Unir sin problemas una instancia de Amazon EC2 Linux a su Active Directory de Simple AD - AWS Directory Service
Requisitos previosUne sin problemas una instancia de Linux a tu Active Directory de Simple AD

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Unir sin problemas una instancia de Amazon EC2 Linux a su Active Directory de Simple AD

Este procedimiento une sin problemas una instancia Linux de Amazon EC2 a su Active Directory Simple AD.

Son compatibles las siguientes distribuciones y versiones de instancias de Linux:

  • Amazon Linux AMI 2018.03.0

  • Amazon Linux 2 (64 bits x86)

  • Red Hat Enterprise Linux 8 (HVM) (64 bits x86)

  • Ubuntu Server 18.04 LTS y Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSE Linux Enterprise Server 15 SP1

nota

Las distribuciones anteriores a Ubuntu 14 y Red Hat Enterprise Linux 7 no admiten la característica de unión fluida de dominios.

Requisitos previos

Para poder configurar una unión de dominio perfecta a una instancia de Linux, debe completar los procedimientos de esta sección.

Selección de la cuenta de servicio de unión de dominios fluida

Puede unir de forma fluida equipos Linux a su dominio de Simple AD. Para ello, debe crear una cuenta de usuario con permisos de creación de cuentas de equipos para unir los equipos al dominio. Si bien es posible que los miembros de los administradores del dominio u otros grupos tengan privilegios suficientes para unir los equipos al dominio, no lo recomendamos. Como práctica recomendada, le recomendamos que utilice una cuenta de servicio que tenga los privilegios mínimos necesarios para unir los equipos al dominio.

Para obtener información sobre cómo procesar y delegar los permisos de su cuenta de servicio para la creación de cuentas de equipo, consulte Privilegios delegados a su cuenta de servicio.

Creación de secretos para almacenar la cuenta de servicio de dominio

Puede utilizarla AWS Secrets Manager para almacenar la cuenta de servicio de dominio.

Creación de secretos y almacenamiento de la información de la cuenta de servicio de dominio

  1. Inicie sesión en la AWS Secrets Manager consola AWS Management Console y ábrala en https://console.aws.amazon.com/secretsmanager/.

  2. Elija Almacenar un secreto nuevo.

  3. En la página Store a new secret (Almacenar un nuevo secreto), haga lo siguiente:

    1. En Tipo de secreto, seleccione Otro tipo de secretos.

    2. En Pares clave/valor, haga lo siguiente:

      1. En el cuadro de filtro, escriba awsSeamlessDomainUsername. En la misma fila, en el cuadro siguiente, introduzca el nombre de usuario de su cuenta de servicio. Por ejemplo, si utilizó el PowerShell comando anteriormente, el nombre de la cuenta de servicio seríaawsSeamlessDomain.

        nota

        Debe ingresar awsSeamlessDomainUsername exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.

        En la AWS Secrets Manager consola, en la página de selección de un tipo de secreto. En Tipo de secreto se selecciona otro tipo de secreto y awsSeamlessDomainUsername se introduce como valor clave.

      2. Seleccione Agregar regla.

      3. En la nueva fila, en el primer cuadro, ingrese awsSeamlessDomainPassword. En la misma fila, en el cuadro siguiente, ingrese la contraseña de su cuenta de servicio.

        nota

        Debe ingresar awsSeamlessDomainPassword exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.

      4. En Clave de cifrado, deje el valor predeterminadoaws/secretsmanager. AWS Secrets Manager siempre cifra el secreto al elegir esta opción. También puede elegir una clave que haya creado.

        nota

        Hay tarifas asociadas AWS Secrets Manager, según el secreto que utilices. Para obtener la lista de precios completa, consulte Precios de AWS Secrets Manager.

        Puedes usar la clave AWS gestionada aws/secretsmanager que crea Secrets Manager para cifrar tus secretos de forma gratuita. Si crea sus propias claves de KMS para cifrar sus secretos, se le AWS cobrará la tarifa actual AWS KMS . Para obtener más información, consulte AWS Key Management Service Precios.

      5. Elija Siguiente.

  4. En Nombre secreto, introduzca un nombre secreto que incluya su ID de directorio con el siguiente formato y sustituya d-xxxxxxxxx por su ID de directorio:

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Se usará para recuperar los secretos de la aplicación.

    nota

    Debe escribir aws/directory-services/d-xxxxxxxxx/seamless-domain-join exactamente como está, pero sustituya d-xxxxxxxxxx por su ID de directorio. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.

    En la AWS Secrets Manager consola, en la página secreta de configuración. El nombre secreto se introduce y se resalta.

  5. Deje todo lo demás con los valores predeterminados y, a continuación, elija Siguiente.

  6. En Configurar rotación automática, elija Deshabilitar rotación automática y, a continuación, Siguiente.

  7. Revise la configuración y, a continuación, elija Almacenar para guardar los cambios. La consola de Secrets Manager vuelve a la lista de secretos de su cuenta con el nuevo secreto ahora incluido en la lista.

  8. Elija el nombre del secreto recién creado de la lista y tome nota del valor del ARN del secreto. Lo necesitará en la sección siguiente.

Creación del rol y la política de IAM obligatorios

Siga los siguientes pasos previos para crear una política personalizada que permita el acceso de solo lectura a su secreto de unión a dominios integrada de Secrets Manager (que creó anteriormente) y para crear un nuevo rol de IAM de DomainJoin LinuxEC2.

Creación de la política de lectura de IAM de Secrets Manager

Utilizará la consola de IAM para crear una política que concede acceso de solo lectura a su secreto de Secrets Manager.

Creación de la política de lectura de IAM de Secrets Manager

  1. Inicie sesión AWS Management Console como usuario con permiso para crear políticas de IAM. A continuación, abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, Administración de acceso, selecciona Políticas.

  3. Elija Crear política.

  4. Seleccione la pestaña JSON y copie el texto del siguiente documento de política JSON. A continuación, péguelo en el cuadro de texto JSON.

    nota

    Asegúrate de reemplazar el ARN de región y recurso por el ARN y la región reales del secreto que creaste anteriormente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Cuando haya terminado, elija Next. El validador de políticas notifica los errores de sintaxis. Para obtener más información, consulte Validación de políticas de IAM.

  6. En la página Revisar política, ingrese un nombre para la política, como SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Revise el Resumen de la política para ver los permisos concedidos por su política. Seleccione Crear política para guardar los cambios. La nueva política aparece en la lista de las políticas administradas y está lista para asociar a una identidad.

nota

Le recomendamos que cree una política por secreto. De este modo, se garantiza que las instancias solo tengan acceso al secreto adecuado y se minimiza el impacto en caso de que una instancia se vea comprometida.

Cree el rol LinuxEC2 DomainJoin

Utilice la consola de IAM para crear el rol que utilizará para unirse al dominio de su instancia de EC2 de Linux.

Para crear el rol LinuxEC2 DomainJoin

  1. Inicie sesión AWS Management Console como usuario con permiso para crear políticas de IAM. A continuación, abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, en Administración del acceso, elija Roles.

  3. En el panel de contenido, elija Crear rol.

  4. En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS .

  5. En Caso de uso, elija EC2 y, a continuación, elija Siguiente.

    En la consola de IAM, en la página de selección de la entidad de confianza. AWS se seleccionan el servicio y el EC2.

  6. En Políticas de filtro, haga lo siguiente:

    1. Escriba AmazonSSMManagedInstanceCore. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

    2. Escriba AmazonSSMDirectoryServiceAccess. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

    3. Ingrese SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o el nombre de la política creada en el procedimiento anterior). A continuación, seleccione la casilla de verificación de ese elemento de la lista.

    4. Tras añadir las tres políticas enumeradas anteriormente, seleccione Crear función.

    nota

    AmazonSSM DirectoryServiceAccess proporciona los permisos para unir instancias a una instancia Active Directory gestionada por. AWS Directory Service AmazonSSM ManagedInstanceCore proporciona los permisos mínimos necesarios para usar el servicio. AWS Systems Manager Para obtener más información sobre la creación de un rol con estos permisos y para obtener información sobre otros permisos y políticas que puede asignar a su rol de IAM, consulte Creación de un perfil de instancia de IAM para Systems Manager en la Guía del usuario de AWS Systems Manager .

  7. Introduzca un nombre para su nueva función, por ejemplo, LinuxEC2DomainJoin u otro nombre que prefiera en el campo Nombre de la función.

  8. (Opcional) En Role description (Descripción del rol), escriba una descripción.

  9. (Opcional) Selecciona Añadir nueva etiqueta en el paso 3: Añadir etiquetas para añadir etiquetas. Los pares clave-valor de etiquetas se utilizan para organizar, rastrear o controlar el acceso de este rol.

  10. Seleccione Crear rol.

Une sin problemas una instancia de Linux a tu Active Directory de Simple AD

Ahora que ha configurado todas las tareas previas, puede utilizar el siguiente procedimiento para unirse sin problemas a su instancia EC2 de Linux.

Para unirse sin problemas a su instancia de Linux

  1. Inicie sesión en la consola Amazon EC2 AWS Management Console y ábrala en https://console.aws.amazon.com/ec2/.

  2. En el selector de regiones de la barra de navegación, elija el Región de AWS mismo directorio que el existente.

  3. En el panel de control de EC2, en la sección Lanzar instancia, elija Lanzar instancia.

  4. En la página Lanzar una instancia, en la sección Nombre y etiquetas, introduce el nombre que te gustaría usar para tu instancia EC2 de Linux.

  5. (Opcional) Elija Agregar etiquetas adicionales para agregar uno o varios pares clave-valor de etiqueta para organizar o controlar el acceso a esta instancia de EC2 o hacer su seguimiento.

  6. En la sección Imagen de aplicación e sistema operativo (Amazon Machine Image), elija la AMI de Linux que desee lanzar.

    nota

    La AMI utilizada debe tener AWS Systems Manager (SSM Agent) la versión 2.3.1644.0 o superior. Para comprobar la versión de SSM Agent instalada en la AMI mediante el lanzamiento de una instancia desde esa AMI, consulte Obtener la versión de SSM Agent instalada actualmente. Si necesita actualizar SSM Agent, consulte Instalación y configuración de SSM Agent en instancias de EC2 para Linux.

    SSM usa el aws:domainJoin complemento al unir una instancia de Linux a un dominio. Active Directory El complemento cambia el nombre de host de las instancias de Linux al formato EC2AMAZ-XXXXXXX. Para obtener más información al respectoaws:domainJoin, consulte la referencia del complemento del documento de AWS Systems Manager comandos en la Guía del usuario.AWS Systems Manager

  7. En la sección Tipo de instancia, elija el tipo de instancia que desee usar en la lista desplegable Tipo de instancia.

  8. En la sección Par de claves (inicio de sesión), puede elegir entre crear un nuevo par de claves o elegir un par de claves existente. Para crear un nuevo par de claves, elija Crear nuevo par de claves. Ingrese un nombre para el par de claves y seleccione una opción en Tipo de par de claves y Formato de archivo de clave privada. Para guardar la clave privada en un formato que se pueda utilizar con OpenSSH, elija .pem. Para guardar la clave privada en un formato que se pueda utilizar con PuTTY, elija .ppk. Elija Crear par de claves. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.

    importante

    Esta es la única oportunidad para guardar el archivo de clave privada.

  9. En la página Lanzar una instancia, en la sección Configuración de red, elija Editar. Elija la VPC en la que se creó el directorio en la lista desplegable VPC: obligatoria.

  10. Elija una de las subredes públicas de su VPC en la lista desplegable Subred. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.

    Para obtener más información sobre cómo conectar una puerta de enlace de Internet, consulte Conexión a Internet mediante una puerta de enlace de Internet en la Guía del usuario de Amazon VPC.

  11. En Autoasignar IP pública, elija Habilitar.

    Para obtener más información sobre direcciones IP públicas y privadas, consulte Direcciones IP de instancias de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Windows.

  12. En la configuración Firewall (grupos de seguridad), puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades.

  13. En la configuración Configurar almacenamiento, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.

  14. Seleccione la sección Detalles avanzados y elija su dominio en la lista desplegable Directorio de unión de dominios.

    nota

    Tras elegir el directorio de unión de dominios, es posible que veas lo siguiente:

    Aparece un mensaje de error al seleccionar el directorio de unión de dominios. Hay un error en tu documento SSM existente.

    Este error se produce si el asistente de lanzamiento de EC2 identifica un documento SSM existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:

    • Si ya ha editado el documento SSM y las propiedades son las esperadas, seleccione cerrar y proceda a lanzar la instancia de EC2 sin cambios.

    • Seleccione el enlace para eliminar el documento SSM existente aquí para eliminar el documento SSM. Esto permitirá crear un documento SSM con las propiedades correctas. El documento SSM se creará automáticamente al lanzar la instancia EC2.

  15. Para el perfil de instancia de IAM, elija el rol de IAM que creó anteriormente en la sección de requisitos previos. Paso 2: Crear el rol LinuxEC2. DomainJoin

  16. Seleccione iniciar instancia.

nota

Si va a llevar a cabo una unión de dominio fluida con SUSE Linux, es necesario reiniciarla para que las autenticaciones funcionen. Para reiniciar SUSE desde el terminal Linux, escriba sudo reboot.