_version = 2 services = nss, pam [domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
Para que a configuração entre em vigor, é necessário reiniciar o serviço sssd:
sudo systemctl restart sssd.service
Você também poderia usar o:
sudo service sssd restart
Mapeamento de ID
O mapeamento de ID pode ser realizado por dois métodos para manter uma experiência unificada entre o Identificador de Usuário (UID) e o Identificador de Grupo (GID) do UNIX/Linux e o Windows e Active Directory Identidades do Identificador de Segurança (SID). Esses métodos são:
Centralizado
Distribuído
nota
Mapeamento centralizado da identidade do usuário em Active Directory requer interface de sistema operacional portátil ou POSIX.
Mapeamento centralizado da identidade do usuário
Active Directory ou outro serviço do Lightweight Directory Access Protocol (LDAP) fornece UID e GID aos usuários do Linux. Em Active Directory, esses identificadores são armazenados nos atributos dos usuários se a extensão POSIX estiver configurada:
UID: o nome de usuário do Linux (string)
Número UID: o número de ID do usuário Linux (inteiro)
Número GID: o número de ID do grupo Linux (inteiro)
Para configurar uma instância Linux para usar o UID e o GID do Active Directory, definido ldap_id_mapping = False
no arquivo sssd.conf. Antes de definir esse valor, verifique se você adicionou um UID, um número UID e um número GID aos usuários e grupos no Active Directory.
Mapeamento distribuído de identidade de usuário
If (Se) Active Directory não tem a extensão POSIX ou, se você optar por não gerenciar centralmente o mapeamento de identidade, o Linux pode calcular os valores de UID e GID. O Linux usa o identificador de segurança (SID) exclusivo do usuário para manter a consistência.
Para configurar o mapeamento distribuído de ID do usuário, defina ldap_id_mapping = True
no arquivo sssd.conf.
Problemas comuns
Se você definirldap_id_mapping = False
, às vezes a inicialização do serviço SSSD falhará. O motivo dessa falha é devido a alterações UIDs não suportadas. Recomendamos que você exclua o cache SSSD sempre que mudar do mapeamento de ID para atributos POSIX ou de atributos POSIX para mapeamento de ID. Para obter mais detalhes sobre o mapeamento de ID e os parâmetros ldap_id_mapping, consulte a página do manual sssd-ldap (8) na linha de comando do Linux.
Conectar-se à instância do Linux
Quando um usuário se conectar à instância usando um cliente SSH, será solicitado seu nome de usuário. O usuário pode informar o nome de usuário no formato username@example.com
ou EXAMPLE\username
. A resposta será semelhante à seguinte, dependendo da distribuição do Linux que você estiver usando:
Amazon Linux, Red Hat Enterprise Linux e CentOS Linux
login as: johndoe@example.com johndoe@example.com's password: Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
SUSE Linux
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basics Documentation: https://www.suse.com/documentation/sles-15/ Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun...
Ubuntu Linux
login as: admin@example.com admin@example.com@10.24.34.0's password: Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0%