Menggabungkan komputer virtual Red Hat Enterprise Linux ke domain terkelola Microsoft Entra Domain Services
Untuk memungkinkan pengguna masuk ke komputer virtual (VM) di Azure menggunakan satu set kredensial, Anda dapat menggabungkan VM ke domain terkelola Microsoft Entra Domain Services. Saat Anda menggabungkan VM ke domain terkelola Domain Services, akun pengguna dan kredensial dari domain dapat digunakan untuk masuk dan mengelola server. Keanggotaan grup dari domain terkelola juga diterapkan untuk memungkinkan Anda mengontrol akses ke file atau layanan di komputer virtual.
Artikel ini menunjukkan cara bergabung dengan komputer virtual Red Hat Enterprise Linux (RHEL) ke domain terkelola.
Prasyarat
Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:
- Langganan Azure aktif.
- Jika Anda tidak memiliki langganan Azure, buat akun.
- Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
- Jika diperlukan, buat penyewa Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
- Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
- Jika diperlukan, tutorial pertama membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
- Sebuah akun pengguna yang merupakan bagian dari domain terkelola.
- Nama Linux VM unik yang maksimal 15 karakter untuk menghindari nama terpotong yang dapat menyebabkan konflik di Direktori Aktif.
Membuat dan menyambungkan ke komputer virtual RHEL Linux
Jika Anda memiliki komputer virtual RHEL Linux yang ada di Azure, sambungkan menggunakan SSH, kemudian lanjutkan ke langkah berikutnya untuk mulai mengonfigurasi komputer virtual.
Jika Anda perlu membuat komputer virtual RHEL Linux, atau ingin membuat uji komputer virtual untuk digunakan dengan artikel ini, Anda dapat menggunakan salah satu metode berikut:
Saat Anda membuat komputer virtual, perhatikan pengaturan jaringan virtual untuk memastikan bahwa komputer virtual dapat berkomunikasi dengan domain terkelola:
- Sebarkan VM ke jaringan virtual yang sama, atau yang di-peering di mana Anda telah mengaktifkan Microsoft Entra Domain Services.
- Sebarkan VM ke subnet yang berbeda dari domain terkelola Microsoft Entra Domain Services Anda.
Setelah komputer virtual disebarkan, ikuti langkah-langkah untuk menyambungkan ke komputer virtual menggunakan SSH.
Mengonfigurasi file host
Untuk memastikan bahwa nama host komputer virtual dikonfigurasi dengan benar untuk domain terkelola, edit file /etc/hosts dan atur nama host:
sudo vi /etc/hosts
Dalam file host, perbarui alamat localhost. Dalam contoh berikut:
- aaddscontoso.com adalah nama domain DNS domain terkelola Anda.
- rhel adalah nama host komputer virtual RHEL Anda yang Anda gabungkan ke domain terkelola.
Perbarui nama-nama tersebut dengan nilai Anda sendiri:
127.0.0.1 rhel rhel.aaddscontoso.com
Setelah selesai, simpan dan keluar dari file host :wq
menggunakan perintah editor.
Penting
Pertimbangan Red Hat Enterprise Linux 6.X dan Oracle Linux 6.x sudah EOL. RHEL 6.10 memiliki dukungan ELS yang tersedia, yang akan berakhir pada 06/2024.
Memasang paket yang diperlukan
Komputer virtual membutuhkan beberapa paket tambahan untuk bergabung dengan komputer virtual ke domain terkelola. Untuk memasang dan mengonfigurasi paket ini, perbarui dan pasang alat penggabung domain menggunakan yum
.
sudo yum install adcli sssd authconfig krb5-workstation
Bergabunglah dengan komputer virtual ke domain terkelola
Sekarang paket yang diperlukan dipasang pada komputer virtual, bergabunglah dengan komputer virtual ke domain terkelola.
Gunakan perintah
adcli info
untuk menemukan domain terkelola. Contoh berikut menemukan realm ADDDSCONTOSO.COM. Tentukan nama domain terkelola Anda sendiri dengan HURUF BESAR SEMUA:sudo adcli info aaddscontoso.com
Jika perintah
adcli info
tidak dapat menemukan domain terkelola Anda, ulas langkah-langkah pemecahan masalah berikut ini:- Pastikan bahwa domain dapat dijangkau dari komputer virtual. Coba
ping aaddscontoso.com
untuk memeriksa apakah balasan positif dikembalikan. - Periksa apakah komputer virtual disebarkan ke jaringan virtual yang sama atau yang serekan, di mana domain terkelola tersedia.
- Konfirmasikan bahwa pengaturan server DNS untuk jaringan virtual telah diperbarui untuk menunjuk ke pengendali domain pada domain terkelola.
- Pastikan bahwa domain dapat dijangkau dari komputer virtual. Coba
Pertama, bergabunglah dengan domain menggunakan perintah
adcli join
, perintah ini juga membuat tab kunci untuk mengautentikasi mesin. Menggunakan akun pengguna yang merupakan bagian dari domain terkelola.sudo adcli join aaddscontoso.com -U contosoadmin
Sekarang, konfigurasikan
/ect/krb5.conf
dan buat file/etc/sssd/sssd.conf
untuk menggunakan domain Direktori Aktifaaddscontoso.com
. Pastikan bahwaAADDSCONTOSO.COM
diganti dengan nama domain Anda sendiri:Buka file
/etc/krb5.conf
dengan editor:sudo vi /etc/krb5.conf
Perbarui file
krb5.conf
agar sesuai dengan sampel berikut:[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = AADDSCONTOSO.COM dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] AADDSCONTOSO.COM = { kdc = AADDSCONTOSO.COM admin_server = AADDSCONTOSO.COM } [domain_realm] .AADDSCONTOSO.COM = AADDSCONTOSO.COM AADDSCONTOSO.COM = AADDSCONTOSO.COM
Buat file
/etc/sssd/sssd.conf
:sudo vi /etc/sssd/sssd.conf
Perbarui file
sssd.conf
agar sesuai dengan sampel berikut:[sssd] services = nss, pam, ssh, autofs config_file_version = 2 domains = AADDSCONTOSO.COM [domain/AADDSCONTOSO.COM] id_provider = ad
Pastikan izin
/etc/sssd/sssd.conf
adalah 600 dan dimiliki oleh pengguna akar:sudo chmod 600 /etc/sssd/sssd.conf sudo chown root:root /etc/sssd/sssd.conf
Gunakan
authconfig
untuk meminta komputer virtual tentang integrasi AD Linux:sudo authconfig --enablesssd --enablesssd auth --update
Memulai dan mengaktifkan layanan sssd:
sudo service sssd start sudo chkconfig sssd on
Jika komputer virtual Anda tidak berhasil menyelesaikan proses penggabungan domain, pastikan bahwa grup keamanan jaringan komputer virtual memungkinkan lalu lintas Kerberos keluar pada TCP + UDP port 464 ke subnet jaringan virtual untuk domain terkelola Anda.
Sekarang periksa apakah Anda dapat mengkueri informasi AD pengguna menggunakan getent
sudo getent passwd contosoadmin
Izinkan autentikasi kata sandi untuk SSH
Secara default, pengguna hanya dapat masuk ke komputer virtual menggunakan autentikasi berbasis kunci umum SSH. Autentikasi berbasis kata sandi gagal. Saat Anda bergabung dengan komputer virtual ke domain terkelola, akun domain tersebut perlu menggunakan autentikasi berbasis kata sandi. Perbarui konfigurasi SSH untuk mengizinkan autentikasi berbasis kata sandi sebagai berikut.
Buka file sshd_conf dengan editor:
sudo vi /etc/ssh/sshd_config
Perbarui baris untuk PasswordAuthentication ke ya:
PasswordAuthentication yes
Setelah selesai, simpan dan keluar dari file sshd_conf menggunakan perintah
:wq
pada editor.Untuk menerapkan perubahan dan mengizinkan pengguna masuk menggunakan kata sandi, mulai ulang layanan SSH untuk versi distro RHEL Anda:
sudo service sshd restart
Berikan hak istimewa sudo grup 'Administrator Azure Active Directory DC'
Untuk memberikan hak istimewa admin grup Administrator Azure Active Directory DC kepada anggota pada komputer virtual RHEL, tambahkan entri ke /etc/sudoers. Setelah ditambahkan, anggota grup Administrator Azure Active Directory DC dapat menggunakan perintah sudo
pada komputer virtual RHEL.
Buka file sudoers untuk mengedit:
sudo visudo
Tambahkan entri berikut ini ke akhir file /etc/sudoers. Grup Administrator AAD DC berisi spasi kosong di dalam namanya, jadi sertakan karakter escape dengan garis miring terbalik dalam nama grup. Tambahkan nama domain Anda sendiri, seperti aaddscontoso.com:
# Add 'AAD DC Administrators' group members as admins. %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
Setelah selesai, simpan dan keluar dari editor menggunakan perintah
:wq
pada editor.
Masuk ke komputer virtual menggunakan akun domain
Untuk memverifikasi bahwa komputer virtual telah berhasil bergabung ke domain terkelola, mulai koneksi SSH baru menggunakan akun pengguna domain. Konfirmasikan bahwa direktori beranda telah dibuat, dan keanggotaan grup dari domain telah diterapkan.
Buat koneksi SSH baru dari konsol Anda. Gunakan akun domain milik domain terkelola menggunakan perintah
ssh -l
, seperticontosoadmin@aaddscontoso.com
dan kemudian masukkan alamat komputer virtual Anda, seperti rhel.aaddscontoso.com. Jika Anda menggunakan Azure Cloud Shell, gunakan alamat IP publik komputer virtual daripada nama DNS internal.ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
Ketika Anda berhasil tersambung ke komputer virtual, verifikasi bahwa direktori beranda telah diinisialisasi dengan benar:
pwd
Anda harus berada di direktori /home dengan direktori Anda sendiri yang cocok dengan akun pengguna.
Sekarang periksa apakah keanggotaan grup diselesaikan dengan benar:
id
Anda akan melihat keanggotaan grup Anda dari domain terkelola.
Jika Anda masuk ke komputer virtual sebagai anggota grup Administrator Azure Active Directory DC, periksa apakah Anda dapat menggunakan perintah dengan
sudo
benar:sudo yum update
Langkah berikutnya
Jika Anda mengalami masalah saat menyambungkan komputer virtual ke domain terkelola atau masuk dengan akun domain, lihat Memecahkan masalah penggabungan domain.