připojení virtuálního počítače se systémem SUSE Linux Enterprise k doméně spravované službě Azure Active Directory Domain Services

  • Článek
  • 9 min ke čtení

pokud chcete umožnit uživatelům přihlašovat se k virtuálním počítačům v Azure pomocí jediné sady přihlašovacích údajů, můžete připojit virtuální počítače k spravované doméně služby Azure Active Directory Domain Services (Azure služba AD DS). Když připojíte virtuální počítač k spravované doméně Azure služba AD DS, můžete k přihlášení a správě serverů použít uživatelské účty a přihlašovací údaje z domény. Členství ve skupinách ze spravované domény se používá také k řízení přístupu k souborům nebo službám na virtuálním počítači.

v tomto článku se dozvíte, jak připojit virtuální počítač SUSE Linux Enterprise (SLE) do spravované domény.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

Vytvoření virtuálního počítače se systémem SLE Linux a připojení k němu

Pokud máte v Azure existující virtuální počítač s SLE Linux, připojte se k němu pomocí SSH a potom pokračujte dalším krokem a Spusťte konfiguraci virtuálního počítače.

Pokud potřebujete vytvořit virtuální počítač s SLE Linux nebo chcete vytvořit testovací virtuální počítač pro použití s tímto článkem, můžete použít jednu z následujících metod:

Když vytváříte virtuální počítač, věnujte pozornost nastavení virtuální sítě a ujistěte se, že virtuální počítač může komunikovat se spravovanou doménou:

  • Nasaďte virtuální počítač do stejné nebo partnerské virtuální sítě, ve které jste povolili Azure AD Domain Services.
  • Virtuální počítač nasaďte do jiné podsítě, než jakou má vaše Azure AD Domain Services spravovaná doména.

Až se virtuální počítač nasadí, připojte se k virtuálnímu počítači pomocí SSH podle pokynů.

Konfigurace souboru hostitelů

Abyste se ujistili, že je název hostitele virtuálního počítače správně nakonfigurovaný pro spravovanou doménu, upravte soubor /etc/hosts a nastavte název hostitele:

sudo vi /etc/hosts

V souboru hosts aktualizujte adresu localhost . V následujícím příkladu:

  • aaddscontoso.com je název domény DNS vaší spravované domény.
  • Linux-q2gr je název hostitele vašeho virtuálního počítače s SLE, ke kterému se připojujete do spravované domény.

Aktualizujte tyto názvy vlastními hodnotami:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Po dokončení uložte a zavřete soubor hosts pomocí :wq příkazu editoru.

Připojení virtuálního počítače ke spravované doméně pomocí SSSD

Pokud se chcete připojit ke spravované doméně pomocí SSSD a modulu pro správu přihlášení uživatele YaST, proveďte následující kroky:

  1. Nainstalujte modul YaST pro správu přihlášení k uživateli :

    sudo zypper install yast2-auth-client

  2. Otevřete YaST.

  3. Chcete-li úspěšně použít automatické zjišťování DNS, nakonfigurujte pro klienta jako názvový server IP adresy spravované domény ( Server služby Active Directory).

    v YaST vyberte Nastavení systémové > sítě.

  4. Vyberte kartu název hostitele/DNS a potom do textového pole názvového serveru zadejte IP adresu (ES) spravované domény. Tyto IP adresy se zobrazí v okně vlastnosti v Azure Portal vaší spravované domény, jako je například 10.0.2.4 a 10.0.2.5.

    Přidejte vlastní IP adresy spravované domény a pak vyberte OK.

  5. V hlavním okně YaST vyberte Network Services > Správa přihlášení k uživateli.

    Modul se otevře s přehledem o různých vlastnostech sítě vašeho počítače a aktuálně používané metody ověřování, jak je znázorněno v následujícím příkladu obrazovky:

    Příklad obrazovky okna pro správu přihlášení uživatele v YaST

    pokud chcete začít upravovat, vyberte změnit Nastavení.

Pokud se chcete připojit k virtuálnímu počítači ke spravované doméně, proveďte následující kroky:

  1. V dialogovém okně vyberte Přidat doménu.

  2. Zadejte správný název domény, třeba aaddscontoso.com, a pak zadejte služby, které se mají použít pro data a ověřování identity. Pro obě vyberte Microsoft Active Directory .

    Ujistěte se, že je vybraná možnost Povolit doménu .

  3. Až budete připraveni, vyberte OK.

  4. Přijměte výchozí nastavení v následujícím dialogovém okně a pak vyberte OK.

  5. Virtuální počítač nainstaluje podle potřeby další software a pak zkontroluje, jestli je spravovaná doména k dispozici.

    Pokud je vše správné, zobrazí se následující vzorový dialog, který indikuje, že virtuální počítač zjistil spravovanou doménu, ale ještě nejste zaregistrovaní.

    Příklad obrazovky okna registrace služby Active Directory v YaST

  6. V dialogovém okně zadejte uživatelské jméno a heslo uživatele, který je součástí spravované domény. V případě potřeby přidejte uživatelský účet do skupiny v Azure AD.

    Pokud chcete mít jistotu, že je aktuální doména povolená pro službu Samba, aktivujte možnost přepsat konfiguraci služby Samba, aby fungovala s touto službou AD.

  7. Pokud se chcete zaregistrovat, vyberte OK.

  8. Zobrazí se zpráva s potvrzením, že jste úspěšně zaregistrovali. Pro dokončení vyberte OK.

Jakmile je virtuální počítač zaregistrovaný ve spravované doméně, nakonfigurujte klienta pomocí možnosti Spravovat přihlášení uživatele domény, jak je znázorněno na následujícím ukázkovém snímku obrazovky:

Příklad obrazovky okna Správa přihlášení uživatele domény v YaST

  1. Pokud chcete přihlašovat pomocí dat poskytovaných spravovanou doménou, zaškrtněte políčko pro možnost Povolení přihlášení uživatele domény.

  2. Volitelně můžete v části Povolit zdroj dat domény kontrolovat další zdroje dat, které jsou potřeba pro vaše prostředí. Tyto možnosti zahrnují, kteří uživatelé smějí používat sudo nebo které síťové jednotky jsou k dispozici.

  3. Pokud chcete uživatelům ve spravované doméně dovolit, aby měli domovské adresáře na virtuálním počítači, zaškrtněte políčko vytvořit domovské adresáře.

  4. Na bočním panelu vyberte Možnosti služby › název přepínače a pak Rozšířené možnosti. Z tohoto okna vyberte buď fallback_homedir , nebo override_homedir a pak vyberte Přidat.

  5. Zadejte hodnotu umístění domovského adresáře. Chcete-li mít domovské adresáře, postupujte podle formátu /home/user_name použijte /Home/%u. Další informace o možných proměnných naleznete na stránce SSSD. conf Man ( man 5 sssd.conf ), část override_homedir.

  6. Vyberte OK.

  7. Vyberte OK, aby se změny uložily. Pak se ujistěte, že jsou hodnoty zobrazené nyní správné. Pokud chcete dialogové okno opustit, vyberte Zrušit.

  8. Pokud máte v úmyslu spouštět SSSD a winbind současně (například při připojení prostřednictvím SSSD, ale na serveru se systémem souborů Samba), měla by být Metoda protokolu Kerberos možnosti serveru Samba nastavená na tajné klíče a keytab v SMB. conf. Možnost SSSD ad_update_samba_machine_account_password by měla být také nastavena na hodnotu true v SSSD. conf. Tyto možnosti zabrání tomu, aby systém keytab ze synchronizace.

Připojení virtuálního počítače ke spravované doméně pomocí winbind

pokud se chcete připojit ke spravované doméně pomocí winbind a modulu členství v Windows doméně YaST, proveďte následující kroky:

  1. v YaST vyberte Network Services > Windows členství v doméně.

  2. zadejte doménu, ke které se připojíte v doméně nebo pracovní skupině na obrazovce Windows členství v doméně . Zadejte název spravované domény, například aaddscontoso.com.

    příklad obrazovky okna Windows členství v doméně v YaST

  3. Pokud chcete použít zdroj SMB pro ověřování Linux, podívejte se na možnost použití informací SMB pro ověřování Linux.

  4. Pro automatické vytvoření místního domovského adresáře pro uživatele spravované domény na virtuálním počítači si Projděte možnost vytvoření domovského adresáře při přihlášení.

  5. Pokud chcete, aby se uživatelé domény mohli přihlašovat i v případě, že je tato spravovaná doména dočasně nedostupná, ověřte možnost ověřování v režimu offline .

  6. chcete-li změnit rozsahy UID a GID pro uživatele a skupiny služby Samba, vyberte možnost Expert Nastavení.

  7. Nakonfigurujte synchronizaci času NTP (Network Time Protocol) pro spravovanou doménu výběrem Konfigurace NTP. Zadejte IP adresy spravované domény. Tyto IP adresy se zobrazí v okně vlastnosti v Azure Portal vaší spravované domény, jako je například 10.0.2.4 a 10.0.2.5.

  8. Po zobrazení výzvy vyberte OK a potvrďte připojení k doméně.

  9. Zadejte heslo pro správce ve spravované doméně a vyberte OK.

    Ukázkový snímek obrazovky s výzvou k ověření při připojení virtuálního počítače s SLE ke spravované doméně

Až se připojíte ke spravované doméně, můžete se k ní přihlásit z pracovní stanice pomocí Správce zobrazení plochy nebo konzoly.

Připojení virtuálního počítače ke spravované doméně pomocí winbind z rozhraní příkazového řádku YaST

Připojení ke spravované doméně pomocí winbind a rozhraní příkazového řádku YaST:

  • Připojit k doméně:

    sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>

Připojení virtuálního počítače ke spravované doméně pomocí winbind z terminálu

Připojení ke spravované doméně pomocí winbind a samba net příkazu:

  1. Instalace klienta Kerberos a systému SAMBA – winbind:

    sudo zypper in krb5-client samba-winbind

  2. Upravte konfigurační soubory:

    • /etc/samba/smb.conf

      [global]
    workgroup = AADDSCONTOSO
    usershare allow guests = NO #disallow guests from sharing
    idmap config * : backend = tdb
    idmap config * : range = 1000000-1999999
    idmap config AADDSCONTOSO : backend = rid
    idmap config AADDSCONTOSO : range = 5000000-5999999
    kerberos method = secrets and keytab
    realm = AADDSCONTOSO.COM
    security = ADS
    template homedir = /home/%D/%U
    template shell = /bin/bash
    winbind offline logon = yes
    winbind refresh tickets = yes

    • /etc/krb5.conf

      [libdefaults]
    default_realm = AADDSCONTOSO.COM
    clockskew = 300
[realms]
    AADDSCONTOSO.COM = {
        kdc = PDC.AADDSCONTOSO.COM
        default_domain = AADDSCONTOSO.COM
        admin_server = PDC.AADDSCONTOSO.COM
    }
[domain_realm]
    .aaddscontoso.com = AADDSCONTOSO.COM
[appdefaults]
    pam = {
        ticket_lifetime = 1d
        renew_lifetime = 1d
        forwardable = true
        proxiable = false
        minimum_uid = 1
    }

    • /etc/Security/pam_winbind. conf

      [global]
    cached_login = yes
    krb5_auth = yes
    krb5_ccache_type = FILE
    warn_pwd_expire = 14

    • /etc/nsswitch.conf

      passwd: compat winbind
group: compat winbind

  3. Ověřte, že je datum a čas v Azure AD a Linux synchronizovaný. To můžete provést přidáním serveru Azure AD ke službě NTP:

    1. Přidejte následující řádek do/etc/NTP.conf:

      server aaddscontoso.com

    2. Restartujte službu NTP:

      sudo systemctl restart ntpd

  4. Připojit k doméně:

    sudo net ads join -U Administrator%Mypassword

  5. Povolte winbind jako zdroj přihlášení v modulech PAM (připojitelných Authentication Module) pro Linux:

    pam-config --add --winbind

  6. Povolí automatické vytváření domovských adresářů, aby se uživatelé mohli přihlásit:

    pam-config -a --mkhomedir

  7. Spusťte a povolte službu winbind:

    sudo systemctl enable winbind
sudo systemctl start winbind

Povolení ověřování hesla pro SSH

Ve výchozím nastavení se uživatelé můžou přihlásit jenom k virtuálnímu počítači pomocí ověřování založeného na veřejných klíčích SSH. Ověřování pomocí hesla se nezdařilo. Když připojíte virtuální počítač ke spravované doméně, musí tyto účty domény používat ověřování pomocí hesla. Aktualizujte konfiguraci SSH tak, aby umožňovala ověřování na základě hesla následujícím způsobem.

  1. Otevřete sshd_conf soubor pomocí editoru:

    sudo vi /etc/ssh/sshd_config

  2. Aktualizujte řádek pro PasswordAuthentication na Ano:

    PasswordAuthentication yes

    Po dokončení uložte a zavřete soubor sshd_conf pomocí :wq příkazu editoru.

  3. Pokud chcete změny použít a umožnit uživatelům, aby se přihlásili pomocí hesla, restartujte službu SSH:

    sudo systemctl restart sshd

Udělte skupině AAD DC Administrators oprávnění sudo

Pokud chcete členům skupiny AAD DC Administrators udělit na virtuálním počítači SLE oprávnění správce, přidejte položku do /etc/sudoers. Po přidání můžou členové skupiny Správci AAD DC použít sudo příkaz na virtuálním počítači s SLE.

  1. Otevřete soubor sudoers pro úpravy:

    sudo visudo

  2. Přidejte následující položku na konec souboru /etc/sudoers . Skupina AAD DC Administrators obsahuje v názvu prázdné znaky, takže v názvu skupiny zahrňte řídicí znak zpětného lomítka. Přidejte vlastní název domény, například aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Až budete hotovi, uložte a ukončete Editor pomocí :wq příkazu editoru.

Přihlaste se k virtuálnímu počítači pomocí účtu domény.

Chcete-li ověřit, zda byl virtuální počítač úspěšně připojen ke spravované doméně, spusťte nové připojení SSH pomocí účtu uživatele domény. Potvrďte, že byl vytvořen domovský adresář a že je použito členství ve skupině z domény.

  1. Vytvořte nové připojení SSH z konzoly. Pomocí příkazu použijte doménový účet, který patří do spravované domény ssh -l , contosoadmin@aaddscontoso.com a pak zadejte adresu vašeho virtuálního počítače, třeba Linux-q2gr.aaddscontoso.com. Pokud používáte Azure Cloud Shell, použijte veřejnou IP adresu virtuálního počítače místo interního názvu DNS.

    ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com

  2. Po úspěšném připojení k virtuálnímu počítači ověřte, zda byl domovský adresář správně inicializován:

    pwd

    Měli byste být v adresáři /Home s vlastním adresářem, který odpovídá uživatelskému účtu.

  3. Nyní ověřte, zda jsou členství ve skupině správně řešena:

    id

    Měli byste vidět členství ve skupinách ze spravované domény.

  4. Pokud jste se k virtuálnímu počítači přihlásili jako člen skupiny AAD DC Administrators , ověřte, že můžete správně použít sudo příkaz:

    sudo zypper update

Další kroky

Pokud máte problémy s připojením k virtuálnímu počítači ke spravované doméně nebo přihlášením pomocí účtu domény, přečtěte si téma řešení potíží s připojením k doméně.