Csatlakozás su Standard kiadás Linux Enterprise rendszerű virtuális géphez felügyelt Microsoft Entra Domain Services-tartományhoz

Ha lehetővé szeretné tenni, hogy a felhasználók egyetlen hitelesítő adatkészlettel jelentkezzenek be virtuális gépekre (virtuális gépekre) az Azure-ban, csatlakoztathat virtuális gépeket egy felügyelt Microsoft Entra Domain Services-tartományhoz. Amikor egy virtuális géphez csatlakozik egy domain Services által felügyelt tartományhoz, a tartomány felhasználói fiókjai és hitelesítő adatai használhatók a kiszolgálók bejelentkezésére és kezelésére. A felügyelt tartomány csoporttagságait is alkalmazza a rendszer, hogy szabályozhassa a virtuális gépen lévő fájlokhoz vagy szolgáltatásokhoz való hozzáférést.

Ez a cikk bemutatja, hogyan csatlakozhat su Standard kiadás Linux Enterprise (SLE) virtuális géphez egy felügyelt tartományhoz.

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

  • Aktív Azure-előfizetés.
  • Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • A felügyelt tartomány részét képező felhasználói fiók.
  • Egyedi, legfeljebb 15 karakter hosszúságú Linux rendszerű virtuálisgép-nevek, amelyek elkerülik a csonkolt neveket, amelyek ütközéseket okozhatnak az Active Directoryban.

SLE Linux rendszerű virtuális gép létrehozása és csatlakoztatása

Ha már rendelkezik SLE Linux rendszerű virtuális géppel az Azure-ban, csatlakozzon hozzá az SSH használatával, majd folytassa a következő lépéssel a virtuális gép konfigurálásának megkezdéséhez.

Ha SLE Linux rendszerű virtuális gépet szeretne létrehozni, vagy teszt virtuális gépet szeretne létrehozni a jelen cikkhez, az alábbi módszerek egyikét használhatja:

A virtuális gép létrehozásakor ügyeljen a virtuális hálózat beállításaira, hogy a virtuális gép kommunikálhasson a felügyelt tartománnyal:

  • Helyezze üzembe a virtuális gépet ugyanabban a virtuális hálózatban vagy egy társhálózaton, amelyben engedélyezte a Microsoft Entra Domain Services szolgáltatást.
  • Helyezze üzembe a virtuális gépet egy másik alhálózaton, mint a Microsoft Entra Domain Services által felügyelt tartomány.

A virtuális gép üzembe helyezése után kövesse az SSH használatával a virtuális géphez való csatlakozás lépéseit.

A gazdagépfájl konfigurálása

Annak érdekében, hogy a virtuálisgép-gazdagép neve megfelelően legyen konfigurálva a felügyelt tartományhoz, szerkessze az /etc/hosts fájlt, és állítsa be a gazdagép nevét:

sudo vi /etc/hosts

A gazdagépfájlban frissítse a localhost-címet. Az alábbi példában:

  • aaddscontoso.com a felügyelt tartomány DNS-tartományneve.
  • linux-q2gr a felügyelt tartományhoz csatlakozó SLE virtuális gép gazdagépneve.

Frissítse ezeket a neveket a saját értékeivel:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Ha elkészült, mentse és lépjen ki a gazdagépfájlból a :wq szerkesztő parancsával.

Virtuális gép csatlakoztatása a felügyelt tartományhoz az SSSD használatával

Ha a felügyelt tartományhoz az SSSD és a YaST felhasználói bejelentkezési felügyeleti moduljával szeretne csatlakozni, hajtsa végre a következő lépéseket:

  1. Telepítse a Felhasználói bejelentkezés kezelése YaST-modult:

    sudo zypper install yast2-auth-client
    
  2. Nyissa meg a YaST-et.

  3. A DNS automatikus feltárásának későbbi sikeres használatához konfigurálja a felügyelt tartomány IP-címeit (az Active Directory-kiszolgálót) az ügyfél névkiszolgálójaként.

    A YaST-ben válassza a System > Network Gépház lehetőséget.

  4. Válassza ki a Gazdagépnév/DNS lapot, majd írja be a felügyelt tartomány IP-címét (ip-címét) az 1. névmezőbe. Ezek az IP-címek a Felügyelt tartomány Microsoft Entra felügyeleti központjának Tulajdonságok ablakában jelennek meg, például 10.0.2.4 és 10.0.2.5.

    Adja hozzá a saját felügyelt tartomány IP-címét, majd kattintson az OK gombra.

  5. A YaST főablakában válassza a Network Services>felhasználói bejelentkezéskezelését.

    Megnyílik a modul, amely áttekintést nyújt a számítógép különböző hálózati tulajdonságairól és a jelenleg használt hitelesítési módszerről, ahogyan az alábbi képernyőképen látható:

    Example screenshot of the User Login Management window in YaST

    A szerkesztés megkezdéséhez válassza a Gépház módosítása lehetőséget.

A virtuális gép felügyelt tartományhoz való csatlakoztatásához hajtsa végre a következő lépéseket:

  1. A párbeszédpanelen válassza a Tartomány hozzáadása lehetőséget.

  2. Adja meg a megfelelő tartománynevet(például aaddscontoso.com), majd adja meg az identitásadatokhoz és a hitelesítéshez használni kívánt szolgáltatásokat. Válassza a Microsoft Active Directoryt mindkettőhöz.

    Győződjön meg arról, hogy a tartomány engedélyezése lehetőség be van jelölve.

  3. Ha elkészült, válassza az OK gombot.

  4. Fogadja el az alapértelmezett beállításokat a következő párbeszédpanelen, majd kattintson az OK gombra.

  5. A virtuális gép szükség szerint további szoftvereket telepít, majd ellenőrzi, hogy elérhető-e a felügyelt tartomány.

    Ha minden rendben van, az alábbi példa párbeszédpanel jelzi, hogy a virtuális gép felderítette a felügyelt tartományt, de még nincs regisztrálva.

    Example screenshot of the Active Directory enrollment window in YaST

  6. A párbeszédpanelen adja meg a felügyelt tartomány részét képező felhasználó felhasználónevét és jelszavát . Szükség esetén adjon hozzá egy felhasználói fiókot egy csoporthoz a Microsoft Entra-azonosítóban.

    Ha meg szeretné győződni arról, hogy az aktuális tartomány engedélyezve van a Samba számára, aktiválja a Samba-konfiguráció felülírását az AD használatához.

  7. A regisztrációhoz válassza az OK gombot.

  8. Megjelenik egy üzenet, amely megerősíti, hogy sikeresen regisztrált. A befejezéshez válassza az OK gombot.

Miután regisztrálta a virtuális gépet a felügyelt tartományban, konfigurálja az ügyfelet a Tartományfelhasználói bejelentkezés kezelése funkcióval, ahogyan az alábbi képernyőképen látható:

Example screenshot of the Manage Domain User Logon window in YaST

  1. Ha engedélyezni szeretné a bejelentkezéseket a felügyelt tartomány által megadott adatokkal, jelölje be a Tartományfelhasználói bejelentkezés engedélyezése jelölőnégyzetet.

  2. A tartományi adatforrás engedélyezése területen szükség szerint ellenőrizze a környezetéhez szükséges további adatforrásokat. Ezek a lehetőségek közé tartozik, hogy mely felhasználók használhatják a sudo-t , vagy mely hálózati meghajtók érhetők el.

  3. Ha engedélyezni szeretné, hogy a felügyelt tartományban lévő felhasználók otthoni címtárakat használjanak a virtuális gépen, jelölje be a Kezdőkönyvtárak létrehozása jelölőnégyzetet.

  4. Az oldalsávon válassza a Szolgáltatásbeállítások › Névkapcsoló, majd a Kiterjesztett beállítások lehetőséget. Az ablakban válassza a fallback_homedir vagy a override_homedir, majd a Hozzáadás lehetőséget.

  5. Adja meg a kezdőkönyvtár helyének értékét. Ha otthoni könyvtárakat szeretne használni, kövesse a /home/U Standard kiadásR_NAME formátumot, használja a /home/%u parancsot. A lehetséges változókkal kapcsolatos további információkért lásd az sssd.conf man oldalt (man 5 sssd.conf), a override_homedir.

  6. Kattintson az OK gombra.

  7. A módosítások mentéséhez válassza az OK gombot. Ezután győződjön meg arról, hogy a megjelenített értékek helyesek. A párbeszédpanel elhagyásához válassza a Mégse lehetőséget.

  8. Ha egyidejűleg szeretné futtatni az SSSD-t és a Winbindet (például amikor SSSD-en keresztül csatlakozik, de samba fájlkiszolgálót futtat), akkor a Samba beállítás kerberos metódusát titkos kulcsokra és keytab-ra kell állítani az smb.conf fájlban. Az SSSD ad_update_samba_machine_account_password beállítást is igaz értékre kell állítani az sssd.conf fájlban. Ezek a beállítások megakadályozzák, hogy a rendszer keytabja kiesjön a szinkronizálásból.

Virtuális gép csatlakoztatása a felügyelt tartományhoz a Winbind használatával

Ha a winbind és a YaST Windows-tartománytagság modulja használatával szeretne csatlakozni a felügyelt tartományhoz, hajtsa végre a következő lépéseket:

  1. A YaST-ben válassza a Hálózati szolgáltatások > Windows-tartománytagság lehetőséget.

  2. Adja meg a tartományt, amelyhez csatlakozni szeretne a Tartomány vagy munkacsoport területen a Windows tartománytagság képernyőjén. Adja meg a felügyelt tartománynevet, például aaddscontoso.com.

    Example screenshot of the Windows Domain Membership window in YaST

  3. Az SMB-forrás Linux-hitelesítéshez való használatához ellenőrizze az SMB-adatok linuxos hitelesítéshez való használatát.

  4. Ha automatikusan létre szeretne hozni egy helyi kezdőkönyvtárat a virtuális gépen felügyelt tartomány felhasználói számára, jelölje be a Kezdőlap létrehozása bejelentkezéskor jelölőnégyzetet.

  5. Ellenőrizze az offline hitelesítés beállítását, hogy a tartomány felhasználói akkor is bejelentkezhessenek, ha a felügyelt tartomány átmenetileg nem érhető el.

  6. Ha módosítani szeretné a Samba-felhasználók és -csoportok UID- és GID-tartományait, válassza az Expert Gépház lehetőséget.

  7. Konfigurálja a hálózati időprotokoll (NTP) időszinkronizálását a felügyelt tartományhoz az NTP-konfiguráció kiválasztásával. Adja meg a felügyelt tartomány IP-címét. Ezek az IP-címek a Felügyelt tartomány Microsoft Entra felügyeleti központjának Tulajdonságok ablakában jelennek meg, például 10.0.2.4 és 10.0.2.5.

  8. Válassza az OK gombot, és erősítse meg a tartományhoz való csatlakozást, amikor a rendszer kéri.

  9. Adja meg a rendszergazda jelszavát a felügyelt tartományban, és válassza az OK gombot.

    Example screenshot of the authentication dialog prompt when you join a SLE VM to the managed domain

Miután csatlakozott a felügyelt tartományhoz, bejelentkezhet a munkaállomásról az asztal vagy a konzol megjelenítési kezelőjével.

Virtuális gép csatlakoztatása a felügyelt tartományhoz a Winbind használatával a YaST parancssori felületéről

A felügyelt tartományhoz való csatlakozás a winbind és a YaST parancssori felület használatával:

  • Csatlakozzon a tartományhoz:

    sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
    

Virtuális gép csatlakoztatása a felügyelt tartományhoz a Winbind használatával a terminálról

A felügyelt tartományhoz való csatlakozás a winbind és a samba net parancs használatával:

  1. Telepítse a Kerberos-ügyfelet és a samba-winbindet:

    sudo zypper in krb5-client samba-winbind
    
  2. A konfigurációs fájlok szerkesztése:

    • /etc/samba/smb.conf

      [global]
          workgroup = AADDSCONTOSO
          usershare allow guests = NO #disallow guests from sharing
          idmap config * : backend = tdb
          idmap config * : range = 1000000-1999999
          idmap config AADDSCONTOSO : backend = rid
          idmap config AADDSCONTOSO : range = 5000000-5999999
          kerberos method = secrets and keytab
          realm = AADDSCONTOSO.COM
          security = ADS
          template homedir = /home/%D/%U
          template shell = /bin/bash
          winbind offline logon = yes
          winbind refresh tickets = yes
      
    • /etc/krb5.conf

      [libdefaults]
          default_realm = AADDSCONTOSO.COM
          clockskew = 300
      [realms]
          AADDSCONTOSO.COM = {
              kdc = PDC.AADDSCONTOSO.COM
              default_domain = AADDSCONTOSO.COM
              admin_server = PDC.AADDSCONTOSO.COM
          }
      [domain_realm]
          .aaddscontoso.com = AADDSCONTOSO.COM
      [appdefaults]
          pam = {
              ticket_lifetime = 1d
              renew_lifetime = 1d
              forwardable = true
              proxiable = false
              minimum_uid = 1
          }
      
    • /etc/security/pam_winbind.conf

      [global]
          cached_login = yes
          krb5_auth = yes
          krb5_ccache_type = FILE
          warn_pwd_expire = 14
      
    • /etc/nsswitch.conf

      passwd: compat winbind
      group: compat winbind
      
  3. Ellenőrizze, hogy a Microsoft Entra ID és a Linux dátum és idő szinkronban van-e. Ezt úgy teheti meg, hogy hozzáadja a Microsoft Entra-kiszolgálót az NTP szolgáltatáshoz:

    1. Adja hozzá a következő sort a következőhöz /etc/ntp.conf:

      server aaddscontoso.com
      
    2. Indítsa újra az NTP szolgáltatást:

      sudo systemctl restart ntpd
      
  4. Csatlakozzon a tartományhoz:

    sudo net ads join -U Administrator%Mypassword
    
  5. Engedélyezze a winbindet bejelentkezési forrásként a Linux pluggable Authentication Modules (PAM) szolgáltatásban:

    config pam-config --add --winbind
    
  6. Engedélyezze az otthoni könyvtárak automatikus létrehozását, hogy a felhasználók bejelentkezhessenek:

    sudo pam-config -a --mkhomedir
    
  7. Indítsa el és engedélyezze a winbind szolgáltatást:

    sudo systemctl enable winbind
    sudo systemctl start winbind
    

Jelszóhitelesítés engedélyezése SSH-hoz

Alapértelmezés szerint a felhasználók csak SSH nyilvános kulcsalapú hitelesítéssel jelentkezhetnek be egy virtuális gépre. A jelszóalapú hitelesítés sikertelen. Amikor egy felügyelt tartományhoz csatlakozik a virtuális géphez, ezeknek a tartományi fiókoknak jelszóalapú hitelesítést kell használniuk. Frissítse az SSH-konfigurációt a jelszóalapú hitelesítés engedélyezéséhez az alábbiak szerint.

  1. Nyissa meg a sshd_conf fájlt egy szerkesztővel:

    sudo vi /etc/ssh/sshd_config
    
  2. Módosítsa a PasswordAuthentication sorát igen értékre:

    PasswordAuthentication yes
    

    Ha elkészült, mentse és lépjen ki a sshd_conf fájlból a :wq szerkesztő parancsával.

  3. A módosítások alkalmazásához és a felhasználók jelszóval való bejelentkezéséhez indítsa újra az SSH szolgáltatást:

    sudo systemctl restart sshd
    

Az "AAD DC Rendszergazda istrators" csoport sudo jogosultságainak megadása

Ha az AAD DC Rendszergazda istrators csoportszintű rendszergazdai jogosultságokat szeretne biztosítani az SLE virtuális gépen, adjon hozzá egy bejegyzést a /etc/sudoershez. A hozzáadást követően az AAD DC Rendszergazda istrators csoport tagjai használhatják az sudo SLE virtuális gépen található parancsot.

  1. Nyissa meg a sudoers fájlt szerkesztésre:

    sudo visudo
    
  2. Adja hozzá a következő bejegyzést a /etc/sudoers fájl végéhez. Az AAD dc Rendszergazda istrators csoport a névben szóközt tartalmaz, így a fordított perjel feloldó karaktert is belefoglalja a csoportnévbe. Adja hozzá saját tartománynevét, például aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
    

    Ha elkészült, mentse és lépjen ki a szerkesztőből a :wq szerkesztő parancsával.

Jelentkezzen be a virtuális gépre tartományi fiókkal

Annak ellenőrzéséhez, hogy a virtuális gép sikeresen csatlakozott-e a felügyelt tartományhoz, indítsa el az új SSH-kapcsolatot egy tartományi felhasználói fiókkal. Ellenőrizze, hogy létre lett-e hozva egy kezdőkönyvtár, és hogy a csoporttagság a tartományból lett-e alkalmazva.

  1. Hozzon létre egy új SSH-kapcsolatot a konzolról. Használjon egy tartományfiókot, amely a felügyelt tartományhoz tartozik a ssh -l paranccsal, például contosoadmin@aaddscontoso.com adja meg a virtuális gép címét, például linux-q2gr.aaddscontoso.com. Ha az Azure Cloud Shellt használja, használja a virtuális gép nyilvános IP-címét a belső DNS-név helyett.

    sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
    
  2. Ha sikeresen csatlakozott a virtuális géphez, ellenőrizze, hogy a kezdőkönyvtár megfelelően lett-e inicializálva:

    sudo pwd
    

    A /home könyvtárban kell lennie a felhasználói fióknak megfelelő saját címtárral.

  3. Most ellenőrizze, hogy a csoporttagságok helyesen vannak-e feloldva:

    sudo id
    

    A csoporttagságoknak a felügyelt tartományból kell megjelennie.

  4. Ha az AAD DC Rendszergazda istrators csoport tagjaként jelentkezett be a virtuális gépre, ellenőrizze, hogy helyesen használhatja-e a sudo parancsot:

    sudo zypper update
    

További lépések

Ha problémái vannak a virtuális gép felügyelt tartományhoz való csatlakoztatásával vagy egy tartományi fiókkal való bejelentkezéssel, tekintse meg a tartományhoz való csatlakozással kapcsolatos problémák hibaelhárítását.