Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Errores de vinculación al dominio de la instancia de Amazon EC2 en Linux
<a name="ms_ad_troubleshooting_join_linux"></a>

Lo siguiente puede ayudarle a solucionar algunos mensajes de error que pueden aparecer al unir una instancia Linux de Amazon EC2 a su directorio de Microsoft AWS AD administrado.

## Instancias de Linux que no pueden unirse a dominio o autenticar
<a name="unable-to-join"></a>

Las instancias de Ubuntu 14.04, 16.04 y 18.04 *deben* ser resolubles de forma inversa en el DNS antes de que un ámbito pueda funcionar con el Microsoft Active Directory. De lo contrario, se podría encontrar con uno de estos dos escenarios:

### Escenario 1: Instancias de Ubuntu que aún no se han unido a un dominio
<a name="ubuntu-not-yet-joined"></a>

Para las instancias de Ubuntu que intentan unirse a un dominio, el comando `sudo realm join` no puede proporcionar los permisos necesarios para unirse al dominio y podría aparecer el siguiente error:

\$1 Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) adcli: couldn't connect to EXAMPLE.COM domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) \$1 Insufficient permissions to join the domain realm: Couldn't join realm: Insufficient permissions to join the domain

### Escenario 2: Instancias de Ubuntu que se han unido a un dominio
<a name="ubuntu-joined"></a>

Para las instancias de Ubuntu que ya se han unido a un dominio de Microsoft Active Directory, el intento de establecer una conexión SSH con la instancia con la credenciales del dominio podría producir uno de los siguientes errores:

\$1 ssh admin@EJEMPLO.COM@198.51.100

no existe esa identidad:/Users/username/.ssh/id\$1ed25519: No existe ese archivo o directorio

Contraseña de admin@EJEMPLO.COM@198.51.100:

Permiso denegado. Inténtelo de nuevo más tarde.

Contraseña de admin@EJEMPLO.COM@198.51.100:

Si inicia sesión en la instancia con una clave pública y comprueba `/var/log/auth.log`, es posible que aparezcan los siguientes errores sobre la imposibilidad de encontrar al usuario:

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0 user=admin@EXAMPLE.COM

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): received for user admin@EXAMPLE.COM: 10 (User not known to the underlying authentication module)

May 12 01:02:14 ip-192-0-2-0 sshd[2251]: Failed password for invalid user admin@EXAMPLE.COM from 203.0.113.0 port 13344 ssh2

May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]

Sin embargo, el `kinit` del usuario sigue funcionando. Consulte este ejemplo:

ubuntu@ip-192-0-2-0:\$1\$1 kinit admin@EXAMPLE.COM Password for admin@EXAMPLE.COM: ubuntu@ip-192-0-2-0:\$1\$1 klist Ticket cache: FILE:/tmp/krb5cc\$11000 Default principal: admin@EXAMPLE.COM

### Solución
<a name="ubuntu-scenarios-workaround"></a>

La solución que se recomienda actualmente para estos dos escenarios es desactivar DNS inverso en `/etc/krb5.conf` en la sección [libdefaults], tal y como se muestra a continuación:

```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```

## Problema de autenticación de relación de confianza unidireccional con la unión de dominios fluida
<a name="1-way-trust-auth-issues"></a>

Si ha establecido una confianza de salida unidireccional entre su Microsoft AD AWS administrado y su Active Directory local, es posible que se produzca un problema de autenticación al intentar autenticarse en la instancia de Linux unida al dominio mediante sus credenciales de Active Directory de confianza con Winbind. 

### Errores
<a name="1-way-trust-auth-issues-errors"></a>

31 de julio a las 00:00:00 EC2 AMAZ- LSMWq T sshd [23832]: error de contraseña para user@corp.example.com desde el puerto xxx.xxx.xxx.xxx 18309 ssh2

31 de julio 00:05:00 EC2 AMAZ- T sshd [23832]: pam\$1winbind (sshd:auth): obtener la contraseña (0x00000390) LSMWq

31 de julio 00:05:00 AMAZ- T sshd [23832]: pam\$1winbind (sshd:auth): pam\$1get\$1item devolvió una contraseña EC2 LSMWq

31 de julio 00:05:00 EC2 AMAZ- LSMWq T sshd [23832]: pam\$1winbind (sshd:auth): solicitud wbcLogonUser fallida: WBC\$1ERR\$1AUTH\$1ERROR, error PAM: PAM\$1SYSTEM\$1ERR (4), NTSTATUS: \$1\$1NT\$1STATUS\$1OBJECT\$1NAME\$1NOT\$1FOUND\$1\$1, el mensaje de error era: No se encuentra el nombre del objeto.

31 de julio 00:05:00 EC2 AMAZ- LSMWq T sshd [23832]: pam\$1winbind (sshd:auth): error interno del módulo (retval = PAM\$1SYSTEM\$1ERR (4), user = 'CORP\$1 user')

## Solución
<a name="1-way-trust-auth-issues-workaround"></a>

Para resolver este problema, tendrá que comentar o eliminar una directiva del archivo de configuración del módulo PAM (`/etc/security/pam_winbind.conf`) siguiendo estos pasos.

1. Abra el archivo `/etc/security/pam_winbind.conf` en un editor de texto.

   ```
   sudo vim /etc/security/pam_winbind.conf
   ```

1. Comente o elimine la siguiente directiva **krb5\$1auth = yes**.

   ```
   [global]
   
   cached_login = yes
   krb5_ccache_type = FILE
   #krb5_auth = yes
   ```

1. Detenga el servicio Winbind y vuelva a iniciarlo.

   ```
   service winbind stop or systemctl stop winbind
   net cache flush 
   service winbind start or systemctl start winbind
   ```