Ansluta en Ubuntu Linux virtuell dator till en domän Azure Active Directory Domain Services

Om du vill låta användare logga in på virtuella datorer i Azure med en enda uppsättning autentiseringsuppgifter kan du ansluta virtuella datorer till en Azure Active Directory Domain Services-hanterad domän (Azure AD DS). När du ansluter en virtuell dator Azure AD DS en hanterad domän kan användarkonton och autentiseringsuppgifter från domänen användas för att logga in och hantera servrar. Gruppmedlemskap från den hanterade domänen tillämpas också för att du ska kunna styra åtkomsten till filer eller tjänster på den virtuella datorn.

Den här artikeln visar hur du ansluter en virtuell Ubuntu Linux till en hanterad domän.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

Skapa och ansluta till en Ubuntu Linux virtuell dator

Om du har en Ubuntu Linux virtuell dator i Azure ansluter du till den med hjälp av SSH och fortsätter sedan till nästa steg för att börja konfigurera den virtuella datorn.

Om du behöver skapa en Ubuntu Linux virtuell dator eller vill skapa en virtuell test-dator för användning med den här artikeln kan du använda någon av följande metoder:

När du skapar den virtuella datorn bör du vara uppmärksam på inställningarna för virtuella nätverk för att se till att den virtuella datorn kan kommunicera med den hanterade domänen:

  • Distribuera den virtuella datorn till samma eller ett peer-erat virtuellt nätverk där du har aktiverat Azure AD Domain Services.
  • Distribuera den virtuella datorn till ett annat undernät än din Azure AD Domain Services hanterade domän.

När den virtuella datorn har distribuerats följer du stegen för att ansluta till den virtuella datorn med hjälp av SSH.

Konfigurera värdfilen

Om du vill kontrollera att den virtuella datorns värdnamn är korrekt konfigurerat för den hanterade domänen redigerar du filen /etc/hosts och anger värdnamnet:

sudo vi /etc/hosts

Uppdatera localhost-adressen i värdfilen . Se följande exempel:

  • aaddscontoso.com är DNS-domännamnet för den hanterade domänen.
  • ubuntu är värdnamnet för din virtuella Ubuntu-dator som du ansluter till den hanterade domänen.

Uppdatera dessa namn med dina egna värden:

127.0.0.1 ubuntu.aaddscontoso.com ubuntu

När du är klar sparar och avslutar du värdfilen med :wq kommandot i redigeraren.

Installera de paket som krävs

Den virtuella datorn behöver några ytterligare paket för att ansluta den virtuella datorn till den hanterade domänen. Om du vill installera och konfigurera dessa paket uppdaterar och installerar du domänkopplingsverktygen med hjälp av apt-get

Under Kerberos-installationen frågar paketet krb5-user efter sfärnamnet i VERSALER. Om namnet på den hanterade domänen till exempel är aaddscontoso.com anger AADDSCONTOSO.COM som sfär. Installationen skriver avsnitten [realm] och [domain_realm] i konfigurationsfilen /etc/krb5.conf . Se till att du anger sfären MED VERSALER:

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Konfigurera NETWORK Time Protocol (NTP)

För att domänkommunikationen ska fungera korrekt måste datum och tid för din virtuella Ubuntu-dator synkroniseras med den hanterade domänen. Lägg till den hanterade domänens NTP-värdnamn i filen /etc/ntp.conf .

  1. Öppna filen ntp.conf med ett redigeringsprogram:

    sudo vi /etc/ntp.conf
    
  2. I filen ntp.conf skapar du en rad för att lägga till DNS-namnet för den hanterade domänen. I följande exempel läggs en post för aaddscontoso.com till. Använd ditt eget DNS-namn:

    server aaddscontoso.com
    

    När du är klar sparar och avslutar du filen ntp.conf med :wq kommandot i redigeraren.

  3. Följande steg krävs för att säkerställa att den virtuella datorn synkroniseras med den hanterade domänen:

    • Stoppa NTP-servern
    • Uppdatera datum och tid från den hanterade domänen
    • Starta NTP-tjänsten

    Utför de här stegen genom att köra följande kommandon. Använd ditt eget DNS-namn med ntpdate kommandot :

    sudo systemctl stop ntp
    sudo ntpdate aaddscontoso.com
    sudo systemctl start ntp
    

Ansluta en virtuell dator till den hanterade domänen

Nu när de nödvändiga paketen har installerats på den virtuella datorn och NTP har konfigurerats ansluter du den virtuella datorn till den hanterade domänen.

  1. Använd kommandot realm discover för att identifiera den hanterade domänen. I följande exempel upptäcks sfären AADDSCONTOSO.COM. Ange ditt eget hanterade domännamn i VERSALER:

    sudo realm discover AADDSCONTOSO.COM
    

    Om kommandot realm discover inte hittar den hanterade domänen granskar du följande felsökningssteg:

    • Kontrollera att domänen kan nås från den virtuella datorn. Försök ping aaddscontoso.com att se om ett positivt svar returneras.
    • Kontrollera att den virtuella datorn är distribuerad till samma eller ett peer-peer-nätverk där den hanterade domänen är tillgänglig.
    • Bekräfta att DNS-serverinställningarna för det virtuella nätverket har uppdaterats så att de pekar på domänkontrollanterna för den hanterade domänen.
  2. Initiera nu Kerberos med kommandot kinit . Ange en användare som är en del av den hanterade domänen. Om det behövs lägger du till ett användarkonto i en grupp i Azure AD.

    Det hanterade domännamnet måste återigen anges i VERSALER. I följande exempel används kontot med namnet contosoadmin@aaddscontoso.com för att initiera Kerberos. Ange ett eget användarkonto som ingår i den hanterade domänen:

    kinit -V contosoadmin@AADDSCONTOSO.COM
    
  3. Anslut slutligen den virtuella datorn till den hanterade domänen med realm join kommandot . Använd samma användarkonto som är en del av den hanterade domänen som du angav i föregående kommando kinit , till exempel contosoadmin@AADDSCONTOSO.COM:

    sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/
    

Det tar en stund att ansluta den virtuella datorn till den hanterade domänen. Följande exempelutdata visar att den virtuella datorn har anslutits till den hanterade domänen:

Successfully enrolled machine in realm

Om den virtuella datorn inte kan slutföra domänkopplingsprocessen kontrollerar du att den virtuella datorns nätverkssäkerhetsgrupp tillåter utgående Kerberos-trafik på TCP + UDP-port 464 till undernätet för det virtuella nätverket för den hanterade domänen.

Om du har fått felet Ospecificerad GSS-fel. Mindre kod kan ge mer information (servern hittades inte i Kerberos-databasen), öppna filen /etc/krb5.conf[libdefaults] och lägg till följande kod i avsnittet och försök igen:

rdns=false

Uppdatera SSSD-konfigurationen

Ett av de paket som installerades i ett tidigare steg var för System Security Services Daemon (SSSD). När en användare försöker logga in på en virtuell dator med domänautentiseringsuppgifter vidarebefordrar SSSD begäran till en autentiseringsprovider. I det här scenariot använder SSSD Azure AD DS för att autentisera begäran.

  1. Öppna filen sssd.conf med ett redigeringsprogram:

    sudo vi /etc/sssd/sssd.conf
    
  2. Kommentera ut raden för use_fully_qualified_names enligt följande:

    # use_fully_qualified_names = True
    

    När du är klar sparar och avslutar du filen sssd.conf med kommandot :wq i redigeraren.

  3. Om du vill tillämpa ändringen startar du om SSSD-tjänsten:

    sudo systemctl restart sssd
    

Konfigurera inställningar för användarkonto och grupp

När den virtuella datorn är ansluten till den hanterade domänen och har konfigurerats för autentisering finns det några alternativ för användarkonfiguration att slutföra. Dessa konfigurationsändringar omfattar att tillåta lösenordsbaserad autentisering och automatiskt skapa hemkataloger på den lokala virtuella datorn när domänanvändare loggar in första gången.

Tillåt lösenordsautentisering för SSH

Som standard kan användare bara logga in på en virtuell dator med hjälp av offentlig SSH-nyckelbaserad autentisering. Lösenordsbaserad autentisering misslyckas. När du ansluter den virtuella datorn till en hanterad domän måste dessa domänkonton använda lösenordsbaserad autentisering. Uppdatera SSH-konfigurationen så att lösenordsbaserad autentisering tillåts enligt följande.

  1. Öppna filen sshd_conf med ett redigeringsprogram:

    sudo vi /etc/ssh/sshd_config
    
  2. Uppdatera raden för PasswordAuthentication till ja:

    PasswordAuthentication yes
    

    När du är klar sparar och sshd_conf filen med kommandot :wq i redigeraren.

  3. Om du vill tillämpa ändringarna och låta användarna logga in med ett lösenord startar du om SSH-tjänsten:

    sudo systemctl restart ssh
    

Konfigurera automatiskt skapande av hemkatalog

Utför följande steg för att aktivera automatisk generering av arbetskatalogen när en användare loggar in för första gången:

  1. Öppna filen /etc/pam.d/common-session i ett redigeringsprogram:

    sudo vi /etc/pam.d/common-session
    
  2. Lägg till följande rad i den här filen under raden session optional pam_sss.so:

    session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
    

    När du är klar sparar och avslutar du common-session-filen med :wq kommandot i redigeraren.

Bevilja sudo-privilegier för gruppen "AAD DC-administratörer"

Om du vill ge medlemmar AAD administratörsgruppen administratörsbehörighet på den virtuella Ubuntu-datorn lägger du till en post i /etc/sudoers. När den har lagts till kan medlemmar i gruppen AAD DC-administratörer använda kommandot på sudo den virtuella Ubuntu-datorn.

  1. Öppna sudoers-filen för redigering:

    sudo visudo
    
  2. Lägg till följande post i slutet av filen /etc/sudoers :

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
    

    När du är klar sparar och avslutar du redigeringsredigeraren med Ctrl-X kommandot .

Logga in på den virtuella datorn med ett domänkonto

Om du vill kontrollera att den virtuella datorn har anslutits till den hanterade domänen startar du en ny SSH-anslutning med ett domänanvändarkonto. Bekräfta att en hemkatalog har skapats och att gruppmedlemskap från domänen tillämpas.

  1. Skapa en ny SSH-anslutning från konsolen. Använd ett domänkonto som tillhör den ssh -l hanterade domänen med kommandot , contosoadmin@aaddscontoso.com till exempel och ange sedan adressen till den virtuella datorn, till exempel ubuntu.aaddscontoso.com. Om du använder Azure Cloud Shell använder du den virtuella datorns offentliga IP-adress i stället för det interna DNS-namnet.

    ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com
    
  2. När du har anslutit till den virtuella datorn kontrollerar du att arbetskatalogen har initierats korrekt:

    pwd
    

    Du bör vara i katalogen /home med din egen katalog som matchar användarkontot.

  3. Kontrollera nu att gruppmedlemskapen matchas korrekt:

    id
    

    Du bör se dina gruppmedlemskap från den hanterade domänen.

  4. Om du har loggat in på den virtuella datorn som medlem i gruppen AAD DC-administratörer kontrollerar du att du kan använda sudo kommandot korrekt:

    sudo apt-get update
    

Nästa steg

Om du har problem med att ansluta den virtuella datorn till den hanterade domänen eller logga in med ett domänkonto kan du gå till Felsöka problem med domänanslutning.