翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EC2 Linux インスタンスドメインの結合エラー
<a name="ms_ad_troubleshooting_join_linux"></a>

以下は、Amazon EC2 Linux インスタンスを AWS Managed Microsoft AD ディレクトリに結合するときに発生する可能性のあるエラーメッセージのトラブルシューティングに役立ちます。

## Linux インスタンスはドメインに結合したり、認証を行ったりすることができません
<a name="unable-to-join"></a>

Ubuntu の領域を Microsoft Active Directory で使用する際は、その Ubuntu の (14.04、16.04、および 18.04 の) インスタンスは、DNS での逆引き解決が *必ず* できる必要があります。それ以外の場合は、以下の 2 つのシナリオのいずれかが発生する可能性があります。

### シナリオ 1: まだ領域に結合されていない Ubuntu インスタンス
<a name="ubuntu-not-yet-joined"></a>

領域への結合を試行中の Ubuntu インスタンスの場合、ドメインに結合するために必要なアクセス許可が `sudo realm join` コマンドにより提供されず、次のようなエラーが表示されることがあります。

\$1 Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) adcli: couldn't connect to EXAMPLE.COM domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) \$1 (\$1 Active Directory への認証に失敗しました: SASL(-1): 一般エラー: GSSAPI エラー: 無効な名前が入力されました (成功) adcli: EXAMPLE.COM ドメインに接続できませんでした: Active Directory への認証に失敗しました: SASL(-1): 一般エラー: GSSAPI エラー: 無効な名前が入力されました (成功) \$1) Insufficient permissions to join the domain realm: Couldn't join realm: Insufficient permissions to join the domain (ドメイン領域に結合するための権限が不十分です: 領域に結合できませんでした: ドメインに結合するための権限が不十分です)

### シナリオ 2: 領域に結合済みの Ubuntu インスタンス
<a name="ubuntu-joined"></a>

既に Microsoft Active Directory ドメインに結合されている Ubuntu インスタンスの場合、ドメイン認証情報を使用してインスタンスに SSH 接続を試みると、次のエラーで失敗することがあります。

\$1 ssh admin@EXAMPLE.COM@198.51.100

no such identity: /Users/username/.ssh/id\$1ed25519: No such file or directory

admin@EXAMPLE.COM@198.51.100's password: (admin@EXAMPLE.COM@198.51.100 のパスワード:)

Permission denied, please try again.

admin@EXAMPLE.COM@198.51.100's password: (admin@EXAMPLE.COM@198.51.100 のパスワード:)

公開キーを使用してインスタンスにログインし `/var/log/auth.log` を参照すると、次のような、ユーザーが見つからないことを知らせるエラーが表示されることがあります。

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0 user=admin@EXAMPLE.COM

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): received for user admin@EXAMPLE.COM: 10 (User not known to the underlying authentication module)

May 12 01:02:14 ip-192-0-2-0 sshd[2251]: Failed password for invalid user admin@EXAMPLE.COM from 203.0.113.0 port 13344 ssh2

May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]

ただし、このユーザーの `kinit` は引き続き使用可能です。以下に例を示します。

ubuntu@ip-192-0-2-0:\$1\$1 kinit admin@EXAMPLE.COM Password for admin@EXAMPLE.COM: ubuntu@ip-192-0-2-0:\$1\$1 klist Ticket cache: FILE:/tmp/krb5cc\$11000 Default principal: admin@EXAMPLE.COM

### 回避方法
<a name="ubuntu-scenarios-workaround"></a>

これらの両方のシナリオで現在推奨されている回避策は、次に示すように [libdefaults] セクションの `/etc/krb5.conf` でリバース DNS を無効にすることです。

```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```

## シームレスなドメイン結合での一方向の信頼認証の問題
<a name="1-way-trust-auth-issues"></a>

 AWS Managed Microsoft AD とオンプレミス Active Directory の間で一方向の送信信頼が確立されている場合、Winbind で信頼された Active Directory 認証情報を使用してドメインに参加している Linux インスタンスに対して認証しようとすると、認証の問題が発生する可能性があります。

### エラー
<a name="1-way-trust-auth-issues-errors"></a>

Jul 31 00:00:00 EC2AMAZ-LSMWqT sshd[23832]: Failed password for user@corp.example.com from xxx.xxx.xxx.xxx port 18309 ssh2 (7月31日 00:00:00 EC2AMAZ-LSMWqT sshd[23832]: xxx.xxx.xxx.xxx ポート 18309 ssh2 からの user@corp.example.com のパスワードが失敗しました)

Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam\$1winbind(sshd:auth): getting password (0x00000390) (7月31日 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam\$1winbind(sshd:auth): パスワードの取得 (0x00000390))

Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam\$1winbind(sshd:auth): pam\$1get\$1item returned a password (7 月31日 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam\$1winbind(sshd:auth): pam\$1get\$1item がパスワードを返しました)

7月31日 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam\$1winbind(sshd:auth): リクエスト wbcLogonUser が失敗しました: WBC\$1ERR\$1AUTH\$1ERROR: PAM エラー: PAM\$1SYSTEM\$1ERR (4)、NTSTATUS: \$1\$1NT\$1STATUS\$1OBJECT\$1NAME\$1NOT\$1FOUND\$1\$1、エラーメッセージ: オブジェクト名が見つかりません。

Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam\$1winbind(sshd:auth): internal module error (retval = PAM\$1SYSTEM\$1ERR(4), user = 'CORP\$1user') (7月31日 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam\$1winbind(sshd:auth): 内部モジュールエラー (retval = PAM\$1SYSTEM\$1ERR (4)、ユーザー = 'CORP\$1user'))

## 回避方法
<a name="1-way-trust-auth-issues-workaround"></a>

この問題を解決するには、次の手順に従って、PAM モジュール設定ファイル (`/etc/security/pam_winbind.conf`) 内のディレクティブをコメントアウトするか、それを削除する必要があります。

1. テキストエディタで `/etc/security/pam_winbind.conf` ファイルを開きます。

   ```
   sudo vim /etc/security/pam_winbind.conf
   ```

1. ディレクティブ 「**krb5\$1auth = yes**」 をコメントアウトするか、削除してください。

   ```
   [global]
   
   cached_login = yes
   krb5_ccache_type = FILE
   #krb5_auth = yes
   ```

1. Winbind サービスを停止した後に再起動します。

   ```
   service winbind stop or systemctl stop winbind
   net cache flush 
   service winbind start or systemctl start winbind
   ```