Unisci senza problemi un'istanza Amazon EC2 Linux al tuo AWS Managed Microsoft AD con AD Connector

Questa procedura unisce senza problemi un'istanza Amazon EC2 Linux alla directory AWS Managed Microsoft AD.

Sono supportate le seguenti distribuzioni e versioni di istanze Linux:

• AMI Amazon Linux 2018.03.0

• Amazon Linux 2 (64-bit x86)

• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)

• Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS

• CentOS 7 x86-64

• SUSE Linux Enterprise Server 15 SP1

Nota

Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 non supportano la funzionalità di aggiunta ottimizzata del dominio.

Prerequisiti

Prima di poter configurare un join di dominio senza interruzioni su un'istanza Linux EC2, devi completare le procedure descritte in questa sezione.

Selezione dell'account del servizio di aggiunta ottimizzata del dominio

Puoi aggiungere facilmente computer Linux al tuo Active Directory dominio locale tramite AD Connector. A tale scopo, devi creare un account utente con le autorizzazioni di creazione di account di computer per aggiungere i computer al dominio. Se preferisci, puoi utilizzare il tuo account del servizio AD Connector. In alternativa, puoi utilizzare qualsiasi altro account che disponga di privilegi sufficienti per aggiungere computer al dominio. Sebbene i membri degli Amministratori di dominio o di altri gruppi possano disporre di privilegi sufficienti per aggiungere computer al dominio, questa operazione non è consigliata. Come best practice, si consiglia di utilizzare un account del servizio con i privilegi minimi necessari per aggiungere i computer al dominio.

Per delegare un account con i privilegi minimi necessari per aggiungere computer al dominio, puoi eseguire i seguenti comandi. PowerShell È necessario eseguire questi comandi da un computer aggiunto al dominio su cui è installato il fileWindows. Installare gli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD Inoltre, è necessario utilizzare un account che disponga dell'autorizzazione a modificare le autorizzazioni sull'unità organizzativa o sul container del computer. Il PowerShell comando imposta le autorizzazioni che consentono all'account del servizio di creare oggetti informatici nel contenitore di computer predefinito del dominio. Se preferisci utilizzare un'interfaccia utente grafica (GUI), puoi utilizzare il processo manuale descritto in Delegare privilegi all'account del servizio.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Se preferisci utilizzare un'interfaccia utente grafica (GUI), puoi utilizzare il processo manuale descritto in Delegare privilegi all'account del servizio.

Creazione dei segreti per archiviare l'account del servizio di dominio

È possibile utilizzare AWS Secrets Manager per archiviare l'account del servizio di dominio.

Per creare segreti e archiviare le informazioni sull'account del servizio di dominio

1. Accedi AWS Management Console e apri la AWS Secrets Manager console all'indirizzo https://console.aws.amazon.com/secretsmanager/.

2. Scegli Archivia un nuovo segreto.

3. Nella pagina Archivia un nuovo segreto, procedere nel seguente modo:

   1. In Tipo segreto, scegli Altro tipo di segreti.

   2. In Coppie chiave/valore, procedi come segue:

      1. Nella prima casella, inserisci awsSeamlessDomainUsername. Nella stessa riga, nella casella successiva, inserisci il nome utente per il tuo account di servizio. Ad esempio, se hai utilizzato il PowerShell comando in precedenza, il nome dell'account del servizio sarebbeawsSeamlessDomain.

         Nota

         Devi inserire awsSeamlessDomainUsername esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

         

      2. Scegli Aggiungi riga.

      3. Nella nuova riga, nella prima casella, inserisci awsSeamlessDomainPassword. Nella stessa riga, nella casella successiva, inserisci la password per il tuo account del servizio.

         Nota

         Devi inserire awsSeamlessDomainPassword esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

      4. In Chiave di crittografia, lascia il valore predefinitoaws/secretsmanager. AWS Secrets Manager crittografa sempre il segreto quando scegli questa opzione. Puoi anche scegliere una chiave creata da te.

         Nota

         Sono previste delle commissioni AWS Secrets Manager, a seconda del segreto utilizzato. Per l'elenco completo dei prezzi aggiornati, consulta la pagina dei prezzi AWS Secrets Manager.

         Puoi utilizzare la chiave AWS aws/secretsmanager gestita creata da Secrets Manager per crittografare i tuoi segreti gratuitamente. Se crei le tue chiavi KMS per crittografare i tuoi segreti, ti AWS addebiterà la tariffa attuale. AWS KMS Per ulteriori informazioni, consulta la sezione Prezzi di AWS Key Management Service.

      5. Seleziona Successivo.

4. In Nome segreto, inserisci un nome segreto che includa l'ID della tua directory utilizzando il seguente formato, sostituendo d-xxxxxxxxx con il tuo ID di directory:

   aws/directory-services/d-xxxxxxxxx/seamless-domain-join

   Questo nome viene utilizzato per recuperare i segreti nell'applicazione.

   Nota

   Devi inserire aws/directory-services/d-xxxxxxxxx/seamless-domain-join esattamente come è, e sostituire d-xxxxxxxxxx con l'ID della directory. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

   

5. Lascia tutto il resto impostato sui valori predefiniti, quindi scegli Avanti.

6. In Configura rotazione automatica, lascia selezionata Disabilita rotazione automatica e scegli Successivo.

   Puoi attivare la rotazione di questo segreto dopo averlo archiviato.

7. Controlla le impostazioni, quindi scegli Archivia per salvare le modifiche. La console Secrets Manager restituisce l'elenco dei segreti nel tuo account con il nuovo segreto ora incluso nell'elenco.

8. Scegli il nome segreto appena creato dall'elenco e prendi nota del valore ARN segreto. Lo utilizzerai nella sezione successiva.

Attiva la rotazione per il segreto dell'account del servizio di dominio

Ti consigliamo di modificare regolarmente i segreti per migliorare il tuo livello di sicurezza.

Per attivare la rotazione per il segreto dell'account del servizio di dominio

• Segui le istruzioni riportate in Configurare la rotazione automatica per AWS Secrets Manager i segreti nella Guida per l'AWS Secrets Manager utente.

  Per il passaggio 5, utilizzare il modello di rotazione Microsoft Active Directory credenziali nella Guida per l'AWS Secrets Manager utente.

  Per assistenza, consulta Risoluzione dei problemi di AWS Secrets Manager rotazione nella Guida per l'AWS Secrets Manager utente.

Creazione della policy e del ruolo IAM richiesti

Utilizza i seguenti passaggi preliminari per creare una policy personalizzata che consenta l'accesso in sola lettura al tuo Secrets Manager seamless domain join secret (che hai creato in precedenza) e per creare un nuovo ruolo IAM in LinuxEC2. DomainJoin

Creazione della policy di lettura IAM di Secrets Manager

Utilizzi la console IAM per creare una policy che conceda l'accesso in sola lettura al segreto di Secrets Manager.

Per creare la policy di lettura IAM di Secrets Manager

1. Accedi AWS Management Console come utente autorizzato a creare policy IAM. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel riquadro di navigazione, Gestione degli accessi, scegli Politiche.

3. Scegli Crea policy.

4. Seleziona la scheda JSON e copia il testo dal documento della seguente policy JSON. Quindi incollalo nella casella di testo JSON.

   Nota

   Assicurati di sostituire l'ARN della regione e della risorsa con la regione e l'ARN effettivi del segreto che hai creato in precedenza.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }

5. Quando hai terminato, seleziona Successivo. In Validatore di policy vengono segnalati eventuali errori di sintassi. Per ulteriori informazioni, consulta Convalida delle policy IAM.

6. Nella pagina Verifica policy, inserisci un nome per la policy, ad esempio SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Consulta la sezione Riepilogo per visualizzare le autorizzazioni concesse dalla policy. Seleziona Crea policy per salvare le modifiche. La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegarsi a un'identità.

Nota

Consigliamo di creare una policy per ogni segreto. In questo modo, ti assicuri che le istanze abbiano accesso solo al segreto in questione e riduci al minimo l'impatto se un'istanza viene compromessa.

Crea il ruolo LinuxEC2 DomainJoin

Utilizzi la console IAM per creare il ruolo che userai per aggiungere il dominio alla tua istanza EC2 Linux.

Per creare il ruolo LinuxEC2 DomainJoin

1. Accedi AWS Management Console come utente autorizzato a creare policy IAM. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel riquadro di navigazione, in Gestione degli accessi, scegli Ruoli.

3. Nel riquadro del contenuto seleziona Crea ruolo.

4. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

5. In Caso d'uso, scegli EC2, quindi scegli Avanti.

   

6. In Filtra policy‬, procedi come segue:

   1. Specificare AmazonSSMManagedInstanceCore. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

   2. Specificare AmazonSSMDirectoryServiceAccess. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

   3. Inserisci SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o il nome della policy creata nella procedura precedente). Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

   4. Dopo aver aggiunto le tre politiche sopra elencate, seleziona Crea ruolo.

   Nota

   AmazonSSM DirectoryServiceAccess fornisce le autorizzazioni per unire le istanze a un server gestito da. Active Directory AWS Directory Service AmazonSSM ManagedInstanceCore fornisce le autorizzazioni minime necessarie per utilizzare il servizio. AWS Systems Manager Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che puoi assegnare al tuo ruolo IAM, consulta Creazione di un profilo dell'istanza IAM per Systems Manager nella Guida per l'utente di AWS Systems Manager .

7. Inserisci un nome per il tuo nuovo ruolo, ad esempio LinuxEC2DomainJoin un altro nome che preferisci nel campo Nome del ruolo.

8. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

9. (Facoltativo) Scegli Aggiungi nuovo tag nel Passaggio 3: Aggiungi tag per aggiungere tag. Le coppie chiave-valore dei tag vengono utilizzate per organizzare, tracciare o controllare l'accesso per questo ruolo.

10. Scegli Crea ruolo.

Unisci senza problemi la tua istanza Amazon EC2 Linux al tuo AWS Managed Microsoft AD Active Directory

Ora che hai configurato tutte le attività prerequisite, puoi utilizzare la seguente procedura per unire senza problemi la tua istanza EC2 Linux.

Per unirti senza problemi alla tua istanza Linux

1. Accedi AWS Management Console e apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Dal selettore della regione nella barra di navigazione, scegli la Regione AWS stessa cartella esistente.

3. Nel Pannello di controllo EC2, nella sezione Avvia istanza, scegli Avvia istanza.

4. Nella pagina Avvia un'istanza, nella sezione Nome e tag, inserisci il nome che desideri utilizzare per la tua istanza Linux EC2.

5. (Facoltativo) Scegli Aggiungi tag aggiuntivo, per aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa istanza EC2.

6. Nella sezione Applicazione e immagine del sistema operativo (Amazon Machine Image), scegli un'AMI Linux che desideri avviare.

   Nota

   L'AMI utilizzato deve avere AWS Systems Manager (SSM Agent) la versione 2.3.1644.0 o successiva. Per verificare la versione dell'Agente SSM installata nell'AMI avviando un'istanza da quest'ultima, consulta Ottenere la versione dell'Agente SSM attualmente installata. Se è necessario aggiornare l'Agente SSM, consulta Installazione e configurazione dell'Agente SSM su istanze EC2 per Linux.

   SSM utilizza il aws:domainJoin plug-in per aggiungere un'istanza Linux a un dominio. Active Directory Il plugin cambia il nome host per le istanze Linux nel formato EC2AMAZ-XXXXXXX. Per ulteriori informazioni in meritoaws:domainJoin, consultate il riferimento al plugin AWS Systems Manager Command Document nella Guida per l'utente.AWS Systems Manager

7. Nella sezione Tipo di istanza, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa Tipo di istanza.

8. Nella sezione Coppia di chiavi (accesso), puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente. Per creare una nuova coppia di chiavi, scegli Crea nuova coppia di chiavi. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il Tipo di coppia di chiavi e il Formato del file della chiave privata. Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegli .pem. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegli .ppk. Scegli crea coppia di chiavi. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.

   Importante

   Questo è l'unico momento in cui salvare il file della chiave privata.

9. Nella pagina Avvia un'istanza, nella sezione Impostazioni di rete, scegli Modifica. Scegli il VPC in cui è stata creata la tua directory dall'elenco a discesa VPC - obbligatorio.

10. Scegli una delle sottoreti pubbliche nel tuo VPC dall'elenco a discesa Sottorete. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

    Per ulteriori informazioni su come connettersi a un gateway Internet, consulta Eseguire la connessione a Internet utilizzando un gateway Internet nella Guida per l'utente di Amazon VPC.

11. In Assegna automaticamente IP pubblico, scegli Abilita.

    Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta la sezione Indirizzamento IP delle istanze Amazon EC2 nella Amazon EC2 User Guide.

12. Nelle impostazioni Firewall (gruppi di sicurezza), puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

13. Nelle impostazioni Configurazione dell'archiviazione, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

14. Seleziona la sezione Dettagli avanzati, scegli il tuo dominio dall'elenco a discesa Directory di aggiunta al dominio.

    Nota

    Dopo aver scelto la directory di accesso al dominio, potresti vedere:

    

    Questo errore si verifica se la procedura guidata di avvio di EC2 identifica un documento SSM esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:

    • Se in precedenza hai modificato il documento SSM e le proprietà sono previste, scegli chiudi e procedi all'avvio dell'istanza EC2 senza modifiche.

    • Seleziona qui il link Elimina il documento SSM esistente per eliminare il documento SSM. Ciò consentirà la creazione di un documento SSM con le proprietà corrette. Il documento SSM verrà creato automaticamente all'avvio dell'istanza EC2.

15. Per il profilo dell'istanza IAM, scegli il ruolo IAM creato in precedenza nella sezione dei prerequisiti Fase 2: Creazione del ruolo LinuxEC2. DomainJoin

16. Scegliere Launch Instance (Avvia istanza).

Nota

Se stai eseguendo l'aggiunta ottimizzata di un dominio con SUSE Linux, è necessario un riavvio prima che le autenticazioni funzionino. Per riavviare SUSE dal terminale Linux, digita sudo reboot.