Ansluta en virtuell SUSE Linux Enterprise-dator till en hanterad Domän för Microsoft Entra Domain Services
Om du vill låta användare logga in på virtuella datorer i Azure med hjälp av en enda uppsättning autentiseringsuppgifter kan du ansluta virtuella datorer till en hanterad domän i Microsoft Entra Domain Services. När du ansluter en virtuell dator till en domän som hanteras av Domain Services kan användarkonton och autentiseringsuppgifter från domänen användas för att logga in och hantera servrar. Gruppmedlemskap från den hanterade domänen tillämpas också så att du kan styra åtkomsten till filer eller tjänster på den virtuella datorn.
Den här artikeln visar hur du ansluter en virtuell SUSE Linux Enterprise-dator (SLE) till en hanterad domän.
Förutsättningar
För att slutföra den här självstudien behöver du följande resurser och behörigheter:
- En aktiv Azure-prenumeration.
- Om du inte har en Azure-prenumeration skapar du ett konto.
- En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
- Om det behövs skapar du en Microsoft Entra-klientorganisation eller associerar en Azure-prenumeration med ditt konto.
- En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
- Vid behov skapar och konfigurerar den första självstudien en hanterad Domän för Microsoft Entra Domain Services.
- Ett användarkonto som är en del av den hanterade domänen.
- Unika namn på virtuella Linux-datorer som är högst 15 tecken för att undvika trunkerade namn som kan orsaka konflikter i Active Directory.
Skapa och ansluta till en virtuell SLE Linux-dator
Om du har en befintlig virtuell SLE Linux-dator i Azure ansluter du till den med hjälp av SSH och fortsätter sedan till nästa steg för att börja konfigurera den virtuella datorn.
Om du behöver skapa en virtuell SLE Linux-dator eller vill skapa en virtuell testdator för användning med den här artikeln kan du använda någon av följande metoder:
När du skapar den virtuella datorn bör du vara uppmärksam på inställningarna för det virtuella nätverket för att se till att den virtuella datorn kan kommunicera med den hanterade domänen:
- Distribuera den virtuella datorn till samma eller ett peer-kopplat virtuellt nätverk där du har aktiverat Microsoft Entra Domain Services.
- Distribuera den virtuella datorn till ett annat undernät än din hanterade Domän för Microsoft Entra Domain Services.
När den virtuella datorn har distribuerats följer du stegen för att ansluta till den virtuella datorn med hjälp av SSH.
Konfigurera värdfilen
För att se till att värdnamnet för den virtuella datorn är korrekt konfigurerat för den hanterade domänen redigerar du filen /etc/hosts och anger värdnamnet:
sudo vi /etc/hosts
Uppdatera localhost-adressen i värdfilen. I följande exempel:
- aaddscontoso.com är DNS-domännamnet för din hanterade domän.
- linux-q2gr är värdnamnet för den virtuella SLE-dator som du ansluter till den hanterade domänen.
Uppdatera dessa namn med dina egna värden:
127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com
När du är klar sparar och avslutar du värdfilen med :wq hjälp av kommandot i redigeraren.
Ansluta den virtuella datorn till den hanterade domänen med hjälp av SSSD
Utför följande steg för att ansluta till den hanterade domänen med hjälp av SSSD och modulen Hantering av användarinloggning i YaST:
Installera YaST-modulen för hantering av användarinloggning :
sudo zypper install yast2-auth-clientÖppna YaST.
Om du vill använda DNS-automatisk upptäckt senare konfigurerar du ip-adresserna för den hanterade domänen (Active Directory-servern) som namnserver för klienten.
I YaST väljer du System > Network Inställningar.
Välj fliken Värdnamn/DNS och ange sedan IP-adresserna för den hanterade domänen i textrutan Namn Server 1. Dessa IP-adresser visas i fönstret Egenskaper i administrationscentret för Microsoft Entra för din hanterade domän, till exempel 10.0.2.4 och 10.0.2.5.
Lägg till dina egna IP-adresser för hanterade domäner och välj sedan OK.
I yast-huvudfönstret väljer du Hantering av användarinloggning i Nätverkstjänster>.
Modulen öppnas med en översikt som visar olika nätverksegenskaper för din dator och den autentiseringsmetod som för närvarande används, som du ser i följande exempel på skärmbilden:
Börja redigera genom att välja Ändra Inställningar.
Utför följande steg för att ansluta den virtuella datorn till den hanterade domänen:
I dialogrutan väljer du Lägg till domän.
Ange rätt domännamn, till exempel aaddscontoso.com, och ange sedan de tjänster som ska användas för identitetsdata och autentisering. Välj Microsoft Active Directory för båda.
Kontrollera att alternativet Aktivera domänen är markerat.
När du är klar väljer du OK.
Acceptera standardinställningarna i följande dialogruta och välj sedan OK.
Den virtuella datorn installerar ytterligare programvara efter behov och kontrollerar sedan om den hanterade domänen är tillgänglig.
Om allt stämmer visas följande exempeldialogruta som anger att den virtuella datorn har identifierat den hanterade domänen men att du inte har registrerats ännu.
I dialogrutan anger du användarnamnet och lösenordet för en användare som är en del av den hanterade domänen. Om det behövs lägger du till ett användarkonto i en grupp i Microsoft Entra-ID.
För att se till att den aktuella domänen är aktiverad för Samba aktiverar du Overwrite Samba-konfigurationen för att fungera med den här AD:en.
Om du vill registrera väljer du OK.
Ett meddelande visas för att bekräfta att du har registrerats. Slutför genom att välja OK.
När den virtuella datorn har registrerats i den hanterade domänen konfigurerar du klienten med hantera domänanvändarinloggning, enligt följande skärmbild:
Om du vill tillåta inloggningar med data som tillhandahålls av den hanterade domänen markerar du kryssrutan Tillåt domänanvändarinloggning.
Under Aktivera domändatakälla kan du också kontrollera ytterligare datakällor efter behov för din miljö. Dessa alternativ omfattar vilka användare som får använda sudo eller vilka nätverksenheter som är tillgängliga.
Om du vill tillåta att användare i den hanterade domänen har hemkataloger på den virtuella datorn markerar du kryssrutan Skapa hemkataloger.
I sidofältet väljer du Tjänstalternativ › Namnväxel och sedan Utökade alternativ. I det fönstret väljer du antingen fallback_homedir eller override_homedir och väljer sedan Lägg till.
Ange ett värde för hemkatalogens plats. Om du vill att hemkataloger ska följa formatet /home/USER_NAME använder du /home/%u. Mer information om möjliga variabler finns på sidan sssd.conf man (
man 5 sssd.conf), avsnitt override_homedir.Välj OK.
Klicka på OK för att spara ändringarna. Kontrollera sedan att de värden som visas nu är korrekta. Om du vill lämna dialogrutan väljer du Avbryt.
Om du tänker köra SSSD och Winbind samtidigt (till exempel när du ansluter via SSSD, men sedan kör en Samba-filserver) bör kerberos-metoden för Samba-alternativet anges till hemligheter och nyckelflik i smb.conf. SSSD-alternativet ad_update_samba_machine_account_password bör också anges till true i sssd.conf. De här alternativen förhindrar att systemnyckelfliken inte synkroniseras.
Ansluta den virtuella datorn till den hanterade domänen med Winbind
Utför följande steg för att ansluta till den hanterade domänen med winbind och Windows Domain Membership-modulen i YaST:
I YaST väljer du Nätverkstjänster > Windows-domänmedlemskap.
Ange domänen som ska anslutas till Domän eller Arbetsgrupp på skärmen Windows-domänmedlemskap . Ange det hanterade domännamnet, till exempel aaddscontoso.com.
Om du vill använda SMB-källan för Linux-autentisering kontrollerar du alternativet använd SMB-information för Linux-autentisering.
Om du vill skapa en lokal hemkatalog automatiskt för hanterade domänanvändare på den virtuella datorn kontrollerar du alternativet Skapa hemkatalog vid inloggning.
Kontrollera alternativet för offlineautentisering så att domänanvändarna kan logga in även om den hanterade domänen inte är tillgänglig för tillfället.
Om du vill ändra UID- och GID-intervallen för Samba-användare och -grupper väljer du Expert Inställningar.
Konfigurera NTP-tidssynkronisering (Network Time Protocol) för din hanterade domän genom att välja NTP-konfiguration. Ange IP-adresserna för den hanterade domänen. Dessa IP-adresser visas i fönstret Egenskaper i administrationscentret för Microsoft Entra för din hanterade domän, till exempel 10.0.2.4 och 10.0.2.5.
Välj OK och bekräfta domänanslutningen när du uppmanas att göra det.
Ange lösenordet för en administratör i den hanterade domänen och välj OK.
När du har anslutit till den hanterade domänen kan du logga in på den från din arbetsstation med hjälp av visningshanteraren för skrivbordet eller konsolen.
Ansluta den virtuella datorn till den hanterade domänen med Winbind från YaST-kommandoradsgränssnittet
Så här ansluter du den hanterade domänen med winbind och YaST-kommandoradsgränssnittet:
Anslut till domänen:
sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
Ansluta den virtuella datorn till den hanterade domänen med Winbind från terminalen
Så här ansluter du den hanterade domänen med winbind och samba net kommandot:
Installera kerberos-klienten och samba-winbind:
sudo zypper in krb5-client samba-winbindRedigera konfigurationsfilerna:
/etc/samba/smb.conf
[global] workgroup = AADDSCONTOSO usershare allow guests = NO #disallow guests from sharing idmap config * : backend = tdb idmap config * : range = 1000000-1999999 idmap config AADDSCONTOSO : backend = rid idmap config AADDSCONTOSO : range = 5000000-5999999 kerberos method = secrets and keytab realm = AADDSCONTOSO.COM security = ADS template homedir = /home/%D/%U template shell = /bin/bash winbind offline logon = yes winbind refresh tickets = yes/etc/krb5.conf
[libdefaults] default_realm = AADDSCONTOSO.COM clockskew = 300 [realms] AADDSCONTOSO.COM = { kdc = PDC.AADDSCONTOSO.COM default_domain = AADDSCONTOSO.COM admin_server = PDC.AADDSCONTOSO.COM } [domain_realm] .aaddscontoso.com = AADDSCONTOSO.COM [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false minimum_uid = 1 }/etc/security/pam_winbind.conf
[global] cached_login = yes krb5_auth = yes krb5_ccache_type = FILE warn_pwd_expire = 14/etc/nsswitch.conf
passwd: compat winbind group: compat winbind
Kontrollera att datum och tid i Microsoft Entra ID och Linux är synkroniserade. Du kan göra detta genom att lägga till Microsoft Entra-servern i NTP-tjänsten:
Lägg till följande rad i
/etc/ntp.conf:server aaddscontoso.comStarta om NTP-tjänsten:
sudo systemctl restart ntpd
Anslut till domänen:
sudo net ads join -U Administrator%MypasswordAktivera winbind som inloggningskälla i Linux Pluggable Authentication Modules (PAM):
config pam-config --add --winbindAktivera automatiskt skapande av hemkataloger så att användarna kan logga in:
sudo pam-config -a --mkhomedirStarta och aktivera winbind-tjänsten:
sudo systemctl enable winbind sudo systemctl start winbind
Tillåt lösenordsautentisering för SSH
Som standard kan användarna bara logga in på en virtuell dator med hjälp av offentlig SSH-nyckelbaserad autentisering. Lösenordsbaserad autentisering misslyckas. När du ansluter den virtuella datorn till en hanterad domän måste dessa domänkonton använda lösenordsbaserad autentisering. Uppdatera SSH-konfigurationen så att lösenordsbaserad autentisering tillåts på följande sätt.
Öppna filen sshd_conf med ett redigeringsprogram:
sudo vi /etc/ssh/sshd_configUppdatera raden för PasswordAuthentication till ja:
PasswordAuthentication yesNär du är klar sparar och avslutar du filen sshd_conf med
:wqhjälp av kommandot i redigeraren.Starta om SSH-tjänsten för att tillämpa ändringarna och låta användarna logga in med ett lösenord:
sudo systemctl restart sshd
Bevilja sudo-behörigheterna för gruppen "AAD DC-administratörer"
Om du vill bevilja medlemmar i AAD DC-administratörsgruppen administratörsbehörigheter på den virtuella SLE-datorn lägger du till en post i /etc/sudoers. När de har lagts till kan medlemmar i gruppen AAD DC-administratörer använda sudo kommandot på den virtuella SLE-datorn.
Öppna sudoers-filen för redigering:
sudo visudoLägg till följande post i slutet av /etc/sudoers-filen . Gruppen AAD DC-administratörer innehåller blanksteg i namnet, så inkludera escape-tecknet för omvänt snedstreck i gruppnamnet. Lägg till ditt eget domännamn, till exempel aaddscontoso.com:
# Add 'AAD DC Administrators' group members as admins. %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALLNär du är klar sparar och avslutar du redigeraren med
:wqhjälp av kommandot i redigeraren.
Logga in på den virtuella datorn med ett domänkonto
Om du vill kontrollera att den virtuella datorn har anslutits till den hanterade domänen startar du en ny SSH-anslutning med ett domänanvändarkonto. Bekräfta att en hemkatalog har skapats och att gruppmedlemskap från domänen tillämpas.
Skapa en ny SSH-anslutning från konsolen. Använd ett domänkonto som tillhör den hanterade domänen
ssh -lmed hjälp av kommandot, till exempelcontosoadmin@aaddscontoso.comoch ange sedan adressen till den virtuella datorn, till exempel linux-q2gr.aaddscontoso.com. Om du använder Azure Cloud Shell använder du den offentliga IP-adressen för den virtuella datorn i stället för det interna DNS-namnet.sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.comNär du har anslutit till den virtuella datorn kontrollerar du att hemkatalogen har initierats korrekt:
sudo pwdDu bör vara i katalogen /home med din egen katalog som matchar användarkontot.
Kontrollera nu att gruppmedlemskapen löses korrekt:
sudo idDu bör se dina gruppmedlemskap från den hanterade domänen.
Om du har loggat in på den virtuella datorn som medlem i gruppen AAD DC-administratörer kontrollerar du att du kan använda
sudokommandot på rätt sätt:sudo zypper update
Nästa steg
Om du har problem med att ansluta den virtuella datorn till den hanterade domänen eller logga in med ett domänkonto kan du läsa Felsöka problem med domänanslutning.