本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # (可选)管理 AD 用户和组 在此步骤中,您将管理已加入 Active Directory(AD)域的 Amazon EC2 Amazon Linux 2 实例中的用户和组。 如果您使用的是*自动* 方法,请重启并登录到在自动操作过程中创建并加入 AD 的实例。 如果您使用的是*手动* 方法,请重启并登录到您在前面的步骤中创建并加入 AD 的实例。 在这些步骤中,您将使用前一步在实例中安装的 [adcli](https://www.mankier.com/package/adcli) 和 [openldap-clients](https://www.mankier.com/package/openldap-clients) 工具。 **登录到已加入 AD 域的 Amazon EC2 实例** 1. 从 Amazon EC2 控制台中,选择在之前的步骤中创建的无标题 Amazon EC2 实例。该实例的状态可能是**已停止**。 1. 如果实例状态为**已停止**,请选择**实例状态**,然后选择**启动实例**。 1. 状态检查通过后,选择该实例,然后选择**连接**并 SSH 登录到该实例。 **登录到已加入 AD 的 Amazon EC2 Amazon Linux 2 实例后管理用户和组** 当您使用 ` -U "Admin"` 选项运行 `adcli` 命令时,系统会提示您输入 AD `Admin` 密码。您可以将 AD `Admin` 密码作为 `ldapsearch` 命令的一部分。 1. **创建用户。** ``` $ adcli create-user {{"clusteruser"}} --domain {{"corp.example.com"}} -U "Admin" ``` 1. **设置用户密码。** ``` $ aws --region {{"region-id"}} ds reset-user-password --directory-id {{"d-abcdef01234567890"}} --user-name {{"clusteruser"}} --new-password {{"new-p@ssw0rd"}} ``` 1. **创建组。** ``` $ adcli create-group {{"clusterteam"}} --domain {{"corp.example.com"}} -U "Admin" ``` 1. **将用户添加到组。** ``` $ adcli add-member {{"clusterteam"}} {{"clusteruser"}} --domain {{"corp.example.com"}} -U "Admin" ``` 1. **描述用户和组。** 描述所有用户。 ``` $ ldapsearch "(&(objectClass={{user}}))" -x -h {{"192.0.2.254"}} -b "DC={{corp}},DC={{example}},DC={{com}}" -D "CN=Admin,OU=Users,OU={{CORP}},DC={{corp}},DC={{example}},DC={{com}}" -w {{"p@ssw0rd"}} ``` 描述特定用户。 ``` $ ldapsearch "(&(objectClass={{user}})(cn={{clusteruser}}))" -x -h {{"192.0.2.254"}} -b "DC={{corp}},DC={{example}},DC={{com}}" -D "CN=Admin,OU=Users,OU={{CORP}},DC={{corp}},DC={{example}},DC={{com}}" -w {{"p@ssw0rd"}} ``` 使用名称模式描述所有用户。 ``` $ ldapsearch "(&(objectClass={{user}})(cn={{user*}}))" -x -h {{"192.0.2.254"}} -b "DC={{corp}},DC={{example}},DC={{com}}" -D "CN=Admin,OU=Users,OU={{CORP}},DC={{corp}},DC={{example}},DC={{com}}" -w {{"p@ssw0rd"}} ``` 描述属于特定组的所有用户。 ``` $ ldapsearch "(&(objectClass={{user}})(memberOf=CN={{clusterteam}},OU=Users,OU={{CORP}},DC={{corp}},DC={{example}},DC={{com}}))" -x -h {{"192.0.2.254"}} -b "DC={{corp}},DC={{example}},DC={{com}}" -D "CN=Admin,OU=Users,OU={{CORP}},DC={{corp}},DC={{example}},DC={{com}}" -w {{"p@ssw0rd"}} ``` 描述所有组 ``` $ ldapsearch "objectClass={{group}}" -x -h {{"192.0.2.254"}} -b "DC={{corp}},DC={{example}},DC={{com}}" -D "CN=Admin,OU=Users,OU={{CORP}},DC={{corp}},DC={{example}},DC={{com}}" -w {{"p@ssw0rd"}} ``` 描述特定组 ``` $ ldapsearch "(&(objectClass={{group}})(cn={{clusterteam}}))" -x -h {{"192.0.2.254"}} -b "DC={{corp}},DC={{example}},DC={{com}}" -D "CN=Admin,OU=Users,OU={{CORP}},DC={{corp}},DC={{example}},DC={{com}}" -w {{"p@ssw0rd"}} ``` 1. **从组中删除用户。** ``` $ adcli remove-member {{"clusterteam"}} {{"clusteruser"}} --domain {{"corp.{{example}}.com"}} -U "Admin" ``` 1. **删除用户。** ``` $ adcli delete-user {{"clusteruser"}} --domain {{"corp.{{example}}.com"}} -U "Admin" ``` 1. **删除组。** ``` $ adcli delete-group {{"clusterteam"}} --domain {{"corp.{{example}}.com"}} -U "Admin" ```