As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Erros de associação de domínio de instâncias do Amazon EC2 para Linux
<a name="ms_ad_troubleshooting_join_linux"></a>

O seguinte pode ajudá-lo a solucionar algumas mensagens de erro que você pode encontrar ao associar uma instância Linux do Amazon EC2 ao seu diretório AWS gerenciado do Microsoft AD.

## Não foi possível autenticar ou incluir instâncias do Linux ao domínio
<a name="unable-to-join"></a>

Instâncias do Ubuntu 14.04, 16.04 e 18.04 *devem* ser capazes de fazer a resolução inversa no DNS para que um realm possa funcionar com o Microsoft Active Directory. Caso contrário, você poderá enfrentar um dos dois cenários a seguir:

### Cenário 1: instâncias do Ubuntu que ainda não estão associadas a um realm
<a name="ubuntu-not-yet-joined"></a>

Para instâncias do Ubuntu que estão tentando ingressar em um realm, o comando `sudo realm join` pode não fornecer as permissões necessárias para ingressar no domínio e pode exibir o seguinte erro:

\$1 Não foi possível autenticar para o diretório ativo: SASL(-1): falha genérica: Erro de GSSAPI: um nome inválido foi fornecido (Sucesso) adcli: não foi possível conectar ao domínio EXAMPLE.COM: Não foi possível autenticar para o diretório ativo: SASL(-1): falha genérica: Erro de GSSAPI: Um nome inválido foi fornecido (Êxito) \$1 Permissões insuficientes para ingressar no realm do domínio: não foi possível ingressar no realm: permissões insuficientes para ingressar no domínio

### Cenário 2: instâncias do Ubuntu que estão associadas a um realm
<a name="ubuntu-joined"></a>

Para instâncias do Ubuntu que já estão associadas a um domínio do Microsoft Active Directory, podem ocorrer falhas em tentativas de SSH na instância usando as credenciais de domínio com os seguintes erros:

\$1 ssh admin@EXAMPLE.COM@198.51.100

essa identidade não existe:/Users/username/.ssh/id\$1ed25519: Não existe esse arquivo ou diretório

admin@EXAMPLE.COM@198.51.100's password:

Permissão negada, tente novamente.

admin@EXAMPLE.COM@198.51.100's password:

Se você fizer login na instância com uma chave pública e verificar o arquivo `/var/log/auth.log`, poderá visualizar os seguintes erros sobre a incapacidade de localizar o usuário:

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1unix(sshd:auth): falha na autenticação; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): falha na autenticação; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0 user=admin@EXAMPLE.COM

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): recebido para o usuário admin@EXAMPLE.COM: 10 (Usuário não reconhecido pelo módulo de autenticação subjacente)

May 12 01:02:14 ip-192-0-2-0 sshd[2251]: falha na senha para usuário inválido admin@EXAMPLE.COM from 203.0.113.0 port 13344 ssh2

May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Conexão fechada por 203.0.113.0 [preauth]

No entanto, o `kinit` para o usuário ainda funciona. Veja este exemplo:

ubuntu@ip-192-0-2-0:\$1\$1 kinit admin@EXAMPLE.COM Senha para admin@EXAMPLE.COM: ubuntu@ip-192-0-2-0:\$1\$1 klist Cache do ticket: FILE:/tmp/krb5cc\$11000 Principal padrão: admin@EXAMPLE.COM

### Solução temporária
<a name="ubuntu-scenarios-workaround"></a>

A solução recomendada atual para ambos os cenários é desabilitar o DNS reverso em `/etc/krb5.conf` na seção [libdefaults] conforme mostrado a seguir:

```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```

## Problema de autenticação confiável unidirecional com associação direta ao domínio
<a name="1-way-trust-auth-issues"></a>

Se você tiver uma relação de confiança de saída unidirecional estabelecida entre seu AWS Microsoft AD gerenciado e seu Active Directory local, você pode encontrar um problema de autenticação ao tentar se autenticar na instância Linux associada ao domínio usando suas credenciais confiáveis do Active Directory com o Winbind. 

### Erros
<a name="1-way-trust-auth-issues-errors"></a>

31 de julho 00:00:00 EC2 AMAZ- LSMWq T sshd [23832]: Falha na senha para user@corp.example.com da porta xxx.xxx.xxx.xxx 18309 ssh2

31 de julho 00:05:00 EC2 AMAZ- LSMWq T sshd [23832]: pam\$1winbind (sshd:auth): obtendo a senha (0x00000390)

31 de julho 00:05:00 EC2 AMAZ- LSMWq T sshd [23832]: pam\$1winbind (sshd:auth): pam\$1get\$1item retornou uma senha

31 de julho 00:05:00 EC2 AMAZ- LSMWq T sshd [23832]: pam\$1winbind (sshd:auth): wbcLogonUser falha na solicitação: WBC\$1ERR\$1AUTH\$1ERROR, erro do PAM: PAM\$1SYSTEM\$1ERR (4), NTSTATUS: \$1\$1NT\$1STATUS\$1OBJECT\$1NAME\$1NOT\$1FOUND\$1\$1, A mensagem de erro foi: O nome do objeto não foi encontrado.

31 de julho 00:05:00 EC2 LSMWq AMAZ-T sshd [23832]: pam\$1winbind (sshd:auth): erro interno do módulo (retval = PAM\$1SYSTEM\$1ERR (4), usuário = 'CORP\$1 user')

## Solução temporária
<a name="1-way-trust-auth-issues-workaround"></a>

Para resolver esse problema, você precisará comentar ou remover uma diretiva do arquivo de configuração do módulo PAM (`/etc/security/pam_winbind.conf`) de acordo com as etapas a seguir.

1. Abra o arquivo `/etc/security/pam_winbind.conf` em um editor de textos.

   ```
   sudo vim /etc/security/pam_winbind.conf
   ```

1. Comente ou remova a seguinte diretiva **krb5\$1auth** = yes.

   ```
   [global]
   
   cached_login = yes
   krb5_ccache_type = FILE
   #krb5_auth = yes
   ```

1. Pare o serviço Winbind e inicie-o novamente.

   ```
   service winbind stop or systemctl stop winbind
   net cache flush 
   service winbind start or systemctl start winbind
   ```