Ansluta en virtuell Red Hat Enterprise Linux-dator till en hanterad Domän för Microsoft Entra Domain Services

  • Artikel

Om du vill låta användare logga in på virtuella datorer i Azure med hjälp av en enda uppsättning autentiseringsuppgifter kan du ansluta virtuella datorer till en hanterad domän i Microsoft Entra Domain Services. När du ansluter en virtuell dator till en domän som hanteras av Domain Services kan användarkonton och autentiseringsuppgifter från domänen användas för att logga in och hantera servrar. Gruppmedlemskap från den hanterade domänen tillämpas också så att du kan styra åtkomsten till filer eller tjänster på den virtuella datorn.

Den här artikeln visar hur du ansluter en virtuell Dator med Red Hat Enterprise Linux (RHEL) till en hanterad domän.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

  • En aktiv Azure-prenumeration.
  • En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
  • En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
    • Vid behov skapar och konfigurerar den första självstudien en hanterad Domän för Microsoft Entra Domain Services.
  • Ett användarkonto som är en del av den hanterade domänen.
  • Unika namn på virtuella Linux-datorer som är högst 15 tecken för att undvika trunkerade namn som kan orsaka konflikter i Active Directory.

Skapa och ansluta till en virtuell RHEL Linux-dator

Om du har en befintlig virtuell RHEL Linux-dator i Azure ansluter du till den med hjälp av SSH och fortsätter sedan till nästa steg för att börja konfigurera den virtuella datorn.

Om du behöver skapa en virtuell RHEL Linux-dator eller vill skapa en virtuell testdator för användning med den här artikeln kan du använda någon av följande metoder:

När du skapar den virtuella datorn bör du vara uppmärksam på inställningarna för det virtuella nätverket för att se till att den virtuella datorn kan kommunicera med den hanterade domänen:

  • Distribuera den virtuella datorn till samma eller ett peer-kopplat virtuellt nätverk där du har aktiverat Microsoft Entra Domain Services.
  • Distribuera den virtuella datorn till ett annat undernät än din hanterade Domän för Microsoft Entra Domain Services.

När den virtuella datorn har distribuerats följer du stegen för att ansluta till den virtuella datorn med hjälp av SSH.

Konfigurera värdfilen

För att se till att värdnamnet för den virtuella datorn är korrekt konfigurerat för den hanterade domänen redigerar du filen /etc/hosts och anger värdnamnet:

sudo vi /etc/hosts

Uppdatera localhost-adressen i värdfilen. I följande exempel:

  • aaddscontoso.com är DNS-domännamnet för din hanterade domän.
  • rhel är värdnamnet för den virtuella RHEL-dator som du ansluter till den hanterade domänen.

Uppdatera dessa namn med dina egna värden:

127.0.0.1 rhel rhel.aaddscontoso.com

När du är klar sparar och avslutar du värdfilen med :wq hjälp av kommandot i redigeraren.

Viktigt!

Tänk på att Red Hat Enterprise Linux 6.X och Oracle Linux 6.x redan är EOL. RHEL 6.10 har tillgängligt ELS-stöd, som upphör den 6/2024.

Installera de paket som krävs

Den virtuella datorn behöver några ytterligare paket för att ansluta den virtuella datorn till den hanterade domänen. Om du vill installera och konfigurera dessa paket uppdaterar och installerar du verktygen för domänanslutning med hjälp av yum.

sudo yum install adcli sssd authconfig krb5-workstation

Ansluta den virtuella datorn till den hanterade domänen

Nu när de nödvändiga paketen har installerats på den virtuella datorn ansluter du den virtuella datorn till den hanterade domänen.

  1. adcli info Använd kommandot för att identifiera den hanterade domänen. I följande exempel identifieras sfärens ADDDSCONTOSO.COM. Ange ditt eget hanterade domännamn i VERSALER:

    sudo adcli info aaddscontoso.com

    adcli info Om kommandot inte kan hitta din hanterade domän läser du följande felsökningssteg:

    • Kontrollera att domänen kan nås från den virtuella datorn. Försök ping aaddscontoso.com att se om ett positivt svar returneras.
    • Kontrollera att den virtuella datorn har distribuerats till samma eller ett peer-kopplat virtuellt nätverk där den hanterade domänen är tillgänglig.
    • Bekräfta att DNS-serverinställningarna för det virtuella nätverket har uppdaterats så att de pekar på domänkontrollanterna för den hanterade domänen.

  2. Först ansluter du domänen adcli join med kommandot . Det här kommandot skapar även nyckelfliken för att autentisera datorn. Använd ett användarkonto som är en del av den hanterade domänen.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. /ect/krb5.conf Konfigurera nu och skapa /etc/sssd/sssd.conf filerna så att de aaddscontoso.com använder Active Directory-domänen. Kontrollera att AADDSCONTOSO.COM ersätts med ditt eget domännamn:

    /etc/krb5.conf Öppna filen med ett redigeringsprogram:

    sudo vi /etc/krb5.conf

    krb5.conf Uppdatera filen så att den matchar följande exempel:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    /etc/sssd/sssd.conf Skapa filen:

    sudo vi /etc/sssd/sssd.conf

    sssd.conf Uppdatera filen så att den matchar följande exempel:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Kontrollera att /etc/sssd/sssd.conf behörigheterna är 600 och ägs av rotanvändaren:

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Använd authconfig för att instruera den virtuella datorn om AD Linux-integreringen:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Starta och aktivera sssd-tjänsten:

    sudo service sssd start
sudo chkconfig sssd on

Om den virtuella datorn inte kan slutföra domänanslutningsprocessen kontrollerar du att den virtuella datorns nätverkssäkerhetsgrupp tillåter utgående Kerberos-trafik på TCP + UDP-port 464 till det virtuella nätverksundernätet för din hanterade domän.

Kontrollera nu om du kan fråga användarens AD-information med hjälp av getent

sudo getent passwd contosoadmin

Tillåt lösenordsautentisering för SSH

Som standard kan användarna bara logga in på en virtuell dator med hjälp av offentlig SSH-nyckelbaserad autentisering. Lösenordsbaserad autentisering misslyckas. När du ansluter den virtuella datorn till en hanterad domän måste dessa domänkonton använda lösenordsbaserad autentisering. Uppdatera SSH-konfigurationen så att lösenordsbaserad autentisering tillåts på följande sätt.

  1. Öppna filen sshd_conf med ett redigeringsprogram:

    sudo vi /etc/ssh/sshd_config

  2. Uppdatera raden för PasswordAuthentication till ja:

    PasswordAuthentication yes

    När du är klar sparar och avslutar du filen sshd_conf med :wq hjälp av kommandot i redigeraren.

  3. Om du vill tillämpa ändringarna och låta användarna logga in med ett lösenord startar du om SSH-tjänsten för din RHEL-distributionsversion:

    sudo service sshd restart

Bevilja sudo-behörigheterna för gruppen "AAD DC-administratörer"

Om du vill bevilja medlemmar i AAD DC-administratörsgruppen administratörsbehörigheter på den virtuella RHEL-datorn lägger du till en post i /etc/sudoers. När de har lagts till kan medlemmar i gruppen AAD DC-administratörer använda sudo kommandot på den virtuella RHEL-datorn.

  1. Öppna sudoers-filen för redigering:

    sudo visudo

  2. Lägg till följande post i slutet av /etc/sudoers-filen . Gruppen AAD DC-administratörer innehåller blanksteg i namnet, så inkludera escape-tecknet för omvänt snedstreck i gruppnamnet. Lägg till ditt eget domännamn, till exempel aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    När du är klar sparar och avslutar du redigeraren med :wq hjälp av kommandot i redigeraren.

Logga in på den virtuella datorn med ett domänkonto

Om du vill kontrollera att den virtuella datorn har anslutits till den hanterade domänen startar du en ny SSH-anslutning med ett domänanvändarkonto. Bekräfta att en hemkatalog har skapats och att gruppmedlemskap från domänen tillämpas.

  1. Skapa en ny SSH-anslutning från konsolen. Använd ett domänkonto som tillhör den hanterade domänen ssh -l med kommandot , till exempel contosoadmin@aaddscontoso.com och ange sedan adressen till den virtuella datorn, till exempel rhel.aaddscontoso.com. Om du använder Azure Cloud Shell använder du den offentliga IP-adressen för den virtuella datorn i stället för det interna DNS-namnet.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. När du har anslutit till den virtuella datorn kontrollerar du att hemkatalogen har initierats korrekt:

    pwd

    Du bör vara i katalogen /home med din egen katalog som matchar användarkontot.

  3. Kontrollera nu att gruppmedlemskapen löses korrekt:

    id

    Du bör se dina gruppmedlemskap från den hanterade domänen.

  4. Om du har loggat in på den virtuella datorn som medlem i gruppen AAD DC-administratörer kontrollerar du att du kan använda sudo kommandot på rätt sätt:

    sudo yum update

Nästa steg

Om du har problem med att ansluta den virtuella datorn till den hanterade domänen eller logga in med ett domänkonto kan du läsa Felsöka problem med domänanslutning.