Een virtuele SUSE Linux Enterprise-machine toevoegen aan een beheerd domein van Azure Active Directory Domain Services

Als u wilt dat gebruikers zich aanmelden bij virtuele machines (VM's) in Azure met één set referenties, kunt u VM's koppelen aan een beheerd domein van Azure Active Directory Domain Services (Azure AD DS). Wanneer u een VIRTUELE machine koppelt aan een door Azure AD DS beheerd domein, kunnen gebruikersaccounts en referenties van het domein worden gebruikt om zich aan te melden en servers te beheren. Groepslidmaatschappen van het beheerde domein worden ook toegepast, zodat u de toegang tot bestanden of services op de VIRTUELE machine kunt beheren.

In dit artikel wordt beschreven hoe u een SUSE Linux Enterprise-VM (SLE) koppelt aan een beheerd domein.

Vereisten

Om deze zelfstudie te voltooien, hebt u de volgende resources en machtigingen nodig:

Een SLE Linux-VM maken en er verbinding mee maken

Als u een bestaande SLE Linux-VM in Azure hebt, maakt u er verbinding mee met behulp van SSH en gaat u verder met de volgende stap om de VM te configureren.

Als u een virtuele Linux-machine met SLE wilt maken of een test-VM wilt maken voor gebruik met dit artikel, kunt u een van de volgende methoden gebruiken:

Wanneer u de VIRTUELE machine maakt, moet u letten op de instellingen van het virtuele netwerk om ervoor te zorgen dat de VIRTUELE machine kan communiceren met het beheerde domein:

  • Implementeer de VIRTUELE machine in hetzelfde, of in een gekoppeld virtueel netwerk waarin u Azure AD Domain Services hebt ingeschakeld.
  • Implementeer de VIRTUELE machine in een ander subnet dan uw beheerde Azure AD Domain Services-domein.

Zodra de VIRTUELE machine is geïmplementeerd, volgt u de stappen om verbinding te maken met de VIRTUELE machine met behulp van SSH.

Het hosts-bestand configureren

Als u ervoor wilt zorgen dat de hostnaam van de VIRTUELE machine juist is geconfigureerd voor het beheerde domein, bewerkt u het bestand /etc/hosts en stelt u de hostnaam in:

sudo vi /etc/hosts

Werk in het hosts-bestand het localhost-adres bij. In het volgende voorbeeld:

  • aaddscontoso.com is de DNS-domeinnaam van uw beheerde domein.
  • linux-q2gr is de hostnaam van uw SLE-VM die u aan het beheerde domein toevoegt.

Werk deze namen bij met uw eigen waarden:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Wanneer u klaar bent, slaat u het hosts-bestand op en sluit u het af met behulp van de :wq opdracht van de editor.

Vm toevoegen aan het beheerde domein met behulp van SSSD

Voer de volgende stappen uit om deel te nemen aan het beheerde domein met behulp van SSSD en de module Gebruikersaanmeldingsbeheer van YaST:

  1. Installeer de YaST-module Gebruikersaanmeldingsbeheer :

    sudo zypper install yast2-auth-client
    
  2. Open YaST.

  3. Als u DNS autodiscovery later wilt gebruiken, configureert u de IP-adressen van het beheerde domein (de Active Directory-server) als de naamserver voor uw client.

    Selecteer in YaST system > network Instellingen.

  4. Selecteer het tabblad Hostnaam/DNS en voer vervolgens het IP-adres(en) van het beheerde domein in het tekstvak Name Server 1 in. Deze IP-adressen worden weergegeven in het venster Eigenschappen in de Azure Portal voor uw beheerde domein, zoals 10.0.2.4 en 10.0.2.5.

    Voeg ip-adressen van uw eigen beheerde domein toe en selecteer VERVOLGENS OK.

  5. Kies in het hoofdvenster van YaST Network ServicesUser>Logon Management.

    De module wordt geopend met een overzicht met verschillende netwerkeigenschappen van uw computer en de verificatiemethode die momenteel in gebruik is, zoals wordt weergegeven in de volgende voorbeeldschermafbeelding:

    Example screenshot of the User Login Management window in YaST

    Als u wilt beginnen met bewerken, selecteert u Instellingen wijzigen.

Voer de volgende stappen uit om de VIRTUELE machine aan het beheerde domein toe te voegen:

  1. Selecteer Domein toevoegen in het dialoogvenster.

  2. Geef de juiste domeinnaam op, zoals aaddscontoso.com, en geef vervolgens de services op die moeten worden gebruikt voor identiteitsgegevens en -verificatie. Selecteer Microsoft Active Directory voor beide.

    Zorg ervoor dat de optie voor Het domein inschakelen is geselecteerd.

  3. Selecteer OK wanneer u klaar bent.

  4. Accepteer de standaardinstellingen in het volgende dialoogvenster en selecteer VERVOLGENS OK.

  5. De VM installeert zo nodig extra software en controleert vervolgens of het beheerde domein beschikbaar is.

    Als alles juist is, wordt het volgende voorbeelddialoogvenster weergegeven om aan te geven dat de VM het beheerde domein heeft gedetecteerd, maar dat u nog niet bent ingeschreven.

    Example screenshot of the Active Directory enrollment window in YaST

  6. Geef in het dialoogvenster de gebruikersnaam en het wachtwoord op van een gebruiker die deel uitmaakt van het beheerde domein. Voeg indien nodig een gebruikersaccount toe aan een groep in Azure AD.

    Als u ervoor wilt zorgen dat het huidige domein is ingeschakeld voor Samba, activeert u de Samba-configuratie overschrijven om met deze AD te werken.

  7. Selecteer OK om u in te schrijven.

  8. Er wordt een bericht weergegeven om te bevestigen dat u bent ingeschreven. Selecteer OK om te voltooien.

Nadat de VIRTUELE machine is ingeschreven in het beheerde domein, configureert u de client met aanmelding voor domeingebruikers beheren, zoals wordt weergegeven in de volgende voorbeeldschermafbeelding:

Example screenshot of the Manage Domain User Logon window in YaST

  1. Als u aanmeldingen wilt toestaan met behulp van gegevens die zijn verstrekt door het beheerde domein, schakelt u het selectievakje in voor aanmelding van domeingebruikers toestaan.

  2. Controleer eventueel onder Domeingegevensbron inschakelen aanvullende gegevensbronnen indien nodig voor uw omgeving. Deze opties omvatten welke gebruikers sudo mogen gebruiken of welke netwerkstations beschikbaar zijn.

  3. Als u wilt toestaan dat gebruikers in het beheerde domein thuismappen op de virtuele machine hebben, schakelt u het selectievakje voor Startmappen maken in.

  4. Selecteer serviceopties › Naamschakelaar en uitgebreide opties in de zijbalk. Selecteer in dat venster fallback_homedir of override_homedir en selecteer vervolgens Toevoegen.

  5. Geef een waarde op voor de locatie van de basismap. Als u homemappen wilt hebben, volgt u de notatie /home/USER_NAME, gebruikt u /home/%u. Zie de pagina sssd.conf man (man 5 sssd.conf), sectie override_homedir voor meer informatie over mogelijke variabelen.

  6. Selecteer OK.

  7. Selecteer OK om de wijzigingen op te slaan. Controleer vervolgens of de weergegeven waarden nu juist zijn. Als u het dialoogvenster wilt verlaten, selecteert u Annuleren.

  8. Als u SSSD en Winbind tegelijk wilt uitvoeren (zoals bij deelname via SSSD, maar vervolgens een Samba-bestandsserver uitvoert), moet de kerberos-methode van de Samba-optie worden ingesteld op geheimen en keytab in smb.conf. De optie SSSD ad_update_samba_machine_account_password moet ook worden ingesteld op true in sssd.conf. Met deze opties voorkomt u dat de systeemsleuteltab niet meer wordt gesynchroniseerd.

Vm toevoegen aan het beheerde domein met Behulp van Winbind

Voer de volgende stappen uit om deel te nemen aan het beheerde domein met behulp van winbind en de module Windows Domeinlidmaatschap van YaST:

  1. Selecteer in YaST netwerkservices > Windows domeinlidmaatschap.

  2. Voer het domein in dat moet worden toegevoegd bij Domein of Werkgroep in het scherm Windows Domeinlidmaatschap. Voer de naam van het beheerde domein in, zoals aaddscontoso.com.

    Example screenshot of the Windows Domain Membership window in YaST

  3. Als u de SMB-bron voor Linux-verificatie wilt gebruiken, schakelt u de optie voor SMB-gegevens voor Linux-verificatie gebruiken in.

  4. Als u automatisch een lokale basismap wilt maken voor beheerde domeingebruikers op de VIRTUELE machine, schakelt u de optie Voor het maken van een basismap bij aanmelding in.

  5. Schakel de optie voor offlineverificatie in, zodat uw domeingebruikers zich kunnen aanmelden, zelfs als het beheerde domein tijdelijk niet beschikbaar is.

  6. Als u de UID- en GID-bereiken wilt wijzigen voor de Samba-gebruikers en -groepen, selecteert u Expert Instellingen.

  7. Configureer NTP-tijdsynchronisatie (Network Time Protocol) voor uw beheerde domein door NTP-configuratie te selecteren. Voer de IP-adressen van het beheerde domein in. Deze IP-adressen worden weergegeven in het venster Eigenschappen in de Azure Portal voor uw beheerde domein, zoals 10.0.2.4 en 10.0.2.5.

  8. Selecteer OK en bevestig de domeindeelname wanneer u hierom wordt gevraagd.

  9. Geef het wachtwoord op voor een beheerder in het beheerde domein en selecteer OK.

    Example screenshot of the authentication dialog prompt when you join a SLE VM to the managed domain

Nadat u lid bent geworden van het beheerde domein, kunt u zich aanmelden vanaf uw werkstation met behulp van de weergavebeheerder van uw bureaublad of de console.

Vm toevoegen aan het beheerde domein met Behulp van Winbind vanuit de YaST-opdrachtregelinterface

Ga als volgende te werk om deel te nemen aan het beheerde domein met winbind en de YaST-opdrachtregelinterface:

  • Lid worden van het domein:

    sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
    

Vm toevoegen aan het beheerde domein met Behulp van Winbind vanuit de terminal

Deelnemen aan het beheerde domein met behulp van winbind en de samba net opdracht:

  1. Installeer de Kerberos-client en samba-winbind:

    sudo zypper in krb5-client samba-winbind
    
  2. Bewerk de configuratiebestanden:

    • /etc/samba/smb.conf

      [global]
          workgroup = AADDSCONTOSO
          usershare allow guests = NO #disallow guests from sharing
          idmap config * : backend = tdb
          idmap config * : range = 1000000-1999999
          idmap config AADDSCONTOSO : backend = rid
          idmap config AADDSCONTOSO : range = 5000000-5999999
          kerberos method = secrets and keytab
          realm = AADDSCONTOSO.COM
          security = ADS
          template homedir = /home/%D/%U
          template shell = /bin/bash
          winbind offline logon = yes
          winbind refresh tickets = yes
      
    • /etc/krb5.conf

      [libdefaults]
          default_realm = AADDSCONTOSO.COM
          clockskew = 300
      [realms]
          AADDSCONTOSO.COM = {
              kdc = PDC.AADDSCONTOSO.COM
              default_domain = AADDSCONTOSO.COM
              admin_server = PDC.AADDSCONTOSO.COM
          }
      [domain_realm]
          .aaddscontoso.com = AADDSCONTOSO.COM
      [appdefaults]
          pam = {
              ticket_lifetime = 1d
              renew_lifetime = 1d
              forwardable = true
              proxiable = false
              minimum_uid = 1
          }
      
    • /etc/security/pam_winbind.conf

      [global]
          cached_login = yes
          krb5_auth = yes
          krb5_ccache_type = FILE
          warn_pwd_expire = 14
      
    • /etc/nsswitch.conf

      passwd: compat winbind
      group: compat winbind
      
  3. Controleer of de datum en tijd in Azure AD en Linux zijn gesynchroniseerd. U kunt dit doen door de Azure AD-server toe te voegen aan de NTP-service:

    1. Voeg de volgende regel toe aan /etc/ntp.conf:

      server aaddscontoso.com
      
    2. Start de NTP-service opnieuw op:

      sudo systemctl restart ntpd
      
  4. Lid worden van het domein:

    sudo net ads join -U Administrator%Mypassword
    
  5. Schakel winbind in als een aanmeldingsbron in de Linux Pluggable Authentication Modules (PAM):

    pam-config --add --winbind
    
  6. Schakel het automatisch maken van basismappen in zodat gebruikers zich kunnen aanmelden:

    pam-config -a --mkhomedir
    
  7. Start en schakel de winbind-service in:

    sudo systemctl enable winbind
    sudo systemctl start winbind
    

Wachtwoordverificatie toestaan voor SSH

Standaard kunnen gebruikers zich alleen aanmelden bij een virtuele machine met behulp van verificatie op basis van openbare SSH-sleutels. Verificatie op basis van een wachtwoord mislukt. Wanneer u de VIRTUELE machine aan een beheerd domein koppelt, moeten deze domeinaccounts verificatie op basis van een wachtwoord gebruiken. Werk de SSH-configuratie bij om verificatie op basis van een wachtwoord als volgt toe te staan.

  1. Open het sshd_conf-bestand met een editor:

    sudo vi /etc/ssh/sshd_config
    
  2. Werk de regel voor PasswordAuthentication bij naar ja:

    PasswordAuthentication yes
    

    Wanneer u klaar bent, slaat u het sshd_conf bestand op en sluit u het af met behulp van de :wq opdracht van de editor.

  3. Als u de wijzigingen wilt toepassen en gebruikers zich met een wachtwoord wilt laten aanmelden, start u de SSH-service opnieuw op:

    sudo systemctl restart sshd
    

De sudo-bevoegdheden van de groep 'AAD DC-beheerders' verlenen

Als u leden van de AAD DC-beheerdersgroep beheerdersbevoegdheden voor de SLE-VM wilt verlenen, voegt u een vermelding toe aan de /etc/sudoers. Zodra deze zijn toegevoegd, kunnen leden van de groep AAD DC-beheerders de sudo opdracht op de SLE-VM gebruiken.

  1. Open het sudoers-bestand om te bewerken:

    sudo visudo
    
  2. Voeg de volgende vermelding toe aan het einde van het bestand /etc/sudoers . De groep AAD DC-beheerders bevat spaties in de naam, dus neem het escapeteken backslash op in de groepsnaam. Voeg uw eigen domeinnaam toe, zoals aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
    

    Sla de editor op en sluit deze af met behulp van de :wq opdracht van de editor.

Aanmelden bij de VIRTUELE machine met behulp van een domeinaccount

Als u wilt controleren of de VIRTUELE machine is toegevoegd aan het beheerde domein, start u een nieuwe SSH-verbinding met behulp van een domeingebruikersaccount. Controleer of er een basismap is gemaakt en dat groepslidmaatschap van het domein is toegepast.

  1. Maak een nieuwe SSH-verbinding vanuit uw console. Gebruik een domeinaccount dat deel uitmaakt van het beheerde domein met behulp van de ssh -l opdracht, zoals contosoadmin@aaddscontoso.com het adres van uw VIRTUELE machine, zoals linux-q2gr.aaddscontoso.com. Als u de Azure Cloud Shell gebruikt, gebruikt u het openbare IP-adres van de virtuele machine in plaats van de interne DNS-naam.

    ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
    
  2. Wanneer u verbinding hebt gemaakt met de virtuele machine, controleert u of de basismap juist is geïnitialiseerd:

    pwd
    

    U moet zich in de /home directory bevinden met uw eigen directory die overeenkomt met het gebruikersaccount.

  3. Controleer nu of de groepslidmaatschappen correct worden opgelost:

    id
    

    U ziet de groepslidmaatschappen van het beheerde domein.

  4. Als u zich hebt aangemeld bij de VIRTUELE machine als lid van de groep AAD DC-beheerders, controleert u of u de sudo opdracht correct kunt gebruiken:

    sudo zypper update
    

Volgende stappen

Als u problemen ondervindt met het verbinden van de VIRTUELE machine met het beheerde domein of aanmelden met een domeinaccount, raadpleegt u Problemen met domeindeelname oplossen.