Een virtuele SUSE Linux Enterprise-machine toevoegen aan een Azure Active Directory domain services beheerd domein

Als u wilt dat gebruikers zich met één set referenties kunnen aanmelden bij virtuele machines (VM's) in Azure, kunt u VM's toevoegen aan een Azure Active Directory Domain Services (Azure AD DS) beheerd domein. Wanneer u een VM aan een Azure AD DS beheerd domein, kunnen gebruikersaccounts en referenties van het domein worden gebruikt voor het aanmelden en beheren van servers. Groepslidmaatschap van het beheerde domein wordt ook toegepast om u de toegang tot bestanden of services op de VM te laten beheren.

In dit artikel wordt beschreven hoe u een SLE-VM (SUSE Linux Enterprise) aan een beheerd domein kunt toevoegen.

Vereisten

Om deze zelfstudie te voltooien, hebt u de volgende resources en machtigingen nodig:

• Een actief Azure-abonnement.
  • Als u nog geen Azure-abonnement hebt, maakt u een account.
• Een Azure Active Directory-tenant die aan uw abonnement is gekoppeld, gesynchroniseerd met een on-premises map of een cloudmap.
  • Maak zo nodig een Azure Active Directory-tenant of koppel een Azure-abonnement aan uw account.
• Een door Azure Active Directory Domain Services beheerd domein dat in uw Azure AD-tenant is ingeschakeld en geconfigureerd.
  • Bekijk zo nodig de eerste zelfstudie voor het maken en configureren van een door Azure Active Directory Domain Services beheerd domein.
• Een gebruikersaccount dat deel uitmaakt van het beheerde domein.
• Unieke linux-VM-namen van maximaal 15 tekens om afgekapte namen te voorkomen die conflicten in Active Directory kunnen veroorzaken.

Een SLE Linux-VM maken en er verbinding mee maken

Als u een bestaande SLE Linux-VM in Azure hebt, maakt u er verbinding mee via SSH en gaat u verder met de volgende stap om te beginnen met het configureren van de VM.

Als u een SLE Linux-VM moet maken of een test-VM wilt maken voor gebruik met dit artikel, kunt u een van de volgende methoden gebruiken:

• Azure-portal
• Azure-CLI
• Azure PowerShell

Let bij het maken van de virtuele machine op de instellingen van het virtuele netwerk om ervoor te zorgen dat de virtuele machine kan communiceren met het beheerde domein:

• Implementeer de virtuele machine in hetzelfde, of een peered, virtueel netwerk waarin u de VM hebt Azure AD Domain Services.
• Implementeer de virtuele machine in een ander subnet dan uw Azure AD Domain Services beheerd domein.

Nadat de VM is geïmplementeerd, volgt u de stappen om via SSH verbinding te maken met de VM.

Het hosts-bestand configureren

Bewerk het bestand /etc/hosts en stel de hostnaam in om ervoor te zorgen dat de hostnaam van de VM correct is geconfigureerd voor het beheerde domein:

sudo vi /etc/hosts

Werk in het hosts-bestand het localhost-adres bij. In het volgende voorbeeld:

• aaddscontoso.com is de DNS-domeinnaam van uw beheerde domein.
• linux-q2gr is de hostnaam van uw SLE-VM die u wilt toevoegen aan het beheerde domein.

Werk deze namen bij met uw eigen waarden:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Wanneer u klaar bent, kunt u het hosts-bestand opslaan en afsluiten met :wq behulp van de opdracht van de editor.

VM toevoegen aan het beheerde domein met behulp van SSSD

Voltooi de volgende stappen om lid te worden van het beheerde domein met behulp van SSSD en de module Gebruikerslogenbeheer van YaST:

1. Installeer de YaST-module User Logon Management:

   sudo zypper install yast2-auth-client
   

2. Open YaST.

3. Als u dns-automatischediscovery later wilt gebruiken, configureert u de IP-adressen van het beheerde domein (de Active Directory-server) als de naamserver voor uw client.

   Selecteer in YaST System > Network Instellingen.

4. Selecteer het tabblad Hostnaam/DNS en voer vervolgens het IP-adres(sen) van het beheerde domein in het tekstvak Naamserver 1 in. Deze IP-adressen worden weergegeven in het venster Eigenschappen in de Azure Portal voor uw beheerde domein, zoals 10.0.2.4 en 10.0.2.5.

   Voeg uw eigen BEHEERDe domein-IP-adressen toe en selecteer ok.

5. Kies in het hoofdvenster van YaST Network Services > User Logon Management.

   De module wordt geopend met een overzicht met verschillende netwerkeigenschappen van uw computer en de verificatiemethode die momenteel wordt gebruikt, zoals wordt weergegeven in de volgende voorbeeldschermopname:

   

   Als u wilt beginnen met bewerken, selecteert u Instellingen.

Als u de VM wilt toevoegen aan het beheerde domein, moet u de volgende stappen voltooien:

1. Selecteer domein toevoegen in het dialoogvenster.

2. Geef de juiste domeinnaam op, zoals aaddscontoso.com, en geef vervolgens de services op die moeten worden gebruikt voor identiteitsgegevens en verificatie. Selecteer Microsoft Active Directory voor beide.

   Zorg ervoor dat de optie voor Het domein inschakelen is geselecteerd.

3. Selecteer OK wanneer u klaar bent.

4. Accepteer de standaardinstellingen in het volgende dialoogvenster en selecteer ok.

5. De VM installeert zo nodig aanvullende software en controleert vervolgens of het beheerde domein beschikbaar is.

   Als alles klopt, wordt het volgende voorbeeldvenster weergegeven om aan te geven dat de VM het beheerde domein heeft ontdekt, maar dat u nog niet bent ingeschreven.

   

6. Geef in het dialoogvenster de gebruikersnaam en het wachtwoord op van een gebruiker die deel uitmaakt van het beheerde domein. Voeg indien nodig een gebruikersaccount toe aan een groep in Azure AD.

   Activeer Samba-configuratie overschrijven om te werken met deze AD om ervoor te zorgen dat het huidige domein is ingeschakeld voor Samba.

7. Selecteer OK om u in te schrijven.

8. Er wordt een bericht weergegeven om te bevestigen dat u bent ingeschreven. Selecteer OK om te voltooien.

Nadat de VM is ingeschreven in het beheerde domein, configureert u de client met behulp van Aanmelding domeingebruiker beheren, zoals wordt weergegeven in de volgende voorbeeldschermafbeelding:

1. Als u aanmeldingen wilt toestaan met behulp van gegevens die zijn opgegeven door het beheerde domein, moet u het selectievakje Aanmelden van domeingebruikers toestaan in- of uit te checken.

2. Controleer desgewenst onder Domeingegevensbron inschakelen naar behoefte aanvullende gegevensbronnen voor uw omgeving. Deze opties omvatten welke gebruikers sudo mogen gebruiken of welke netwerkstations beschikbaar zijn.

3. Als u wilt toestaan dat gebruikers in het beheerde domein basisdirecties op de VM hebben, moet u het selectievakje Voor Basisdirecties maken in- en uit.

4. Selecteer in de zijbalk Serviceopties → Naamsschakelaar en vervolgens Uitgebreide opties. Selecteer in dat venster fallback_homedir of override_homedir en selecteer vervolgens Toevoegen.

5. Geef een waarde op voor de locatie van de basismap. Als u thuisdirecties wilt hebben, volgt u de indeling /home/USER_NAME, gebruikt u /home/%u. Zie voor meer informatie over mogelijke variabelen de sectie sssd.conf man page ( man 5 sssd.conf ), override_homedir.

6. Selecteer OK.

7. Selecteer OK om de wijzigingen op te slaan. Zorg er vervolgens voor dat de waarden die nu worden weergegeven, juist zijn. Als u het dialoogvenster wilt verlaten, selecteert u Annuleren.

8. Als u van plan bent om SSSD en Winbind gelijktijdig uit te voeren (bijvoorbeeld bij het samenvoegen via SSSD, maar vervolgens het uitvoeren van een Samba-bestandsserver), moet de kerberos-methode van de Samba-optie worden ingesteld op geheimen en keytab in smb.conf. De SSSD-ad_update_samba_machine_account_password moet ook worden ingesteld op true in sssd.conf. Met deze opties wordt voorkomen dat het systeemsleuteltab wordt gesynchroniseerd.

VM toevoegen aan het beheerde domein met behulp van Winbind

Voltooi de volgende stappen om lid te worden van het beheerde domein met behulp van winbind en de Windows Domain Membership-module van YaST:

1. Selecteer in YaST Network Services > Windows Domeinlidmaatschap.

2. Voer het domein in dat u wilt toevoegen aan Domein of Werkgroep in Windows scherm Domeinlidmaatschap. Voer de naam van het beheerde domein in, zoals aaddscontoso.com.

   

3. Als u de SMB-bron voor Linux-verificatie wilt gebruiken, controleert u de optie SMB-informatie gebruiken voor Linux-verificatie.

4. Als u automatisch een lokale basismap voor beheerde domeingebruikers op de VM wilt maken, schakelt u de optie Basismap maken in bij Aanmelden.

5. Controleer de optie offlineverificatie zodat uw domeingebruikers zich kunnen aanmelden, zelfs als het beheerde domein tijdelijk niet beschikbaar is.

6. Als u de bereiken UID en GID voor de Samba-gebruikers en -groepen wilt wijzigen, selecteert u Expert Instellingen.

7. Configureer NTP-tijdsynchronisatie (Network Time Protocol) voor uw beheerde domein door NTP-configuratie te selecteren. Voer de IP-adressen van het beheerde domein in. Deze IP-adressen worden weergegeven in het venster Eigenschappen in de Azure Portal voor uw beheerde domein, zoals 10.0.2.4 en 10.0.2.5.

8. Selecteer OK en bevestig de domein-join wanneer u hier om wordt gevraagd.

9. Geef het wachtwoord op voor een beheerder in het beheerde domein en selecteer OK.

   

Nadat u lid bent geworden van het beheerde domein, kunt u zich aanmelden vanaf uw werkstation met behulp van display manager van uw bureaublad of de console.

VM toevoegen aan het beheerde domein met behulp van Winbind vanuit de YaST-opdrachtregelinterface

Als u het beheerde domein wilt toevoegen met behulp van winbind en de YaST-opdrachtregelinterface:

• Lid worden van het domein:

  sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
  

VM toevoegen aan het beheerde domein met behulp van Winbind vanaf de terminal

Om lid te worden van het beheerde domein met behulp van winbind en de samba net opdracht:

1. Installeer de Kerberos-client en samba-winbind:

   sudo zypper in krb5-client samba-winbind
   

2. Bewerk de configuratiebestanden:

   • /etc/samba/smb.conf

     [global]
         workgroup = AADDSCONTOSO
         usershare allow guests = NO #disallow guests from sharing
         idmap config * : backend = tdb
         idmap config * : range = 1000000-1999999
         idmap config AADDSCONTOSO : backend = rid
         idmap config AADDSCONTOSO : range = 5000000-5999999
         kerberos method = secrets and keytab
         realm = AADDSCONTOSO.COM
         security = ADS
         template homedir = /home/%D/%U
         template shell = /bin/bash
         winbind offline logon = yes
         winbind refresh tickets = yes
     

   • /etc/krb5.conf

     [libdefaults]
         default_realm = AADDSCONTOSO.COM
         clockskew = 300
     [realms]
         AADDSCONTOSO.COM = {
             kdc = PDC.AADDSCONTOSO.COM
             default_domain = AADDSCONTOSO.COM
             admin_server = PDC.AADDSCONTOSO.COM
         }
     [domain_realm]
         .aaddscontoso.com = AADDSCONTOSO.COM
     [appdefaults]
         pam = {
             ticket_lifetime = 1d
             renew_lifetime = 1d
             forwardable = true
             proxiable = false
             minimum_uid = 1
         }
     

   • /etc/security/pam_winbind.conf

     [global]
         cached_login = yes
         krb5_auth = yes
         krb5_ccache_type = FILE
         warn_pwd_expire = 14
     

   • /etc/nsswitch.conf

     passwd: compat winbind
     group: compat winbind
     

3. Controleer of de datum en tijd in Azure AD en Linux zijn gesynchroniseerd. U kunt dit doen door de Azure AD-server toe te voegen aan de NTP-service:

   1. Voeg de volgende regel toe aan /etc/ntp.conf:

      server aaddscontoso.com
      

   2. Start de NTP-service opnieuw op:

      sudo systemctl restart ntpd
      

4. Lid worden van het domein:

   sudo net ads join -U Administrator%Mypassword
   

5. Winbind inschakelen als aanmeldingsbron in de Linux Pluggable Authentication Modules (PAM):

   pam-config --add --winbind
   

6. Schakel het automatisch maken van startmappingmaieën in, zodat gebruikers zich kunnen aanmelden:

   pam-config -a --mkhomedir
   

7. Start de winbind-service en schakel deze in:

   sudo systemctl enable winbind
   sudo systemctl start winbind
   

Wachtwoordverificatie voor SSH toestaan

Standaard kunnen gebruikers zich alleen aanmelden bij een VM met behulp van verificatie op basis van openbare SSH-sleutels. Verificatie op basis van wachtwoorden mislukt. Wanneer u de VM aan een beheerd domein wilt toevoegen, moeten deze domeinaccounts gebruikmaken van verificatie op basis van wachtwoorden. Werk de SSH-configuratie als volgt bij om verificatie op basis van wachtwoorden toe te staan.

1. Open het sshd_conf met een editor:

   sudo vi /etc/ssh/sshd_config
   

2. Werk de regel voor PasswordAuthentication bij naar ja:

   PasswordAuthentication yes
   

   Wanneer u klaar bent, kunt u het sshd_conf opslaan en afsluiten met :wq de opdracht van de editor.

3. Als u de wijzigingen wilt toepassen en gebruikers zich wilt laten aanmelden met een wachtwoord, start u de SSH-service opnieuw op:

   sudo systemctl restart sshd
   

De groep 'AAD DC Administrators' sudo-bevoegdheden verlenen

Als u leden van de AAD DC-beheerders groepsbeheerders beheerdersbevoegdheden wilt verlenen op de SLE-VM, voegt u een vermelding toe aan de /etc/sudoers. Zodra de groep AAD DC-beheerders is toegevoegd, kunnen ze de sudo opdracht op de SLE-VM gebruiken.

1. Open het sudoers-bestand om het te bewerken:

   sudo visudo
   

2. Voeg de volgende vermelding toe aan het einde van het bestand /etc/sudoers. De groep AAD DC Administrators bevat witruimte in de naam, dus neem het escape-teken voor de backslash op in de groepsnaam. Voeg uw eigen domeinnaam toe, zoals aaddscontoso.com:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   Wanneer u klaar bent, kunt u de editor opslaan en afsluiten met :wq de opdracht van de editor.

Aanmelden bij de VM met een domeinaccount

Als u wilt controleren of de VM is verbonden met het beheerde domein, start u een nieuwe SSH-verbinding met behulp van een domeingebruikersaccount. Controleer of er een basismap is gemaakt en of het groepslidmaatschap van het domein wordt toegepast.

1. Maak een nieuwe SSH-verbinding vanuit uw console. Gebruik een domeinaccount dat bij het beheerde domein hoort met behulp van de opdracht , zoals en voer vervolgens het adres van uw ssh -l contosoadmin@aaddscontoso.com VM in, zoals linux-q2gr.aaddscontoso.com. Als u de Azure Cloud Shell, gebruikt u het openbare IP-adres van de VM in plaats van de interne DNS-naam.

   ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
   

2. Wanneer u verbinding hebt gemaakt met de VM, controleert u of de basismap correct is initialiseerd:

   pwd
   

   U moet zich in de map /home met uw eigen directory die overeenkomt met het gebruikersaccount.

3. Controleer nu of de groepslidmaatschap correct wordt opgelost:

   id
   

   Als het goed is, ziet u de groepslidmaatschap van het beheerde domein.

4. Als u zich bij de VM hebt aangemeld als lid van de groep AAD DC-beheerders, controleert u of u de opdracht correct kunt sudo gebruiken:

   sudo zypper update
   

Volgende stappen

Zie Troubleshooting domain join issues (Problemen met domein toevoegen oplossen) als u problemen hebt met het verbinden van de VM met het beheerde domein of het aanmelden met een domeinaccount.