Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Errori di aggiunta al dominio dell'istanza Amazon EC2 Linux
<a name="ms_ad_troubleshooting_join_linux"></a>

Quanto segue può aiutarti a risolvere alcuni messaggi di errore che potresti incontrare quando unisci un'istanza Amazon EC2 Linux alla tua directory AWS Managed Microsoft AD.

## Istanze Linux non in grado di eseguire l'unione di domini o l'autenticazione
<a name="unable-to-join"></a>

Le istanze di Ubuntu 14.04, 16.04 e 18.04 *devono* essere risolvibili al contrario nel DNS prima che un realm possa funzionare con Microsoft Active Directory. In caso contrario, si potrebbe verificare uno dei seguenti due scenari:

### Scenario 1: istanze Ubuntu non ancora aggiunte a un realm
<a name="ubuntu-not-yet-joined"></a>

Nel caso di istanze Ubuntu che stanno tentando di aggiungersi a un realm, il comando `sudo realm join` potrebbe non fornire le autorizzazioni necessarie per l'aggiunta al dominio e potrebbe venire visualizzato il seguente errore:

\$1 Impossibile eseguire l'autenticazione ad active directory: SASL(-1): errore generico: GSSAPI Errore: è stato fornito un nome non valido (eseguito correttamente) adcli: impossibile effettuare il collegamento al dominio di EXAMPLE.COM: impossibile eseguire l'autenticazione ad active directory: SASL(-1): errore generico: GSSAPI Errore: è stato fornito un nome non valido (eseguito correttamente) \$1 Autorizzazioni insufficienti per aggiungere il realm del dominio: impossibile aggiungere il realm: autorizzazioni insufficienti per aggiungere il dominio

### Scenario 2: istanze Ubuntu aggiunte a un realm
<a name="ubuntu-joined"></a>

Per le istanze di Ubuntu che fanno già parte di un dominio Microsoft Active Directory, i tentativi di accesso tramite SSH all'istanza utilizzando le credenziali del dominio potrebbero fallire con i seguenti errori:

\$1 ssh admin@EXAMPLE.COM@198.51.100

nessuna identità di questo tipo:/Users/username/.ssh/id\$1ed25519: nessun file o directory di questo tipo

admin@EXAMPLE.COM@198.51.100's password:

Permission denied, please try again.

admin@EXAMPLE.COM@198.51.100's password:

Se esegui l'accesso all'istanza con una chiave pubblica e verifichi `/var/log/auth.log`, potresti visualizzare i seguenti errori sull'impossibilità di trovare l'utente:

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0 user=admin@EXAMPLE.COM

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): received for user admin@EXAMPLE.COM: 10 (User not known to the underlying authentication module)

May 12 01:02:14 ip-192-0-2-0 sshd[2251]: Failed password for invalid user admin@EXAMPLE.COM from 203.0.113.0 port 13344 ssh2

May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]

Tuttavia, il `kinit` dell'utente continuerà a funzionare. Consulta questo esempio:

ubuntu@ip-192-0-2-0:\$1\$1 kinit admin@EXAMPLE.COM Password for admin@EXAMPLE.COM: ubuntu@ip-192-0-2-0:\$1\$1 klist Ticket cache: FILE:/tmp/krb5cc\$11000 Default principal: admin@EXAMPLE.COM

### Soluzione alternativa
<a name="ubuntu-scenarios-workaround"></a>

La soluzione consigliata per questi scenari è quella di disabilitare il DNS inverso in `/etc/krb5.conf` nella sezione [libdefaults], come mostrato di seguito:

```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```

## Problema di autenticazione di trust unidirezionale con aggiunta ottimizzata del dominio
<a name="1-way-trust-auth-issues"></a>

Se è stato stabilito un trust in uscita unidirezionale tra AWS Microsoft AD gestito e Active Directory locale, è possibile che si verifichi un problema di autenticazione quando si tenta di autenticarsi sull'istanza Linux aggiunta al dominio utilizzando le credenziali attendibili di Active Directory con Winbind. 

### Errori
<a name="1-way-trust-auth-issues-errors"></a>

31 luglio 00:00:00 EC2 AMAZ-T sshd [23832]: password non riuscita per user@corp.example.com dalla porta LSMWq xxx.xxx.xxx.xxx 18309 ssh2

31 luglio 00:05:00 AMAZ-T sshd [23832]: pam\$1winbind (sshd:auth): ottenimento della password (0x00000390 EC2) LSMWq

31 luglio 00:05:00 AMAZ-T sshd [23832]: pam\$1winbind (sshd:auth): pam\$1get\$1item ha restituito una password EC2 LSMWq

31 luglio 00:05:00 EC2 AMAZ- LSMWq T sshd [23832]: pam\$1winbind (sshd:auth): richiesta wbcLogonUser fallita: WBC\$1ERR\$1AUTH\$1ERROR, errore PAM: PAM\$1SYSTEM\$1ERR (4), NTSTATUS: \$1\$1NT\$1STATUS\$1OBJECT\$1NAME\$1NOT\$1FOUND\$1\$1, Il messaggio di errore era: Il nome dell'oggetto non è stato trovato.

31 luglio 00:05:00 EC2 LSMWq AMAZ-T sshd [23832]: pam\$1winbind (sshd:auth): errore interno del modulo (retval = PAM\$1SYSTEM\$1ERR (4), utente = 'CORP\$1 user')

## Soluzione alternativa
<a name="1-way-trust-auth-issues-workaround"></a>

Per risolvere questo problema, è necessario commentare o rimuovere una direttiva dal file di configurazione del modulo PAM (`/etc/security/pam_winbind.conf`) utilizzando la procedura seguente.

1. Apri il file `/etc/security/pam_winbind.conf` in un editor di testo.

   ```
   sudo vim /etc/security/pam_winbind.conf
   ```

1. Commenta o rimuovi la seguente direttiva: **krb5\$1auth = yes**.

   ```
   [global]
   
   cached_login = yes
   krb5_ccache_type = FILE
   #krb5_auth = yes
   ```

1. Arresta il servizio Winbind, quindi riavvialo.

   ```
   service winbind stop or systemctl stop winbind
   net cache flush 
   service winbind start or systemctl start winbind
   ```