Linux sanal makinesini Enterprise Etki Alanı Hizmetleri tarafından yönetilen bir Azure Active Directory Red Hat sanal makinesine ekleme

Kullanıcıların tek bir kimlik bilgileri kümesi kullanarak Azure'daki sanal makinelerde (VM) oturum açmasına izin verme, VM'leri Azure Active Directory Domain Services (Azure AD DS) yönetilen etki alanına katabilirsiniz. Bir VM'yi Azure AD DS etki alanına katıyorsanız, sunucularda oturum açma ve sunucuları yönetmek için etki alanındaki kullanıcı hesapları ve kimlik bilgileri kullanılabilir. Vm'de dosyalara veya hizmetlere erişimi denetlemenizi sağlarken yönetilen etki alanındaki grup üyelikleri de uygulanır.

Bu makalede, Red Hat linux (RHEL) Enterprise yönetilen etki alanına nasıl katılabilirsiniz?

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğiniz Azure Active Directory bir şirket içi dizin veya yalnızca bulut diziniyle eşitlenmiş bir kiracı.
  • Gerekirse, yeni bir Azure Active Directory oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirmeniz gerekir.
• Azure AD Azure Active Directory Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı etkinleştirildi ve yapılandırıldı.
  • Gerekirse, ilk öğretici Etki Alanı Hizmetleri tarafından yönetilen bir etki Azure Active Directory oluşturur ve yapılandırıyor.
• Yönetilen etki alanının parçası olan bir kullanıcı hesabı.
• Active Directory'de çakışmalara neden olan adların kesilmesini önlemek için en fazla 15 karakter uzunluğunda benzersiz Linux VM adları.

RHEL Linux VM oluşturma ve bu VM'ye bağlanma

Azure'da mevcut bir RHEL Linux VM'niz varsa, SSH kullanarak bu VM'ye bağlanın, ardından VM'yi yapılandırmaya başlamak için sonraki adıma geçin.

Bir RHEL Linux VM oluşturmanız veya bu makalede kullanmak üzere bir test VM'si oluşturmanız gerekirse, aşağıdaki yöntemlerden birini kullanabilirsiniz:

• Azure portalı
• Azure CLI
• Azure PowerShell

VM'yi oluşturmanın ardından sanal makinenin yönetilen etki alanıyla iletişim kura olduğundan emin olmak için sanal ağ ayarlarına dikkat edin:

• VM'yi, sanal makineyi etkinleştirmiş olduğu eşli bir sanal ağa Azure AD Domain Services.
• VM'yi yönetilen etki alanınıza göre farklı bir Azure AD Domain Services dağıtın.

VM dağıtıldıktan sonra SSH kullanarak VM'ye bağlanma adımlarını izleyin.

Hosts dosyasını yapılandırma

YÖNETILEN etki alanı için VM ana bilgisayar adının doğru yapılandırıldığından emin olmak için /etc/hosts dosyasını düzenleyin ve konak adını ayarlayın:

sudo vi /etc/hosts

Hosts dosyasında localhost adresini güncelleştirin. Aşağıdaki örnekte:

• aaddscontoso.com, yönetilen etki alanınız için DNS etki alanı adıdır.
• rhel, yönetilen etki alanına katıldığınız RHEL VM'nizin ana bilgisayar adıdır.

Bu adları kendi değerleriniz ile güncelleştirin:

127.0.0.1 rhel rhel.aaddscontoso.com

Bitirin ve düzenleyicinin komutunu kullanarak hosts :wq dosyasından çıkın.

Gerekli paketleri yükleme

VM'nin yönetilen etki alanına katılması için bazı ek paketler gerekir. Bu paketleri yüklemek ve yapılandırmak için, kullanarak etki alanına katılma araçlarını güncelleştirin ve yum yükleyin. RHEL 7.x ile RHEL 6.x arasında bazı farklar vardır, bu nedenle bu makalenin kalan bölümlerinde distro sürümünüz için uygun komutları kullanın.

RHEL 7

sudo yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

RHEL 6

sudo yum install adcli sssd authconfig krb5-workstation

VM'yi yönetilen etki alanına ekleme

Gerekli paketler VM'ye yüklendikten sonra, vm'yi yönetilen etki alanına katabilirsiniz. RHEL dağıtım sürümünüz için uygun adımları tekrar kullanın.

RHEL 7

1. Yönetilen etki realm discover alanını bulmak için komutunu kullanın. Aşağıdaki örnek, AADDSCONTOSO.COM. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:

   sudo realm discover AADDSCONTOSO.COM
   

   Komut realm discover yönetilen etki alanınızı bulamıyorsa aşağıdaki sorun giderme adımlarını gözden geçirebilirsiniz:

   • Sanal makineden etki alanına erişenin olduğundan emin olun. Olumlu ping aaddscontoso.com bir yanıtın döndürül olup olamaya çalışma.
   • VM'nin yönetilen etki alanının kullanılabilir olduğu eşli bir sanal ağa dağıtıldığından emin olun.
   • Sanal ağın DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerine işaret etmek için güncelleştirilmiş olduğunu onaylayın.

2. Şimdi komutunu kullanarak Kerberos'u kinit başlatabilirsiniz. Yönetilen etki alanının parçası olan bir kullanıcı belirtin. Gerekirse, Azure AD'de bir gruba bir kullanıcı hesabı ekleyin.

   Yine, yönetilen etki alanı adı ALL BÜYÜK HARFe girilsin. Aşağıdaki örnekte, adlı hesap contosoadmin@aaddscontoso.com Kerberos'u başlatmak için kullanılır. Yönetilen etki alanının bir parçası olan kendi kullanıcı hesabını girin:

   kinit contosoadmin@AADDSCONTOSO.COM
   

3. Son olarak komutunu kullanarak VM'yi yönetilen etki alanına realm join katabilirsiniz. Önceki komutta belirttiğiniz yönetilen etki alanının parçası olan kullanıcı hesabını kinit kullanın, contosoadmin@AADDSCONTOSO.COM örneğin:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM'
   

VM'nin yönetilen etki alanına katılması birkaç dakika sürer. Aşağıdaki örnek çıktı, VM'nin yönetilen etki alanına başarıyla katıldığını gösterir:

Successfully enrolled machine in realm

RHEL 6

1. Yönetilen etki adcli info alanını bulmak için komutunu kullanın. Aşağıdaki örnek, ADDDSCONTOSO.COM. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:

   sudo adcli info aaddscontoso.com
   

   Komut adcli info yönetilen etki alanınızı bulamıyorsa aşağıdaki sorun giderme adımlarını gözden geçirebilirsiniz:

   • Sanal makineden etki alanına erişenin olduğundan emin olun. Olumlu ping aaddscontoso.com bir yanıtın döndürül olup olamaya çalışma.
   • VM'nin yönetilen etki alanının kullanılabilir olduğu eşli bir sanal ağa dağıtıldığından emin olun.
   • Sanal ağın DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerine işaret etmek için güncelleştirilmiş olduğunu onaylayın.

2. İlk olarak, komutunu kullanarak etki alanına adcli join katılın, bu komut makinenin kimliğini doğrulamak için anahtartabı da oluşturur. Yönetilen etki alanının parçası olan bir kullanıcı hesabı kullanın.

   sudo adcli join aaddscontoso.com -U contosoadmin
   

3. Şimdi yapılandırma /ect/krb5.conf ve /etc/sssd/sssd.conf Active Directory etki alanını kullanmak için aaddscontoso.com dosyaları oluşturun. bunun kendi AADDSCONTOSO.COM etki alanı adınızla değiştirildi olduğundan emin olun:

   Dosyayı /ect/krb5.conf bir düzenleyiciyle açın:

   sudo vi /etc/krb5.conf
   

   Dosyasını krb5.conf aşağıdaki örnekle eş olacak şekilde güncelleştirin:

   [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
   
   [libdefaults]
    default_realm = AADDSCONTOSO.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
   
   [realms]
    AADDSCONTOSO.COM = {
    kdc = AADDSCONTOSO.COM
    admin_server = AADDSCONTOSO.COM
    }
   
   [domain_realm]
    .AADDSCONTOSO.COM = AADDSCONTOSO.COM
    AADDSCONTOSO.COM = AADDSCONTOSO.COM
   

   Dosyayı /etc/sssd/sssd.conf oluşturun:

   sudo vi /etc/sssd/sssd.conf
   

   Dosyasını sssd.conf aşağıdaki örnekle eş olacak şekilde güncelleştirin:

   [sssd]
    services = nss, pam, ssh, autofs
    config_file_version = 2
    domains = AADDSCONTOSO.COM
   
   [domain/AADDSCONTOSO.COM]
   
    id_provider = ad
   

4. İzinlerin /etc/sssd/sssd.conf 600 olduğundan ve kök kullanıcıya ait olduğundan emin olun:

   sudo chmod 600 /etc/sssd/sssd.conf
   sudo chown root:root /etc/sssd/sssd.conf
   

5. authconfigVM'ye AD Linux tümleştirmesi hakkında bilgi için kullanın:

   sudo authconfig --enablesssd --enablesssdauth --update
   

6. sssd hizmetini başlatma ve etkinleştirme:

   sudo service sssd start
   sudo chkconfig sssd on
   

VM'niz etki alanına katılma işlemini başarıyla tamamlayamıyorsa, VM'nin ağ güvenlik grubunun TCP + UDP bağlantı noktası 464 üzerinden yönetilen etki alanınız için sanal ağ alt ağına giden Kerberos trafiğine izin olduğundan emin olun.

Şimdi kullanarak kullanıcı AD bilgilerini sorgulayalıp sorgulayamayabilirsiniz getent

sudo getent passwd contosoadmin

SSH için parola kimlik doğrulamasına izin ver

Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açmasını sağlar. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına katıyorsanız, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanmaları gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.

1. Sshd_conf dosyasını bir düzenleyici ile açın:

   sudo vi /etc/ssh/sshd_config
   

2. PasswordAuthentication için satırı evet olarak güncelleştirin:

   PasswordAuthentication yes
   

   Bittiğinde, düzenleyicinin komutunu kullanarak sshd_conf dosyasını kaydedin ve bu :wq dosyadan çıkın.

3. Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin için RHEL dağıtım sürümünüz için SSH hizmetini yeniden başlatın:

   RHEL 7

   sudo systemctl restart sshd
   

   RHEL 6

   sudo service sshd restart
   

'AAD DC Administrators' grubuna sudo ayrıcalıkları ver

RHEL VM'sinde AAD DC Administrators grubunun üyelerine yönetici ayrıcalıkları vermek için /etc/sudoers'a bir girdi eklersiniz. Eklendiktan sonra, AAD DC Administrators grubunun üyeleri sudo RHEL VM'sinde komutunu kullanabilir.

1. Düzenlemek için sudoers dosyasını açın:

   sudo visudo
   

2. /etc/sudoers dosyasının sonuna aşağıdaki girdiyi ekleyin. AAD DC Administrators grubu ad içinde boşluk içerir, bu nedenle grup adına ters eğik çizgi kaçış karakterini dahil etmek. Aşağıdaki gibi kendi etki alanı adınızı aaddscontoso.com:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   Bitirin ve düzenleyicinin komutunu kullanarak :wq düzenleyiciden çıkın.

Etki alanı hesabı kullanarak VM'de oturum açma

VM'nin yönetilen etki alanına başarıyla katıldığını doğrulamak için bir etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatabilirsiniz. Bir giriş dizininin oluşturularak etki alanındaki grup üyeliğinin uygulandığını onaylayın.

1. Konsolunuzu kullanarak yeni bir SSH bağlantısı oluşturun. gibi komutunu kullanarak yönetilen etki alanına ait olan bir etki alanı hesabı kullanın ve ardından vm'nizin adresini ssh -l contosoadmin@aaddscontoso.com (örneğin, rhel.aaddscontoso.com. Sanal makineyi Azure Cloud Shell, iç DNS adı yerine VM'nin genel IP adresini kullanın.

   ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
   

2. VM'ye başarıyla bağlandıktan sonra giriş dizininin doğru başlatılmış olduğunu doğrulayın:

   pwd
   

   Kullanıcı hesabıyla eşleşen kendi dizininizin olduğu /home dizininde yer alasınız.

3. Şimdi grup üyeliklerin doğru çözümlenmiş olup olmadığını denetleyin:

   id
   

   Yönetilen etki alanındaki grup üyeliklerinizi görüyor olun.

4. VM'de AAD DC Administrators grubunun bir üyesi olarak oturum açıldıysa, komutunu doğru şekilde kullanabileceğinizden emin sudo olun:

   sudo yum update
   

Sonraki adımlar

VM'yi yönetilen etki alanına bağlama veya bir etki alanı hesabıyla oturum açma sorunlarıyla ilgili sorunlarınız varsa bkz. Etki alanına katılma sorunlarını giderme.