Připojení virtuálního počítače s Ubuntu Linuxem ke spravované doméně Microsoft Entra Domain Services

Pokud chcete uživatelům umožnit přihlášení k virtuálním počítačům v Azure pomocí jedné sady přihlašovacích údajů, můžete virtuální počítače připojit ke spravované doméně Microsoft Entra Domain Services. Když připojíte virtuální počítač ke spravované doméně služby Domain Services, dají se k přihlášení a správě serverů použít uživatelské účty a přihlašovací údaje z domény. Členství ve skupinách ze spravované domény se také použije, abyste mohli řídit přístup k souborům nebo službám na virtuálním počítači.

V tomto článku se dozvíte, jak se připojit k virtuálnímu počítači s Ubuntu Linuxem ke spravované doméně.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby první kurz vytvoří a nakonfiguruje spravovanou doménu služby Microsoft Entra Domain Services.
• Uživatelský účet, který je součástí spravované domény. Ujistěte se, že atribut SAMAccountName pro uživatele není automaticky vygenerován. Pokud má více uživatelských účtů v tenantovi Microsoft Entra stejný atribut mailNickname, atribut SAMAccountName pro každého uživatele se automaticky vygeneruje. Další informace naleznete v tématu Způsob synchronizace objektů a přihlašovacích údajů ve spravované doméně služby Microsoft Entra Domain Services.
• Jedinečné názvy virtuálních počítačů s Linuxem, které mají maximálně 15 znaků, aby nedocházelo ke zkrácení názvů, které by mohly způsobit konflikty ve službě Active Directory.

Vytvoření a připojení k virtuálnímu počítači s Ubuntu Linuxem

Pokud máte v Azure existující virtuální počítač s Ubuntu Linuxem, připojte se k němu pomocí SSH a pokračujte dalším krokem a začněte konfigurovat virtuální počítač.

Pokud potřebujete vytvořit virtuální počítač s Ubuntu Linuxem nebo chcete vytvořit testovací virtuální počítač pro použití s tímto článkem, můžete použít jednu z následujících metod:

• Centrum pro správu Microsoft Entra
• Azure CLI
• Azure PowerShell

Při vytváření virtuálního počítače věnujte pozornost nastavení virtuální sítě, abyste měli jistotu, že virtuální počítač může komunikovat se spravovanou doménou:

• Nasaďte virtuální počítač do stejné nebo partnerské virtuální sítě, ve které jste povolili službu Microsoft Entra Domain Services.
• Nasaďte virtuální počítač do jiné podsítě, než je spravovaná doména Microsoft Entra Domain Services.

Po nasazení virtuálního počítače se pomocí SSH připojte k virtuálnímu počítači podle pokynů.

Konfigurace souboru hostitelů

Pokud chcete zajistit, aby byl název hostitele virtuálního počítače správně nakonfigurovaný pro spravovanou doménu, upravte soubor /etc/hosts a nastavte název hostitele:

sudo vi /etc/hosts

V souboru hostitelů aktualizujte adresu místního hostitele. V následujícím příkladu:

• aaddscontoso.com je název domény DNS vaší spravované domény.
• Ubuntu je název hostitele virtuálního počítače s Ubuntu, ke kterému se připojujete ke spravované doméně.

Aktualizujte tyto názvy vlastními hodnotami:

127.0.0.1 ubuntu.aaddscontoso.com ubuntu

Po dokončení uložte a ukončete soubor hosts pomocí :wq příkazu editoru.

Instalace požadovaných balíčků

Virtuální počítač potřebuje k připojení virtuálního počítače ke spravované doméně několik dalších balíčků. Pokud chcete tyto balíčky nainstalovat a nakonfigurovat, aktualizujte a nainstalujte nástroje pro připojení k doméně pomocí apt-get

Během instalace protokolu Kerberos se balíček krb5-user vyzve k zadání názvu sféry ve VŠECH VELKÝCH PÍSMENECH. Pokud je například název vaší spravované domény aaddscontoso.com, zadejte AADDSCONTOSO.COM jako sféru. Instalace zapíše oddíly do konfiguračního [realm][domain_realm] souboru /etc/krb5.conf. Ujistěte se, že jste zadali sféru velkými písmeny:

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Konfigurace protokolu NTP (Network Time Protocol)

Aby komunikace s doménou fungovala správně, musí se datum a čas virtuálního počítače s Ubuntu synchronizovat se spravovanou doménou. Přidejte název hostitele NTP spravované domény do souboru /etc/ntp.conf .

1. Otevřete soubor ntp.conf v editoru:

   sudo vi /etc/ntp.conf
   

2. V souboru ntp.conf vytvořte řádek pro přidání názvu DNS spravované domény. V následujícím příkladu se přidá položka pro aaddscontoso.com . Použijte vlastní název DNS:

   server aaddscontoso.com
   

   Po dokončení uložte a ukončete soubor ntp.conf pomocí :wq příkazu editoru.

3. Abyste měli jistotu, že je virtuální počítač synchronizovaný se spravovanou doménou, je potřeba provést následující kroky:

   • Zastavení serveru NTP
   • Aktualizace data a času ze spravované domény
   • Spuštění služby NTP

   Spuštěním následujících příkazů proveďte tyto kroky. Použijte vlastní název DNS s příkazem ntpdate :

   sudo systemctl stop ntp
   sudo ntpdate aaddscontoso.com
   sudo systemctl start ntp
   

Připojení virtuálního počítače ke spravované doméně

Teď, když jsou na virtuálním počítači nainstalované požadované balíčky a je nakonfigurovaný protokol NTP, připojte virtuální počítač ke spravované doméně.

1. realm discover Pomocí příkazu zjistěte spravovanou doménu. Následující příklad zjistí AADDSCONTOSO.COM sféry. Zadejte vlastní spravovaný název domény ve všech velkých písmenech:

   sudo realm discover AADDSCONTOSO.COM
   

   Pokud příkaz realm discover nemůže najít vaši spravovanou doménu, projděte si následující kroky pro řešení potíží:

   • Ujistěte se, že je doména dostupná z virtuálního počítače. Zkuste ping aaddscontoso.com zjistit, jestli se vrátí kladná odpověď.
   • Zkontrolujte, jestli je virtuální počítač nasazený do stejné nebo partnerské virtuální sítě, ve které je spravovaná doména dostupná.
   • Ověřte, že nastavení serveru DNS pro virtuální síť bylo aktualizováno tak, aby odkazovalo na řadiče domény spravované domény.

2. Teď inicializujete Kerberos pomocí kinit příkazu. Zadejte uživatele, který je součástí spravované domény. V případě potřeby přidejte uživatelský účet do skupiny v ID Microsoft Entra.

   Znovu je nutné zadat název spravované domény ve všech velkých písmenech. V následujícím příkladu se název contosoadmin@aaddscontoso.com účtu používá k inicializaci protokolu Kerberos. Zadejte vlastní uživatelský účet, který je součástí spravované domény:

   sudo kinit -V contosoadmin@AADDSCONTOSO.COM
   

3. Nakonec pomocí příkazu připojte virtuální počítač ke spravované doméně realm join . Použijte stejný uživatelský účet, který je součástí spravované domény, kterou jste zadali v předchozím kinit příkazu, například contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/
   

Připojení virtuálního počítače ke spravované doméně chvíli trvá. Následující příklad výstupu ukazuje, že se virtuální počítač úspěšně připojil ke spravované doméně:

Successfully enrolled machine in realm

Pokud váš virtuální počítač nemůže úspěšně dokončit proces připojení k doméně, ujistěte se, že skupina zabezpečení sítě virtuálního počítače umožňuje odchozí provoz Kerberos na portu TCP + UDP 464 do podsítě virtuální sítě pro vaši spravovanou doménu.

Pokud se vám zobrazila chyba Nespecifikovaná chyba GSS. Podverze může poskytnout další informace (Server nebyl nalezen v databázi Kerberos), otevřete soubor /etc/krb5.conf a přidejte následující kód v [libdefaults] části a zkuste to znovu:

rdns=false

Aktualizace konfigurace SSSD

Jeden z balíčků nainstalovaných v předchozím kroku byl pro proces démona služby System Security Services (SSSD). Když se uživatel pokusí přihlásit k virtuálnímu počítači pomocí přihlašovacích údajů domény, služba SSSD předá požadavek poskytovateli ověřování. V tomto scénáři služba SSSD k ověření požadavku používá službu Domain Services.

1. Otevřete soubor sssd.conf pomocí editoru:

   sudo vi /etc/sssd/sssd.conf
   

2. Zakomentujte řádek pro use_fully_qualified_names následujícím způsobem:

   # use_fully_qualified_names = True
   

   Po dokončení uložte a ukončete soubor sssd.conf pomocí :wq příkazu editoru.

3. Pokud chcete změnu použít, restartujte službu SSSD:

   sudo systemctl restart sssd
   

Konfigurace uživatelského účtu a nastavení skupiny

S virtuálním počítačem připojeným ke spravované doméně a nakonfigurovaným pro ověřování je k dispozici několik možností konfigurace uživatele. Mezi tyto změny konfigurace patří povolení ověřování na základě hesla a automatické vytváření domovských adresářů na místním virtuálním počítači, když se uživatelé domény poprvé přihlásí.

Povolit ověřování heslem pro SSH

Ve výchozím nastavení se uživatelé můžou k virtuálnímu počítači přihlásit jenom pomocí ověřování založeného na veřejném klíči SSH. Ověřování založené na heslech selže. Když připojíte virtuální počítač ke spravované doméně, musí tyto účty domény používat ověřování založené na heslech. Aktualizujte konfiguraci SSH tak, aby povolte ověřování založené na heslech následujícím způsobem.

1. Otevřete soubor sshd_conf editorem:

   sudo vi /etc/ssh/sshd_config
   

2. Aktualizujte řádek pro passwordAuthentication na ano:

   PasswordAuthentication yes
   

   Po dokončení uložte a ukončete soubor sshd_conf pomocí :wq příkazu editoru.

3. Pokud chcete použít změny a umožnit uživatelům přihlásit se pomocí hesla, restartujte službu SSH:

   sudo systemctl restart ssh
   

Konfigurace automatického vytváření domovského adresáře

Pokud chcete povolit automatické vytváření domovského adresáře při prvním přihlášení uživatele, proveďte následující kroky:

1. /etc/pam.d/common-session Otevřete soubor v editoru:

   sudo vi /etc/pam.d/common-session
   

2. Pod řádek session optional pam_sss.sopřidejte následující řádek:

   session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
   

   Po dokončení uložte a ukončete soubor common-session pomocí :wq příkazu editoru.

Udělení oprávnění sudo skupiny AAD DC Správa istrators

Pokud chcete členům řadiče domény AAD udělit oprávnění pro správu skupiny Správa istrators na virtuálním počítači s Ubuntu, přidáte položku do /etc/sudoers. Po přidání můžou členové skupiny AAD DC Správa istrators použít sudo příkaz na virtuálním počítači s Ubuntu.

1. Otevřete soubor sudoers pro úpravy:

   sudo visudo
   

2. Na konec souboru /etc/sudoers přidejte následující položku:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
   

   Po dokončení uložte a ukončete editor pomocí Ctrl-X příkazu.

Přihlášení k virtuálnímu počítači pomocí účtu domény

Pokud chcete ověřit, že se virtuální počítač úspěšně připojil ke spravované doméně, spusťte nové připojení SSH pomocí uživatelského účtu domény. Ověřte, že byl vytvořen domovský adresář a že se použije členství ve skupině z domény.

1. Vytvořte nové připojení SSH z konzoly. Pomocí příkazu použijte ssh -l účet domény, který patří do spravované domény, například contosoadmin@aaddscontoso.com a zadejte adresu vašeho virtuálního počítače, například ubuntu.aaddscontoso.com. Pokud používáte Azure Cloud Shell, použijte místo interního názvu DNS veřejnou IP adresu virtuálního počítače.

   sudo ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com
   

2. Po úspěšném připojení k virtuálnímu počítači ověřte, že se domovský adresář inicializoval správně:

   sudo pwd
   

   Měli byste být v adresáři /home s vlastním adresářem, který odpovídá uživatelskému účtu.

3. Teď zkontrolujte, jestli se členství ve skupinách správně vyřešilo:

   sudo id
   

   Měli byste vidět členství ve skupině ze spravované domény.

4. Pokud jste se k virtuálnímu počítači přihlásili jako člen skupiny AAD DC Správa istrators, zkontrolujte, jestli můžete příkaz správně použítsudo:

   sudo apt-get update
   

Další kroky

Pokud máte problémy s připojením virtuálního počítače ke spravované doméně nebo přihlášením pomocí účtu domény, přečtěte si téma Řešení potíží s připojením k doméně.