Bagikan melalui

Menggabungkan komputer virtual SUSE Linux Enterprise ke domain terkelola Microsoft Entra Domain Services

  • Artikel

Untuk memungkinkan pengguna masuk ke komputer virtual (VM) di Azure menggunakan satu set kredensial, Anda dapat menggabungkan VM ke domain terkelola Microsoft Entra Domain Services. Saat Anda menggabungkan VM ke domain terkelola Domain Services, akun pengguna dan kredensial dari domain dapat digunakan untuk masuk dan mengelola server. Keanggotaan grup dari domain terkelola juga diterapkan untuk memungkinkan Anda mengontrol akses ke file atau layanan di komputer virtual.

Artikel ini menunjukkan kepada Anda cara bergabung dengan SUSE Linux Enterprise (SLE) VM ke domain terkelola.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

  • Langganan Azure aktif.
    • Jika Anda tidak memiliki langganan Azure, buat akun.
  • Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
  • Sebuah akun pengguna yang merupakan bagian dari domain terkelola.
  • Nama Linux VM unik yang maksimal 15 karakter untuk menghindari nama terpotong yang dapat menyebabkan konflik di Direktori Aktif.

Buat dan sambungkan ke komputer virtual SLE Linux

Jika Anda memiliki komputer virtual SLE Linux yang ada di Azure, sambungkan menggunakan SSH, kemudian lanjutkan ke langkah berikutnya untuk mulai mengonfigurasi komputer virtual.

Jika Anda perlu membuat komputer virtual SLE Linux, atau ingin membuat uji komputer virtual untuk digunakan dengan artikel ini, Anda dapat menggunakan salah satu metode berikut:

Saat Anda membuat komputer virtual, perhatikan pengaturan jaringan virtual untuk memastikan bahwa komputer virtual dapat berkomunikasi dengan domain terkelola:

  • Sebarkan VM ke jaringan virtual yang sama, atau yang di-peering di mana Anda telah mengaktifkan Microsoft Entra Domain Services.
  • Sebarkan VM ke subnet yang berbeda dari domain terkelola Microsoft Entra Domain Services Anda.

Setelah komputer virtual disebarkan, ikuti langkah-langkah untuk menyambungkan ke komputer virtual menggunakan SSH.

Mengonfigurasi file host

Untuk memastikan bahwa nama host komputer virtual dikonfigurasi dengan benar untuk domain terkelola, edit file /etc/hosts dan atur nama host:

sudo vi /etc/hosts

Dalam file host, perbarui alamat localhost. Dalam contoh berikut:

  • aaddscontoso.com adalah nama domain DNS domain terkelola Anda.
  • linux-q2gr adalah nama host komputer virtual SLE Anda yang bergabung dengan domain terkelola.

Perbarui nama-nama tersebut dengan nilai Anda sendiri:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Setelah selesai, simpan dan keluar dari file host :wq menggunakan perintah editor.

Bergabunglah dengan komputer virtual ke domain terkelola menggunakan SSSD

Untuk bergabung dengan domain terkelola menggunakan SSSD dan modul Manajemen Masuk Pengguna YaST, selesaikan langkah-langkah berikut:

  1. Pasang modul YaST Manajemen Masuk Pengguna:

    sudo zypper install yast2-auth-client

  2. Buka YaST.

  3. Untuk berhasil menggunakan pencarian otomatis DNS selanjutnya, konfigurasikan alamat IP domain terkelola (server Direktori Aktif)sebagai server nama untuk klien Anda.

    Di YaST, pilih Sistem > Pengaturan Jaringan.

  4. Pilih tab Hostname/DNS, kemudian masukkan alamat IP domain yang dikelola ke dalam kotak teks Nama Server 1. Alamat IP ini ditampilkan di jendela Properti di pusat admin Microsoft Entra untuk domain terkelola Anda, seperti 10.0.2.4 dan 10.0.2.5.

    Tambahkan alamat IP domain terkelola Anda sendiri, kemudian pilih OK.

  5. Dari jendela utama YaST, pilih Manajemen Masuk>Pengguna Layanan Jaringan.

    Modul terbuka dengan ikhtisar yang menunjukkan properti jaringan yang berbeda dari komputer Anda dan metode autentikasi yang saat ini digunakan, seperti yang ditunjukkan pada contoh cuplikan layar berikut ini:

    Contoh cuplikan layar jendela Manajemen Masuk Pengguna di YaST

    Untuk mulai mengedit, pilih Ubah Pengaturan.

Untuk bergabung dengan komputer virtual ke domain terkelola, selesaikan langkah-langkah berikut ini:

  1. Di dalam kotak dialog, pilih Tambahkan Domain.

  2. Tentukan nama Domain yang benar, seperti aaddscontoso.com, kemudian tentukan layanan yang akan digunakan untuk data identitas dan autentikasi. Pilih Microsoft Active Directory untuk keduanya.

    Pastikan opsi untuk Aktifkan domain dipilih.

  3. Jika sudah siap, pilih OK.

  4. Terima pengaturan default dalam dialog berikut ini, kemudian pilih OK.

  5. VM memasang perangkat lunak tambahan sesuai kebutuhan, kemudian memeriksa ketersediaan domain terkelola.

    Jika semuanya sudah benar, dialog contoh berikut ini diperlihatkan untuk menunjukkan bahwa VM telah menemukan domain terkelola, tetapi Anda belum terdaftar.

    Contoh cuplikan layar jendela pendaftaran Active Directory di YaST

  6. Di dalam dialog, tentukan Nama Pengguna dan Kata Sandi pengguna yang merupakan bagian dari domain terkelola. Jika diperlukan, tambahkan akun pengguna ke grup di ID Microsoft Entra.

    Untuk memastikan bahwa domain saat ini diaktifkan untuk Samba, aktifkan konfigurasi Overwrite Samba untuk bekerja dengan AD ini.

  7. Untuk mendaftar, pilih OK.

  8. Sebuah pesan diperlihatkan untuk mengonfirmasi bahwa Anda berhasil didaftarkan. Untuk menyelesaikannya, pilih OK.

Setelah VM terdaftar di domain terkelola, konfigurasikan klien menggunakan Kelola Masuk Pengguna Domain, seperti yang diperlihatkan dalam contoh cuplikan layar berikut ini:

Contoh cuplikan layar jendela Kelola Masuk Pengguna Domain di YaST

  1. Untuk mengizinkan masuk menggunakan data yang disediakan oleh domain terkelola, centang kotak untuk Izinkan Masuk Pengguna Domain.

  2. Secara opsional, di bawah Aktifkan sumber data domain,periksa sumber data tambahan yang diperlukan untuk lingkungan Anda. Opsi ini mencakup pengguna yang diizinkan menggunakan sudo atau drive jaringan mana yang tersedia.

  3. Untuk mengizinkan pengguna dalam domain terkelola memiliki direktori beranda di VM, centang pada kotak untuk Membuat Direktori Beranda.

  4. Dari bilah samping, pilih Opsi Layanan › Pengalihan nama, kemudian Opsi Perluasan. Dari jendela tersebut, pilih fallback_homedir atau override_homedir, kemudian pilih Tambahkan.

  5. Tentukan nilai untuk lokasi direktori beranda. Untuk memiliki direktori beranda, ikuti format /home/USER_NAME, gunakan /home/%u. Untuk informasi selengkapnya tentang kemungkinan variabel, lihat halaman man sssd.conf (man 5 sssd.conf), bagian override_homedir.

  6. Pilih OK.

  7. Untuk menyimpan perubahan, pilih OK. Kemudian pastikan bahwa nilai yang ditampilkan saat ini sudah benar. Untuk meninggalkan dialog, pilih Batal.

  8. Jika Anda ingin menjalankan SSSD dan Winbind secara bersamaan (seperti saat bergabung melalui SSSD, tetapi kemudian menjalankan server file Samba), metode kerberos opsi Samba harus diatur ke rahasia dan keytab di smb.conf. Opsi SSSD ad_update_samba_machine_account_password juga harus diatur ke benar di sssd.conf. Opsi tersebut mencegah keytab sistem tidak sinkron.

Bergabunglah dengan komputer virtual ke domain terkelola menggunakan Winbind

Untuk bergabung dengan domain terkelola menggunakan winbind dan modul Windows Domain Membership YaST, selesaikan langkah-langkah berikut ini:

  1. Di YaST, pilih Network Services > Keanggotaan Domain Windows.

  2. Masukkan domain untuk bergabung di Domain atau Grup Kerja pada layar Windows Domain Membership. Masukkan nama domain terkelola, seperti aaddscontoso.com.

    Contoh cuplikan layar pada jendela Windows Domain Membership di YaST

  3. Untuk menggunakan sumber SMB untuk autentikasi Linux, centang opsi untuk Menggunakan Informasi SMB untuk Autentikasi Linux.

  4. Untuk membuat direktori beranda lokal secara otomatis untuk pengguna domain terkelola di komputer virtual, centang opsi untuk Membuat Direktori Beranda di bagian Masuk.

  5. Centang opsi untuk Autentikasi Offline untuk mengizinkan pengguna domain Anda masuk meskipun domain terkelola tidak tersedia untuk sementara waktu.

  6. Jika Anda ingin mengubah rentang UID dan GID untuk pengguna dan grup Samba, pilih Pengaturan Ahli.

  7. Konfigurasikan sinkronisasi waktu pada Protokol Waktu Jaringan/Network Time Protocol (NTP) untuk domain terkelola Anda dengan memilih Konfigurasi NTP. Masukkan alamat IP domain terkelola. Alamat IP ini ditampilkan di jendela Properti di pusat admin Microsoft Entra untuk domain terkelola Anda, seperti 10.0.2.4 dan 10.0.2.5.

  8. Pilih OK dan konfirmasikan domain bergabung saat diminta.

  9. Berikan kata sandi untuk admin di domain terkelola dan pilih OK.

    Contoh cuplikan layar perintah dialog autentikasi saat Anda bergabung dengan komputer virtual SLE ke domain terkelola

Setelah bergabung dengan domain terkelola, Anda dapat masuk dari stasiun kerja menggunakan pengelola tampilan pada desktop atau konsol Anda.

Bergabunglah dengan komputer virtual ke domain terkelola menggunakan Winbind dari antarmuka baris perintah YaST

Untuk bergabung dengan domain terkelola menggunakan winbind dan antarmuka baris perintah YaST:

  • Bergabung dengan domain:

    sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>

Bergabunglah dengan komputer virtual ke domain terkelola menggunakan Winbind dari terminal

Untuk bergabung dengan domain terkelola menggunakan winbind dan samba net perintah:

  1. Pasang klien kerberos dan samba-winbind:

    sudo zypper in krb5-client samba-winbind

  2. Edit file konfigurasi:

    • /etc/samba/smb.conf

      [global]
    workgroup = AADDSCONTOSO
    usershare allow guests = NO #disallow guests from sharing
    idmap config * : backend = tdb
    idmap config * : range = 1000000-1999999
    idmap config AADDSCONTOSO : backend = rid
    idmap config AADDSCONTOSO : range = 5000000-5999999
    kerberos method = secrets and keytab
    realm = AADDSCONTOSO.COM
    security = ADS
    template homedir = /home/%D/%U
    template shell = /bin/bash
    winbind offline logon = yes
    winbind refresh tickets = yes

    • /etc/krb5.conf

      [libdefaults]
    default_realm = AADDSCONTOSO.COM
    clockskew = 300
[realms]
    AADDSCONTOSO.COM = {
        kdc = PDC.AADDSCONTOSO.COM
        default_domain = AADDSCONTOSO.COM
        admin_server = PDC.AADDSCONTOSO.COM
    }
[domain_realm]
    .aaddscontoso.com = AADDSCONTOSO.COM
[appdefaults]
    pam = {
        ticket_lifetime = 1d
        renew_lifetime = 1d
        forwardable = true
        proxiable = false
        minimum_uid = 1
    }

    • /etc/security/pam_winbind.conf

      [global]
    cached_login = yes
    krb5_auth = yes
    krb5_ccache_type = FILE
    warn_pwd_expire = 14

    • /etc/nsswitch.conf

      passwd: compat winbind
group: compat winbind

  3. Periksa apakah tanggal dan waktu di MICROSOFT Entra ID dan Linux sinkron. Anda dapat melakukan ini dengan menambahkan server Microsoft Entra ke layanan NTP:

    1. Tambahkan baris berikut ke /etc/ntp.conf:

      server aaddscontoso.com

    2. Hidupkan ulang layanan NTP:

      sudo systemctl restart ntpd

  4. Bergabung dengan domain:

    sudo net ads join -U Administrator%Mypassword

  5. Aktifkan winbind sebagai sumber masuk di Modul Autentikasi Pluggable/Pluggable Authentication Modules (PAM) Linux:

    config pam-config --add --winbind

  6. Aktifkan pembuatan direktori beranda secara otomatis, sehingga pengguna dapat masuk:

    sudo pam-config -a --mkhomedir

  7. Mulai dan aktifkan layanan winbind:

    sudo systemctl enable winbind
sudo systemctl start winbind

Izinkan autentikasi kata sandi untuk SSH

Secara default, pengguna hanya dapat masuk ke komputer virtual menggunakan autentikasi berbasis kunci umum SSH. Autentikasi berbasis kata sandi gagal. Saat Anda bergabung dengan komputer virtual ke domain terkelola, akun domain tersebut perlu menggunakan autentikasi berbasis kata sandi. Perbarui konfigurasi SSH untuk mengizinkan autentikasi berbasis kata sandi sebagai berikut.

  1. Buka file sshd_conf dengan editor:

    sudo vi /etc/ssh/sshd_config

  2. Perbarui baris untuk PasswordAuthentication ke ya:

    PasswordAuthentication yes

    Setelah selesai, simpan dan keluar dari file sshd_conf menggunakan perintah :wq pada editor.

  3. Untuk menerapkan perubahan dan mengizinkan pengguna masuk menggunakan kata sandi, mulai ulang layanan SSH:

    sudo systemctl restart sshd

Berikan hak istimewa sudo grup 'Administrator Azure Active Directory DC'

Untuk memberikan hak istimewa administratif grup Administrator Azure Active Directory DC kepada anggota pada komputer virtual SLE, tambahkan entri ke/etc/sudoers. Setelah ditambahkan, anggota grup Administrator Azure Active Directory DC dapat menggunakan perintah sudo pada komputer virtual SLE.

  1. Buka file sudoers untuk mengedit:

    sudo visudo

  2. Tambahkan entri berikut ini ke akhir file /etc/sudoers. Grup Administrator AAD DC berisi spasi kosong di dalam namanya, jadi sertakan karakter escape dengan garis miring terbalik dalam nama grup. Tambahkan nama domain Anda sendiri, seperti aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Setelah selesai, simpan dan keluar dari editor menggunakan perintah :wq pada editor.

Masuk ke komputer virtual menggunakan akun domain

Untuk memverifikasi bahwa komputer virtual telah berhasil bergabung ke domain terkelola, mulai koneksi SSH baru menggunakan akun pengguna domain. Konfirmasikan bahwa direktori beranda telah dibuat, dan keanggotaan grup dari domain telah diterapkan.

  1. Buat koneksi SSH baru dari konsol Anda. Gunakan akun domain milik domain terkelola menggunakan ssh -l perintah, seperti contosoadmin@aaddscontoso.com kemudian masukkan alamat komputer virtual Anda, seperti linux-q2gr.aaddscontoso.com. Jika Anda menggunakan Azure Cloud Shell, gunakan alamat IP publik komputer virtual daripada nama DNS internal.

    sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com

  2. Ketika Anda berhasil tersambung ke komputer virtual, verifikasi bahwa direktori beranda telah diinisialisasi dengan benar:

    sudo pwd

    Anda harus berada di direktori /home dengan direktori Anda sendiri yang cocok dengan akun pengguna.

  3. Sekarang periksa apakah keanggotaan grup diselesaikan dengan benar:

    sudo id

    Anda akan melihat keanggotaan grup Anda dari domain terkelola.

  4. Jika Anda masuk ke komputer virtual sebagai anggota grup Administrator Azure Active Directory DC, periksa apakah Anda dapat menggunakan perintah dengan sudo benar:

    sudo zypper update

Langkah berikutnya

Jika Anda mengalami masalah saat menyambungkan komputer virtual ke domain terkelola atau masuk dengan akun domain, lihat Memecahkan masalah penggabungan domain.