Ansluta en virtuell SUSE Linux Enterprise-dator till en Azure Active Directory Domain Services-hanterad domän

Om du vill låta användare logga in på virtuella datorer i Azure med en enda uppsättning autentiseringsuppgifter kan du ansluta virtuella datorer till en Azure Active Directory Domain Services-hanterad domän (Azure AD DS). När du ansluter en virtuell dator Azure AD DS en hanterad domän kan användarkonton och autentiseringsuppgifter från domänen användas för att logga in och hantera servrar. Gruppmedlemskap från den hanterade domänen tillämpas också för att du ska kunna styra åtkomsten till filer eller tjänster på den virtuella datorn.

Den här artikeln visar hur du ansluter en virtuell SUSE Linux Enterprise-dator (SLE) till en hanterad domän.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En aktiv Azure-prenumeration.
  • Om du inte har en Azure-prenumeration skapar du ett konto.
• En Azure Active Directory klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en endast molnbaserad katalog.
  • Om det behövs kan du skapa Azure Active Directory klientorganisation eller associera en Azure-prenumeration med ditt konto.
• En Azure Active Directory Domain Services-hanterad domän aktiverad och konfigurerad i din Azure AD-klientorganisation.
  • Om det behövs skapar och konfigurerar den första självstudien en Azure Active Directory Domain Services-hanterad domän.
• Ett användarkonto som är en del av den hanterade domänen.
• Unika namn på virtuella Linux-datorer som är högst 15 tecken för att undvika trunkerade namn som kan orsaka konflikter i Active Directory.

Skapa och ansluta till en virtuell SLE Linux-dator

Om du har en befintlig virtuell SLE Linux-dator i Azure ansluter du till den med hjälp av SSH och fortsätter sedan till nästa steg för att börja konfigurera den virtuella datorn.

Om du behöver skapa en virtuell SLE Linux-dator eller vill skapa en virtuell test-dator för användning med den här artikeln kan du använda någon av följande metoder:

• Azure-portalen
• Azure CLI
• Azure PowerShell

När du skapar den virtuella datorn bör du vara uppmärksam på inställningarna för virtuella nätverk för att se till att den virtuella datorn kan kommunicera med den hanterade domänen:

• Distribuera den virtuella datorn till samma eller ett peer-erat virtuellt nätverk där du har aktiverat Azure AD Domain Services.
• Distribuera den virtuella datorn till ett annat undernät än den Azure AD Domain Services hanterade domänen.

När den virtuella datorn har distribuerats följer du stegen för att ansluta till den virtuella datorn med hjälp av SSH.

Konfigurera värdfilen

Om du vill kontrollera att den virtuella datorns värdnamn är korrekt konfigurerat för den hanterade domänen redigerar du filen /etc/hosts och anger värdnamnet:

sudo vi /etc/hosts

Uppdatera localhost-adressen i värdfilen. Se följande exempel:

• aaddscontoso.com är DNS-domännamnet för den hanterade domänen.
• linux-q2gr är värdnamnet för den virtuella SLE-datorn som du ansluter till den hanterade domänen.

Uppdatera dessa namn med dina egna värden:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

När du är klar sparar och avslutar du värdfilen med :wq kommandot i redigeraren.

Ansluta en virtuell dator till den hanterade domänen med hjälp av SSSD

Om du vill ansluta till den hanterade domänen med hjälp av SSSD och modulen Hantering av användarinloggning i YaST utför du följande steg:

1. Installera YaST-modulen Hantering av användarinloggning:

   sudo zypper install yast2-auth-client
   

2. Öppna YaST.

3. Om du vill använda automatisk DNS-upptäckt senare konfigurerar du ip-adresserna för den hanterade domänen (Active Directory-servern) som namnserver för klienten.

   I YaST väljer du System > Network Inställningar.

4. Välj fliken Värdnamn/DNS och ange SEDAN IP-adresserna för den hanterade domänen i textrutan Namnserver 1. Dessa IP-adresser visas i fönstret Egenskaper i Azure Portal för din hanterade domän, till exempel 10.0.2.4 och 10.0.2.5.

   Lägg till dina egna IP-adresser för hanterade domäner och välj sedan OK.

5. I YaST-huvudfönstret väljer du Network Services > Hantering av användarinloggning.

   Modulen öppnas med en översikt som visar olika nätverksegenskaper för datorn och den autentiseringsmetod som används för närvarande, som du ser i följande exempelskärmbild:

   

   Börja redigera genom att välja Ändra Inställningar.

Utför följande steg för att ansluta den virtuella datorn till den hanterade domänen:

1. I dialogrutan väljer du Lägg till domän.

2. Ange rätt domännamn, till exempel aaddscontoso.com och ange sedan de tjänster som ska användas för identitetsdata och autentisering. Välj Microsoft Active Directory för båda.

   Kontrollera att alternativet Aktivera domänen är markerat.

3. När du är klar väljer du OK.

4. Acceptera standardinställningarna i följande dialogruta och välj sedan OK.

5. Den virtuella datorn installerar ytterligare programvara efter behov och kontrollerar sedan om den hanterade domänen är tillgänglig.

   Om allt stämmer visas följande exempeldialogruta för att ange att den virtuella datorn har identifierat den hanterade domänen men att du inte har registrerats än.

   

6. I dialogrutan anger du användarnamn och lösenord för en användare som är en del av den hanterade domänen. Om det behövs lägger du till ett användarkonto i en grupp i Azure AD.

   För att se till att den aktuella domänen är aktiverad för Samba aktiverar du overwrite Samba-konfigurationen så att den fungerar med denna AD.

7. Välj OK för att registrera.

8. Ett meddelande visas för att bekräfta att du har registrerats. Slutför genom att välja OK.

När den virtuella datorn har registrerats i den hanterade domänen konfigurerar du klienten med hjälp av Hantera domänanvändarinloggning , som du ser i följande exempelskärmbild:

1. Om du vill tillåta inloggningar med data som tillhandahålls av den hanterade domänen markerar du kryssrutan för Tillåt inloggning för domänanvändare.

2. Du kan också kontrollera ytterligare datakällor efter behov för din miljö under Aktivera domändatakälla. Dessa alternativ omfattar vilka användare som tillåts använda sudo eller vilka nätverksenheter som är tillgängliga.

3. Om du vill tillåta användare i den hanterade domänen att ha hemkataloger på den virtuella datorn markerar du kryssrutan för Skapa hemkataloger.

4. Välj Tjänstalternativ i sidofältetväljer du växeln Service options ( Namn) och sedan Extended Options (Utökade alternativ). I det fönstret väljer du antingen fallback_homedir eller override_homedir och väljer sedan Lägg till.

5. Ange ett värde för hemkatalogens plats. Om du vill att hemkataloger ska följa formatet /home/USER_NAME använder du /home/%u. Mer information om möjliga variabler finns på sidan sssd.conf man ( man 5 sssd.conf ), override_homedir .

6. Välj OK.

7. Klicka på OK för att spara ändringarna. Kontrollera sedan att de värden som visas nu är korrekta. Om du vill lämna dialogrutan väljer du Avbryt.

8. Om du tänker köra SSSD och Winbind samtidigt (till exempel när du ansluter via SSSD, men sedan kör en Samba-filserver), ska Samba-alternativet kerberos-metoden anges till secrets och keytab i smb.conf. SSSD-ad_update_samba_machine_account_password också vara inställt på true i sssd.conf. De här alternativen förhindrar att systemnyckelfliken blir osynkroniserad.

Ansluta en virtuell dator till den hanterade domänen med Winbind

Om du vill ansluta till den hanterade domänen med winbind Windows modulen om domänmedlemskap i YaST utför du följande steg:

1. I YaST väljer du Network Services > Windows domänmedlemskap.

2. Ange den domän som ska anslutas till domän eller arbetsgrupp på skärmen Windows domänmedlemskap. Ange det hanterade domännamnet, till exempel aaddscontoso.com.

   

3. Om du vill använda SMB-källan för Linux-autentisering markerar du alternativet Använd SMB-information för Linux-autentisering.

4. Om du vill skapa en lokal hemkatalog automatiskt för hanterade domänanvändare på den virtuella datorn markerar du alternativet För att skapa arbetskatalog vid inloggning.

5. Markera alternativet för offlineautentisering så att domänanvändarna kan logga in även om den hanterade domänen är tillfälligt otillgänglig.

6. Om du vill ändra UID- och GID-intervallen för Samba-användare och -grupper väljer du Expert Inställningar.

7. Konfigurera tidssynkronisering för Nätverkstidsprotokoll (NTP) för den hanterade domänen genom att välja NTP-konfiguration. Ange IP-adresserna för den hanterade domänen. Dessa IP-adresser visas i fönstret Egenskaper i Azure Portal för din hanterade domän, till exempel 10.0.2.4 och 10.0.2.5.

8. Välj OK och bekräfta domänkopplingen när du uppmanas att göra det.

9. Ange lösenordet för en administratör i den hanterade domänen och välj OK.

   

När du har anslutit till den hanterade domänen kan du logga in på den från din arbetsstation med hjälp av visningshanteraren för skrivbordet eller konsolen.

Ansluta en virtuell dator till den hanterade domänen med winbind från YaST-kommandoradsgränssnittet

Så här ansluter du till den hanterade domänen med winbind och YaST-kommandoradsgränssnittet:

• Anslut till domänen:

  sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
  

Ansluta en virtuell dator till den hanterade domänen med winbind från terminalen

Så här ansluter du till den hanterade domänen med hjälp av winbind och samba net kommandot:

1. Installera kerberos-klienten och samba-winbind:

   sudo zypper in krb5-client samba-winbind
   

2. Redigera konfigurationsfilerna:

   • /etc/samba/smb.conf

     [global]
         workgroup = AADDSCONTOSO
         usershare allow guests = NO #disallow guests from sharing
         idmap config * : backend = tdb
         idmap config * : range = 1000000-1999999
         idmap config AADDSCONTOSO : backend = rid
         idmap config AADDSCONTOSO : range = 5000000-5999999
         kerberos method = secrets and keytab
         realm = AADDSCONTOSO.COM
         security = ADS
         template homedir = /home/%D/%U
         template shell = /bin/bash
         winbind offline logon = yes
         winbind refresh tickets = yes
     

   • /etc/krb5.conf

     [libdefaults]
         default_realm = AADDSCONTOSO.COM
         clockskew = 300
     [realms]
         AADDSCONTOSO.COM = {
             kdc = PDC.AADDSCONTOSO.COM
             default_domain = AADDSCONTOSO.COM
             admin_server = PDC.AADDSCONTOSO.COM
         }
     [domain_realm]
         .aaddscontoso.com = AADDSCONTOSO.COM
     [appdefaults]
         pam = {
             ticket_lifetime = 1d
             renew_lifetime = 1d
             forwardable = true
             proxiable = false
             minimum_uid = 1
         }
     

   • /etc/security/pam_winbind.conf

     [global]
         cached_login = yes
         krb5_auth = yes
         krb5_ccache_type = FILE
         warn_pwd_expire = 14
     

   • /etc/nsswitch.conf

     passwd: compat winbind
     group: compat winbind
     

3. Kontrollera att datum och tid i Azure AD och Linux är synkroniserade. Du kan göra detta genom att lägga till Azure AD-servern i NTP-tjänsten:

   1. Lägg till följande rad i /etc/ntp.conf:

      server aaddscontoso.com
      

   2. Starta om NTP-tjänsten:

      sudo systemctl restart ntpd
      

4. Anslut till domänen:

   sudo net ads join -U Administrator%Mypassword
   

5. Aktivera winbind som en inloggningskälla i PAM (Linux Pluggable Authentication Modules):

   pam-config --add --winbind
   

6. Aktivera automatiskt skapande av hemkataloger så att användarna kan logga in:

   pam-config -a --mkhomedir
   

7. Starta och aktivera winbind-tjänsten:

   sudo systemctl enable winbind
   sudo systemctl start winbind
   

Tillåt lösenordsautentisering för SSH

Som standard kan användarna bara logga in på en virtuell dator med offentlig SSH-nyckelbaserad autentisering. Lösenordsbaserad autentisering misslyckas. När du ansluter den virtuella datorn till en hanterad domän måste dessa domänkonton använda lösenordsbaserad autentisering. Uppdatera SSH-konfigurationen så att lösenordsbaserad autentisering tillåts enligt följande.

1. Öppna filen sshd_conf med ett redigeringsprogram:

   sudo vi /etc/ssh/sshd_config
   

2. Uppdatera raden för PasswordAuthentication till ja:

   PasswordAuthentication yes
   

   När du är klar sparar och sshd_conf filen med :wq kommandot i redigeraren.

3. Om du vill tillämpa ändringarna och låta användarna logga in med ett lösenord startar du om SSH-tjänsten:

   sudo systemctl restart sshd
   

Ge gruppen "AAD DC-administratörer" sudo-behörighet

Om du vill ge medlemmar i gruppen AAD DC-administratörer administratörsbehörighet på den virtuella SLE-datorn lägger du till en post i /etc/sudoers. När de har lagts till kan medlemmar i gruppen AAD DC-administratörer använda sudo kommandot på den virtuella SLE-datorn.

1. Öppna sudoers-filen för redigering:

   sudo visudo
   

2. Lägg till följande post i slutet av /etc/sudoers-filen. Gruppen AAD DC-administratörer innehåller blanksteg i namnet, så inkludera escape-tecknet för omsnedstreck i gruppnamnet. Lägg till ett eget domännamn, till exempel aaddscontoso.com:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   När du är klar sparar och avslutar du redigeringsredigeraren :wq med kommandot i redigeraren.

Logga in på den virtuella datorn med ett domänkonto

Om du vill kontrollera att den virtuella datorn har anslutits till den hanterade domänen startar du en ny SSH-anslutning med ett domänanvändarkonto. Bekräfta att en hemkatalog har skapats och att gruppmedlemskap från domänen tillämpas.

1. Skapa en ny SSH-anslutning från konsolen. Använd ett domänkonto som tillhör den hanterade domänen med kommandot , till exempel och ange sedan adressen till den virtuella ssh -l contosoadmin@aaddscontoso.com datorn, till exempel linux-q2gr.aaddscontoso.com. Om du använder Azure Cloud Shell använder du den virtuella datorns offentliga IP-adress i stället för det interna DNS-namnet.

   ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
   

2. När du har anslutit till den virtuella datorn kontrollerar du att arbetskatalogen har initierats korrekt:

   pwd
   

   Du bör vara i katalogen /home med din egen katalog som matchar användarkontot.

3. Kontrollera nu att gruppmedlemskapen matchas korrekt:

   id
   

   Du bör se dina gruppmedlemskap från den hanterade domänen.

4. Om du har loggat in på den virtuella datorn som medlem i gruppen AAD DC-administratörer kontrollerar du att du kan använda sudo kommandot korrekt:

   sudo zypper update
   

Nästa steg

Om du har problem med att ansluta den virtuella datorn till den hanterade domänen eller logga in med ett domänkonto kan du gå till Felsöka problem med domänanslutning.