本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
手動將 Amazon EC2 Linux 執行個體加入您的 AWS 受管 Microsoft AD 活動目錄
除了 Amazon EC2 Windows 執行個體之外,您還可以將某些 Amazon EC2 Linux 執行個體加入您的 AWS 受管 Microsoft AD 活動目錄。系統支援下列 Linux 執行個體分佈和版本:
其他 Linux 分佈和版本也許能正常運作,但尚未經過測試。
將 Linux 執行個體加入您的 AWS 管理 Microsoft AD
在將 Amazon Linux、CentOS、Red Hat 或 Ubuntu 執行個體加入目錄之前,必須先依照 無縫加入您的 Linux 執行個體 中的指定啟動執行個體。
以下某些程序若未正確執行,可能會導致您的執行個體無法連線或無法使用。因此,我們強烈建議您在執行這些程序之前,對您的執行個體進行備份或擷取快照。
將 Linux 執行個體加入您的目錄
使用以下其中一個標籤,依照您的特定 Linux 執行個體的步驟:
- Amazon Linux
-
-
使用任何用SSH戶端 Connect 至執行個體。
-
將 Linux 執行個體設定為使用提供之伺DNS服器的DNS伺 AWS Directory Service服器 IP 位址。您可以在附加至的「DHCP選項」集中進行設定,VPC或在例證上手動設定來執行此操作。如果您想要手動設定,請參閱如何將靜態DNS伺服器指派給 AWS
知識中心中的私有 Amazon EC2 執行個體,以取得針對特定 Linux 發行版和版本設定永久性DNS伺服器的指引。
-
請確定您的 Amazon Linux - 64 位元執行個體處於最新狀態。
sudo yum -y update
-
在您的 Linux 執行個體上安裝所需的 Amazon Linux 套件。
系統可能已安裝其中一些套裝服務。
在安裝套件時,可能會出現好幾個跳出式設定畫面。您通常可以將這些畫面中的欄位留白。
- Amazon Linux
-
sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
-
使用下列命令將執行個體加入目錄。
sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
...
* Successfully enrolled machine in realm
-
將SSH服務設定為允許密碼驗證。
-
在文字編輯器中開啟 /etc/ssh/sshd_config 檔案。
sudo vi /etc/ssh/sshd_config
-
將 PasswordAuthentication 設定設為 yes。
PasswordAuthentication yes
-
重新啟動 SSH 服務。
sudo systemctl restart sshd.service
或使用:
sudo service sshd restart
-
重新啟動執行個體之後,請透過任何從SSH屬端連線至執行個體,然後執行下列步驟,將 AWS 委派管理員群組新增至 sudoers 清單:
-
使用下列命令開啟 sudoers 檔案:
sudo visudo
-
在 sudoers 檔案的底部加入下列程式碼,然後儲存檔案。
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
(上述範例使用 "\<space>" 來建立 Linux 空白字元。)
- CentOS
-
-
使用任何用SSH戶端 Connect 至執行個體。
-
將 Linux 執行個體設定為使用提供之伺DNS服器的DNS伺 AWS Directory Service服器 IP 位址。您可以在附加至的「DHCP選項」集中進行設定,VPC或在例證上手動設定來執行此操作。如果您想要手動設定,請參閱如何將靜態DNS伺服器指派給 AWS
知識中心中的私有 Amazon EC2 執行個體,以取得針對特定 Linux 發行版和版本設定永久性DNS伺服器的指引。
-
請確定您的 CentOS 7 執行個體處於最新狀態。
sudo yum -y update
-
在您的 CentOS 7 執行個體上安裝必要的套裝服務。
系統可能已安裝其中一些套裝服務。
在安裝套件時,可能會出現好幾個跳出式設定畫面。您通常可以將這些畫面中的欄位留白。
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
-
使用下列命令將執行個體加入目錄。
sudo realm join -U join_account@example.com example.com --verbose
...
* Successfully enrolled machine in realm
-
將SSH服務設定為允許密碼驗證。
-
在文字編輯器中開啟 /etc/ssh/sshd_config 檔案。
sudo vi /etc/ssh/sshd_config
-
將 PasswordAuthentication 設定設為 yes。
PasswordAuthentication yes
-
重新啟動 SSH 服務。
sudo systemctl restart sshd.service
或使用:
sudo service sshd restart
-
重新啟動執行個體之後,請透過任何從SSH屬端連線至執行個體,然後執行下列步驟,將 AWS 委派管理員群組新增至 sudoers 清單:
-
使用下列命令開啟 sudoers 檔案:
sudo visudo
-
在 sudoers 檔案的底部加入下列程式碼,然後儲存檔案。
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
(上述範例使用 "\<space>" 來建立 Linux 空白字元。)
- Red Hat
-
-
使用任何用SSH戶端 Connect 至執行個體。
-
將 Linux 執行個體設定為使用提供之伺DNS服器的DNS伺 AWS Directory Service服器 IP 位址。您可以在附加至的「DHCP選項」集中進行設定,VPC或在例證上手動設定來執行此操作。如果您想要手動設定,請參閱如何將靜態DNS伺服器指派給 AWS
知識中心中的私有 Amazon EC2 執行個體,以取得針對特定 Linux 發行版和版本設定永久性DNS伺服器的指引。
-
確定 Red Hat 64 位元執行個體是最新版本。
sudo yum -y update
-
在您的 Linux 執行個體上,安裝必要的 Red Hat 套件。
系統可能已安裝其中一些套裝服務。
在安裝套件時,可能會出現好幾個跳出式設定畫面。您通常可以將這些畫面中的欄位留白。
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
-
使用下列命令將執行個體加入目錄。
sudo realm join -v -U join_account example.com --install=/
...
* Successfully enrolled machine in realm
-
將SSH服務設定為允許密碼驗證。
-
在文字編輯器中開啟 /etc/ssh/sshd_config 檔案。
sudo vi /etc/ssh/sshd_config
-
將 PasswordAuthentication 設定設為 yes。
PasswordAuthentication yes
-
重新啟動 SSH 服務。
sudo systemctl restart sshd.service
或使用:
sudo service sshd restart
-
重新啟動執行個體之後,請透過任何從SSH屬端連線至執行個體,然後執行下列步驟,將 AWS 委派管理員群組新增至 sudoers 清單:
-
使用下列命令開啟 sudoers 檔案:
sudo visudo
-
在 sudoers 檔案的底部加入下列程式碼,然後儲存檔案。
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
(上述範例使用 "\<space>" 來建立 Linux 空白字元。)
- SUSE
-
-
使用任何用SSH戶端 Connect 至執行個體。
-
將 Linux 執行個體設定為使用提供之伺DNS服器的DNS伺 AWS Directory Service服器 IP 位址。您可以在附加至的「DHCP選項」集中進行設定,VPC或在例證上手動設定來執行此操作。如果您想要手動設定,請參閱如何將靜態DNS伺服器指派給 AWS 知識中心中的私有 Amazon EC2 執行個體,以取得針對特定 Linux 發行版和版本設定永久性DNS伺服器的指引。
-
請確定您的 SUSE Linux 15 執行個體為最新版本。
-
連接套件儲存庫。
sudo SUSEConnect -p PackageHub/15.1/x86_64
-
更新SUSE。
sudo zypper update -y
-
在您的執行SUSE個體上安裝所需的套件。
系統可能已安裝其中一些套裝服務。
在安裝套件時,可能會出現好幾個跳出式設定畫面。您通常可以將這些畫面中的欄位留白。
sudo zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client krb5-client
-
使用下列命令將執行個體加入目錄。
sudo realm join -U join_account example.com --verbose
…
realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed.
請注意,以下兩者都是預期會發生的傳回項目。
! Couldn't authenticate with keytab while discovering which salt to use:
! Enabling SSSD in nsswitch.conf and PAM failed.
-
在中手動SSSD啟用PAM。
sudo pam-config --add --sss
-
編輯切換 .conf 以在開關 .conf 中啟用 SSSD
sudo vi /etc/nsswitch.conf
passwd: compat sss
group: compat sss
shadow: compat sss
-
將以下資料行新增到 /etc/pam.d/common-session ,以便在初始登入時自動建立主目錄
sudo vi /etc/pam.d/common-session
session optional pam_mkhomedir.so skel=/etc/skel umask=077
-
重新啟動執行個體以完成加入網域的程序。
sudo reboot
-
使用任何用SSH戶端重新連線至執行個體,以確認網域加入已成功完成,並完成其他步驟。
-
確認執行個體已在網域上註冊
sudo realm list
example.com
type: kerberos
realm-name: EXAMPLE.COM
domain-name: example.com
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: adcli
required-package: samba-client
login-formats: %U@example.com
login-policy: allow-realm-logins
-
驗證SSSD協助程式的狀態
systemctl status sssd
sssd.service - System Security Services Daemon
Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2020-04-15 16:22:32 UTC; 3min 49s ago
Main PID: 479 (sssd)
Tasks: 4
CGroup: /system.slice/sssd.service
├─479 /usr/sbin/sssd -i --logger=files
├─505 /usr/lib/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files
├─548 /usr/lib/sssd/sssd_nss --uid 0 --gid 0 --logger=files
└─549 /usr/lib/sssd/sssd_pam --uid 0 --gid 0 --logger=files
-
允許使用者透過SSH和主控台存取
sudo realm permit join_account@example.com
允許透過SSH和主控台存取網域群組
sudo realm permit -g 'AWS Delegated Administrators'
或者允許所有使用者存取
sudo realm permit --all
-
將SSH服務設定為允許密碼驗證。
-
在文字編輯器中開啟 /etc/ssh/sshd_config 檔案。
sudo vi /etc/ssh/sshd_config
-
將 PasswordAuthentication 設定設為 yes。
PasswordAuthentication yes
-
重新啟動 SSH 服務。
sudo systemctl restart sshd.service
或使用:
sudo service sshd restart
-
13. 重新啟動執行個體之後,請透過任何從SSH屬端連線至執行個體,然後執行下列步驟,將 AWS 委派管理員群組新增至 sudoers 清單:
-
使用下列命令開啟 sudoers 檔案:
sudo visudo
-
在 sudoers 檔案的底部加入下列程式碼,然後儲存檔案。
## Add the "Domain Admins" group from the awsad.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL) NOPASSWD: ALL
- Ubuntu
-
-
使用任何用SSH戶端 Connect 至執行個體。
-
將 Linux 執行個體設定為使用提供之伺DNS服器的DNS伺 AWS Directory Service服器 IP 位址。您可以在附加至的「DHCP選項」集中進行設定,VPC或在例證上手動設定來執行此操作。如果您想要手動設定,請參閱如何將靜態DNS伺服器指派給 AWS
知識中心中的私有 Amazon EC2 執行個體,以取得針對特定 Linux 發行版和版本設定永久性DNS伺服器的指引。
-
確定 Ubuntu 64 位元執行個體是最新版本。
sudo apt-get update
sudo apt-get -y upgrade
-
在您的 Linux 執行個體上,安裝必要的 Ubuntu 套件。
系統可能已安裝其中一些套裝服務。
在安裝套件時,可能會出現好幾個跳出式設定畫面。您通常可以將這些畫面中的欄位留白。
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
-
禁用反向DNS解析並將默認領域設置為您的域FQDN。Ubuntu 實例必須是可反向解析的領域DNS才能正常工作。否則,您必須DNS在 /etc/krb5.conf 中停用反向功能,如下所示:
sudo vi /etc/krb5.conf
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
-
使用下列命令將執行個體加入目錄。
sudo realm join -U join_account example.com --verbose
join_account@example.com-
中帳戶的sAMAccount名稱 example.com 具有網域加入權限的網域。請在系統提示時,輸入該帳戶的密碼。如需委派這些權限的詳細資訊,請參閱「委派 AWS 受管 Microsoft AD 目錄加入權限」。
example.com-
目錄的完整DNS名稱。
...
* Successfully enrolled machine in realm
-
將SSH服務設定為允許密碼驗證。
-
在文字編輯器中開啟 /etc/ssh/sshd_config 檔案。
sudo vi /etc/ssh/sshd_config
-
將 PasswordAuthentication 設定設為 yes。
PasswordAuthentication yes
-
重新啟動 SSH 服務。
sudo systemctl restart sshd.service
或使用:
sudo service sshd restart
-
重新啟動執行個體之後,請透過任何從SSH屬端連線至執行個體,然後執行下列步驟,將 AWS 委派管理員群組新增至 sudoers 清單:
-
使用下列命令開啟 sudoers 檔案:
sudo visudo
-
在 sudoers 檔案的底部加入下列程式碼,然後儲存檔案。
## Add the "AWS Delegated Administrators" group from the example.com domain.
%AWS\ Delegated\ Administrators@example.com ALL=(ALL:ALL) ALL
(上述範例使用 "\<space>" 來建立 Linux 空白字元。)
限制帳戶登入存取
由於在 Active Directory 中定義了所有帳戶,因此目錄中的所有使用者預設可登入該執行個體。您可以在 sssd.conf 中使用 ad_access_filter 只允許特定使用者登入執行個體。例如:
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf-
表示唯有使用者是特定群組的成員時,才可以存取執行個體。
cn-
應該具備存取權的群組通用名稱。在此範例中,群組名稱為 admins.
ou-
這代表上述群組所在的組織單位。在此範例中,OU 為 Testou.
dc-
這代表網域的網域元件。就本範例而言,example.
dc-
這代表額外的網域元件。就本範例而言,com.
您必須將 ad_access_filter 手動新增至 /etc/sssd/sssd.conf。
在文字編輯器中開啟 /etc/sssd/sssd.conf 檔案。
sudo vi /etc/sssd/sssd.conf
執行此動作後,您的 sssd.conf 可能如下所示:
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
您需要重新啟動 sssd 服務,才能使設定生效:
sudo systemctl restart sssd.service
或者,您可以使用:
sudo service sssd restart
由於在 Active Directory 中定義了所有帳戶,因此目錄中的所有使用者預設可登入該執行個體。您可以在 sssd.conf 中使用 ad_access_filter 只允許特定使用者登入執行個體。
例如:
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf-
表示唯有使用者是特定群組的成員時,才可以存取執行個體。
cn-
應該具備存取權的群組通用名稱。在此範例中,群組名稱為 admins.
ou-
這代表上述群組所在的組織單位。在此範例中,OU 為 Testou.
dc-
這代表網域的網域元件。就本範例而言,example.
dc-
這代表額外的網域元件。就本範例而言,com.
您必須將 ad_access_filter 手動新增至 /etc/sssd/sssd.conf。
-
在文字編輯器中開啟 /etc/sssd/sssd.conf 檔案。
sudo vi /etc/sssd/sssd.conf
-
執行此動作後,您的 sssd.conf 可能如下所示:
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
-
您需要重新啟動 sssd 服務,才能使設定生效:
sudo systemctl restart sssd.service
或者,您可以使用:
sudo service sssd restart
識別碼對應
ID 對應可以透過兩種方法執行,以維持 UNIX /Linux 使用者識別碼 (UID) 與群組識別碼 () 與 Windows 和Active Directory安全性識別碼 (GIDSID) 身分識別之間的統一體驗。
中的集中式使用者身分對應Active Directory需要可攜式作業系統介面或POSIX.
集中使用者身分對應
Active Directory或另一個輕量型目錄存取通訊協定 (LDAP) 服務提供UIDGID給 Linux 使用者。在中Active Directory,這些識別碼會儲存在使用者屬性中:
若要將 Linux 執行個體設定為使用UID和GID來源Active Directory,請ldap_id_mapping = False在 sssd.conf 檔案中設定。在設定此值之前,請確認您已在中新增UID、GID編UID號和編號Active Directory。
分佈式用戶身份映射
如果Active Directory沒有POSIX擴充功能,或者您選擇不集中管理身分對應,Linux 可以計算UID和GID值。Linux 會使用使用者唯一的安全性識別碼 (SID) 來維持一致性。
若要設定分散式使用者識別碼對應,請ldap_id_mapping = True在 sssd.conf 檔案中進行設定。
Connect 至 Linux 執行個體
當使用者使用用SSH戶端連線至執行個體時,系統會提示他們輸入使用者名稱。如果使用者想輸入使用者名稱,可以善用 username@example.com 或 EXAMPLE\username 格式。視您使用的 Linux 發行版本而定,回應會類似下列內容:
Amazon Linux、Red Hat Enterprise Linux 及 CentOS Linux
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
SUSELinux
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)
As "root" (sudo or sudo -i) use the:
- zypper command for package management
- yast command for configuration management
Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud
Have a lot of fun...
Ubuntu Linux
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sat Apr 18 22:03:35 UTC 2020
System load: 0.01 Processes: 102
Usage of /: 18.6% of 7.69GB Users logged in: 2
Memory usage: 16% IP address for eth0: 10.24.34.1
Swap usage: 0%
