Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Erreurs de jointure de domaine d'instance Amazon EC2 Linux
<a name="ms_ad_troubleshooting_join_linux"></a>

Ce qui suit peut vous aider à résoudre certains messages d'erreur que vous pouvez rencontrer lorsque vous joignez une instance Amazon EC2 Linux à votre répertoire AWS Managed Microsoft AD.

## Impossible d'effectuer la jonction de domaine ou l'authentification d'instances Linux
<a name="unable-to-join"></a>

Les instances Ubuntu 14.04, 16.04 et 18.04 *doivent* pouvoir être résolues à l'envers dans le DNS pour qu'un domaine puisse fonctionner avec Microsoft Active Directory. Sinon, vous risquez de rencontrer l'un des deux scénarios suivants :

### Scénario 1 : Instances Ubuntu qui ne sont pas encore jointes à un domaine
<a name="ubuntu-not-yet-joined"></a>

Pour les instances Ubuntu qui tentent de joindre un domaine, la commande `sudo realm join` peut ne pas fournir les autorisations requises pour joindre le domaine et afficher l'erreur suivante :

\$1 Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) adcli: couldn't connect to EXEMPLE.COM domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) \$1 Insufficient permissions to join the domain realm: Couldn't join realm: Insufficient permissions to join the domain

### Scénario 2 : Instances Ubuntu qui sont jointes à un domaine
<a name="ubuntu-joined"></a>

Pour les instances Ubuntu déjà jointes à un domaine Microsoft Active Directory, les tentatives de connexion SSH à l'instance à l'aide des informations d'identification du domaine peuvent échouer avec les erreurs suivantes :

\$1 ssh admin@EXEMPLE.COM@198.51.100

aucune identité de ce type :/Users/username/.ssh/id\$1ed25519 : aucun fichier ou répertoire de ce type

admin@EXEMPLE.COM@198.51.100's password:

Permission denied, please try again.

admin@EXEMPLE.COM@198.51.100's password:

Si vous vous connectez à l'instance avec une clé publique et que vous vérifiez `/var/log/auth.log`, vous risquez de voir les erreurs suivantes d'utilisateur introuvable :

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0 user=admin@EXEMPLE.COM

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam\$1sss(sshd:auth): received for user admin@EXEMPLE.COM: 10 (User not known to the underlying authentication module)

May 12 01:02:14 ip-192-0-2-0 sshd[2251]: Failed password for invalid user admin@EXEMPLE.COM from 203.0.113.0 port 13344 ssh2

May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]

Par contre, `kinit` pour l'utilisateur continue de fonctionner. Veuillez consulter cet exemple :

ubuntu@ip-192-0-2-0:\$1\$1 kinit admin@EXEMPLE.COM Password for admin@EXEMPLE.COM: ubuntu@ip-192-0-2-0:\$1\$1 klist Ticket cache: FILE:/tmp/krb5cc\$11000 Default principal: admin@EXEMPLE.COM

### Solution
<a name="ubuntu-scenarios-workaround"></a>

La solution recommandée actuelle pour ces deux scénarios consiste à désactiver DNS inverse dans `/etc/krb5.conf` dans la section [libdefaults], comme illustré ci-dessous :

```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```

## Problème d'authentification d'approbation unidirectionnelle associé à une jonction de domaine fluide
<a name="1-way-trust-auth-issues"></a>

Si une approbation sortante unidirectionnelle est établie entre votre Microsoft AD AWS géré et votre Active Directory local, vous pouvez rencontrer un problème d'authentification lorsque vous tentez de vous authentifier auprès de l'instance Linux jointe au domaine à l'aide de vos informations d'identification Active Directory fiables avec Winbind. 

### Erreurs
<a name="1-way-trust-auth-issues-errors"></a>

31 juillet 00:00:00 EC2 LSMWq AMAZ-T sshd [23832] : échec du mot de passe pour user@corp.example.com depuis le port xxx.xxx.xxx.xxx 18309 ssh2

31 juillet 00:05:00 EC2 AMAZ- LSMWq T sshd [23832] : pam\$1winbind (sshd:auth) : obtention du mot de passe (0x00000390)

31 juillet 00:05:00 EC2 AMAZ- LSMWq T sshd [23832] : pam\$1winbind (sshd:auth) : pam\$1get\$1item a renvoyé un mot de passe

31 juillet 00:05:00 EC2 AMAZ- LSMWq T sshd [23832] : pam\$1winbind (sshd:auth) : wbcLogonUser échec de la demande : WBC\$1ERR\$1AUTH\$1ERROR, erreur PAM : PAM\$1SYSTEM\$1ERR (4), NTSTATUS : \$1\$1NT\$1STATUS\$1OBJECT\$1NAME\$1NOT\$1FOUND\$1\$1, le message d'erreur était le suivant : Le nom de l'objet est introuvable.

31 juillet 00:05:00 EC2 AMAZ- LSMWq T sshd [23832] : pam\$1winbind (sshd:auth) : erreur interne du module (retval = PAM\$1SYSTEM\$1ERR (4), user = 'CORP \$1 user')

## Solution
<a name="1-way-trust-auth-issues-workaround"></a>

Pour résoudre ce problème, vous devez exclure ou supprimer une directive du fichier de configuration du module PAM (`/etc/security/pam_winbind.conf`) en procédant comme suit.

1. Ouvrez le fichier `/etc/security/pam_winbind.conf` dans un éditeur de texte.

   ```
   sudo vim /etc/security/pam_winbind.conf
   ```

1. Excluez ou supprimez la directive suivante **krb5\$1auth = yes**.

   ```
   [global]
   
   cached_login = yes
   krb5_ccache_type = FILE
   #krb5_auth = yes
   ```

1. Arrêtez le service Winbind, puis redémarrez-le.

   ```
   service winbind stop or systemctl stop winbind
   net cache flush 
   service winbind start or systemctl start winbind
   ```