Share via

Menggabungkan komputer virtual Red Hat Enterprise Linux ke domain terkelola Microsoft Entra Domain Services

  • Artikel

Untuk memungkinkan pengguna masuk ke komputer virtual (VM) di Azure menggunakan satu set kredensial, Anda dapat menggabungkan VM ke domain terkelola Microsoft Entra Domain Services. Saat Anda menggabungkan VM ke domain terkelola Domain Services, akun pengguna dan kredensial dari domain dapat digunakan untuk masuk dan mengelola server. Keanggotaan grup dari domain terkelola juga diterapkan untuk memungkinkan Anda mengontrol akses ke file atau layanan di komputer virtual.

Artikel ini menunjukkan cara bergabung dengan komputer virtual Red Hat Enterprise Linux (RHEL) ke domain terkelola.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

  • Langganan Azure aktif.
    • Jika Anda tidak memiliki langganan Azure, buat akun.
  • Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
  • Sebuah akun pengguna yang merupakan bagian dari domain terkelola.
  • Nama Linux VM unik yang maksimal 15 karakter untuk menghindari nama terpotong yang dapat menyebabkan konflik di Direktori Aktif.

Membuat dan menyambungkan ke komputer virtual RHEL Linux

Jika Anda memiliki komputer virtual RHEL Linux yang ada di Azure, sambungkan menggunakan SSH, kemudian lanjutkan ke langkah berikutnya untuk mulai mengonfigurasi komputer virtual.

Jika Anda perlu membuat komputer virtual RHEL Linux, atau ingin membuat uji komputer virtual untuk digunakan dengan artikel ini, Anda dapat menggunakan salah satu metode berikut:

Saat Anda membuat komputer virtual, perhatikan pengaturan jaringan virtual untuk memastikan bahwa komputer virtual dapat berkomunikasi dengan domain terkelola:

  • Sebarkan VM ke jaringan virtual yang sama, atau yang di-peering di mana Anda telah mengaktifkan Microsoft Entra Domain Services.
  • Sebarkan VM ke subnet yang berbeda dari domain terkelola Microsoft Entra Domain Services Anda.

Setelah komputer virtual disebarkan, ikuti langkah-langkah untuk menyambungkan ke komputer virtual menggunakan SSH.

Mengonfigurasi file host

Untuk memastikan bahwa nama host komputer virtual dikonfigurasi dengan benar untuk domain terkelola, edit file /etc/hosts dan atur nama host:

sudo vi /etc/hosts

Dalam file host, perbarui alamat localhost. Dalam contoh berikut:

  • aaddscontoso.com adalah nama domain DNS domain terkelola Anda.
  • rhel adalah nama host komputer virtual RHEL Anda yang Anda gabungkan ke domain terkelola.

Perbarui nama-nama tersebut dengan nilai Anda sendiri:

127.0.0.1 rhel rhel.aaddscontoso.com

Setelah selesai, simpan dan keluar dari file host :wq menggunakan perintah editor.

Penting

Pertimbangan Red Hat Enterprise Linux 6.X dan Oracle Linux 6.x sudah EOL. RHEL 6.10 memiliki dukungan ELS yang tersedia, yang akan berakhir pada 06/2024.

Memasang paket yang diperlukan

Komputer virtual membutuhkan beberapa paket tambahan untuk bergabung dengan komputer virtual ke domain terkelola. Untuk memasang dan mengonfigurasi paket ini, perbarui dan pasang alat penggabung domain menggunakan yum.

sudo yum install adcli sssd authconfig krb5-workstation

Bergabunglah dengan komputer virtual ke domain terkelola

Sekarang paket yang diperlukan dipasang pada komputer virtual, bergabunglah dengan komputer virtual ke domain terkelola.

  1. Gunakan perintah adcli info untuk menemukan domain terkelola. Contoh berikut menemukan realm ADDDSCONTOSO.COM. Tentukan nama domain terkelola Anda sendiri dengan HURUF BESAR SEMUA:

    sudo adcli info aaddscontoso.com

    Jika perintah adcli info tidak dapat menemukan domain terkelola Anda, ulas langkah-langkah pemecahan masalah berikut ini:

    • Pastikan bahwa domain dapat dijangkau dari komputer virtual. Coba ping aaddscontoso.com untuk memeriksa apakah balasan positif dikembalikan.
    • Periksa apakah komputer virtual disebarkan ke jaringan virtual yang sama atau yang serekan, di mana domain terkelola tersedia.
    • Konfirmasikan bahwa pengaturan server DNS untuk jaringan virtual telah diperbarui untuk menunjuk ke pengendali domain pada domain terkelola.

  2. Pertama, bergabunglah dengan domain menggunakan perintah adcli join, perintah ini juga membuat tab kunci untuk mengautentikasi mesin. Menggunakan akun pengguna yang merupakan bagian dari domain terkelola.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Sekarang, konfigurasikan /ect/krb5.conf dan buat file /etc/sssd/sssd.conf untuk menggunakan domain Direktori Aktif aaddscontoso.com. Pastikan bahwa AADDSCONTOSO.COM diganti dengan nama domain Anda sendiri:

    Buka file /etc/krb5.conf dengan editor:

    sudo vi /etc/krb5.conf

    Perbarui file krb5.conf agar sesuai dengan sampel berikut:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Buat file /etc/sssd/sssd.conf:

    sudo vi /etc/sssd/sssd.conf

    Perbarui file sssd.conf agar sesuai dengan sampel berikut:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Pastikan izin /etc/sssd/sssd.conf adalah 600 dan dimiliki oleh pengguna akar:

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Gunakan authconfig untuk meminta komputer virtual tentang integrasi AD Linux:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Memulai dan mengaktifkan layanan sssd:

    sudo service sssd start
sudo chkconfig sssd on

Jika komputer virtual Anda tidak berhasil menyelesaikan proses penggabungan domain, pastikan bahwa grup keamanan jaringan komputer virtual memungkinkan lalu lintas Kerberos keluar pada TCP + UDP port 464 ke subnet jaringan virtual untuk domain terkelola Anda.

Sekarang periksa apakah Anda dapat mengkueri informasi AD pengguna menggunakan getent

sudo getent passwd contosoadmin

Izinkan autentikasi kata sandi untuk SSH

Secara default, pengguna hanya dapat masuk ke komputer virtual menggunakan autentikasi berbasis kunci umum SSH. Autentikasi berbasis kata sandi gagal. Saat Anda bergabung dengan komputer virtual ke domain terkelola, akun domain tersebut perlu menggunakan autentikasi berbasis kata sandi. Perbarui konfigurasi SSH untuk mengizinkan autentikasi berbasis kata sandi sebagai berikut.

  1. Buka file sshd_conf dengan editor:

    sudo vi /etc/ssh/sshd_config

  2. Perbarui baris untuk PasswordAuthentication ke ya:

    PasswordAuthentication yes

    Setelah selesai, simpan dan keluar dari file sshd_conf menggunakan perintah :wq pada editor.

  3. Untuk menerapkan perubahan dan mengizinkan pengguna masuk menggunakan kata sandi, mulai ulang layanan SSH untuk versi distro RHEL Anda:

    sudo service sshd restart

Berikan hak istimewa sudo grup 'Administrator Azure Active Directory DC'

Untuk memberikan hak istimewa admin grup Administrator Azure Active Directory DC kepada anggota pada komputer virtual RHEL, tambahkan entri ke /etc/sudoers. Setelah ditambahkan, anggota grup Administrator Azure Active Directory DC dapat menggunakan perintah sudo pada komputer virtual RHEL.

  1. Buka file sudoers untuk mengedit:

    sudo visudo

  2. Tambahkan entri berikut ini ke akhir file /etc/sudoers. Grup Administrator AAD DC berisi spasi kosong di dalam namanya, jadi sertakan karakter escape dengan garis miring terbalik dalam nama grup. Tambahkan nama domain Anda sendiri, seperti aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Setelah selesai, simpan dan keluar dari editor menggunakan perintah :wq pada editor.

Masuk ke komputer virtual menggunakan akun domain

Untuk memverifikasi bahwa komputer virtual telah berhasil bergabung ke domain terkelola, mulai koneksi SSH baru menggunakan akun pengguna domain. Konfirmasikan bahwa direktori beranda telah dibuat, dan keanggotaan grup dari domain telah diterapkan.

  1. Buat koneksi SSH baru dari konsol Anda. Gunakan akun domain milik domain terkelola menggunakan perintah ssh -l, seperti contosoadmin@aaddscontoso.com dan kemudian masukkan alamat komputer virtual Anda, seperti rhel.aaddscontoso.com. Jika Anda menggunakan Azure Cloud Shell, gunakan alamat IP publik komputer virtual daripada nama DNS internal.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Ketika Anda berhasil tersambung ke komputer virtual, verifikasi bahwa direktori beranda telah diinisialisasi dengan benar:

    pwd

    Anda harus berada di direktori /home dengan direktori Anda sendiri yang cocok dengan akun pengguna.

  3. Sekarang periksa apakah keanggotaan grup diselesaikan dengan benar:

    id

    Anda akan melihat keanggotaan grup Anda dari domain terkelola.

  4. Jika Anda masuk ke komputer virtual sebagai anggota grup Administrator Azure Active Directory DC, periksa apakah Anda dapat menggunakan perintah dengan sudo benar:

    sudo yum update

Langkah berikutnya

Jika Anda mengalami masalah saat menyambungkan komputer virtual ke domain terkelola atau masuk dengan akun domain, lihat Memecahkan masalah penggabungan domain.