Red Hat Enterprise Linux sanal makinesini Azure AD Etki Alanı Hizmetleri tarafından yönetilen bir etki alanına katmaJoin a Red Hat Enterprise Linux virtual machine to an Azure AD Domain Services managed domain

Kullanıcıların Azure 'da tek bir kimlik bilgileri kümesi kullanarak sanal makinelerde (VM) oturum açmalarına izin vermek için, VM 'Leri Azure Active Directory Domain Services (AD DS) yönetilen bir etki alanına katabilirsiniz.To let users sign in to virtual machines (VMs) in Azure using a single set of credentials, you can join VMs to an Azure Active Directory Domain Services (AD DS) managed domain. Bir VM 'yi Azure AD DS yönetilen bir etki alanına katdığınızda, etki alanındaki Kullanıcı hesapları ve kimlik bilgileri, sunucuları oturum açmak ve yönetmek için kullanılabilir.When you join a VM to an Azure AD DS managed domain, user accounts and credentials from the domain can be used to sign in and manage servers. Azure AD DS yönetilen etki alanındaki grup üyelikleri, VM 'deki dosya ve hizmetlere erişimi denetlemenize olanak sağlamak için de uygulanır.Group memberships from the Azure AD DS managed domain are also applied to let you control access to files or services on the VM.

Bu makalede bir Red Hat Enterprise Linux (RHEL) VM 'sini Azure AD DS yönetilen bir etki alanına nasıl katılabilmeniz gösterilmektedir.This article shows you how to join a Red Hat Enterprise Linux (RHEL) VM to an Azure AD DS managed domain.

ÖnkoşullarPrerequisites

Bu öğreticiyi tamamlayabilmeniz için aşağıdaki kaynaklar ve ayrıcalıklar gereklidir:To complete this tutorial, you need the following resources and privileges:

RHEL Linux VM 'si oluşturma ve bu makineye bağlanmaCreate and connect to a RHEL Linux VM

Azure 'da var olan bir RHEL Linux sanal makinesi varsa, SSH kullanarak buna bağlanın ve sonra VM 'yi yapılandırmaya başlamakiçin sonraki adıma geçin.If you have an existing RHEL Linux VM in Azure, connect to it using SSH, then continue on to the next step to start configuring the VM.

Bir RHEL Linux sanal makinesi oluşturmanız veya bu makaleyle kullanmak üzere bir test sanal makinesi oluşturmak istiyorsanız aşağıdaki yöntemlerden birini kullanabilirsiniz:If you need to create a RHEL Linux VM, or want to create a test VM for use with this article, you can use one of the following methods:

VM 'yi oluştururken, sanal makınenın Azure AD DS yönetilen etki alanıyla iletişim kurabildiğinden emin olmak için sanal ağ ayarlarına dikkat edin:When you create the VM, pay attention to the virtual network settings to make sure that the VM can communicate with the Azure AD DS managed domain:

  • Sanal makineyi aynı veya Azure AD Domain Services etkinleştirdiğiniz bir eşlenen sanal ağa dağıtın.Deploy the VM into the same, or a peered, virtual network in which you have enabled Azure AD Domain Services.
  • VM 'yi Azure AD Domain Services örneğinden farklı bir alt ağa dağıtın.Deploy the VM into a different subnet than your Azure AD Domain Services instance.

VM dağıtıldıktan sonra, SSH kullanarak VM 'ye bağlanma adımlarını izleyin.Once the VM is deployed, follow the steps to connect to the VM using SSH.

Hosts dosyasını yapılandırmaConfigure the hosts file

VM ana bilgisayar adının yönetilen etki alanı için doğru yapılandırıldığından emin olmak için, /etc/hosts dosyasını düzenleyin ve ana bilgisayar adını ayarlayın:To make sure that the VM host name is correctly configured for the managed domain, edit the /etc/hosts file and set the hostname:

sudo vi /etc/hosts

Konaklar dosyasında, localhost adresini güncelleştirin.In the hosts file, update the localhost address. Aşağıdaki örnekte:In the following example:

  • contoso.com , Azure AD DS yönetilen etkı alanının DNS etki alanı adıdır.contoso.com is the DNS domain name of your Azure AD DS managed domain.
  • RHEL for , yönetilen etki alanına katıldığınız RHEL for VM 'nizin ana bilgisayar adıdır.rhel is the hostname of your RHEL VM that you're joining to the managed domain.

Bu adları kendi değerlerinizle güncelleştirin:Update these names with your own values:

127.0.0.1 rhel rhel.contoso.com

İşiniz bittiğinde, düzenleyicinin :wq komutunu kullanarak konaklar dosyasını kaydedin ve kapatın.When done, save and exit the hosts file using the :wq command of the editor.

Gerekli paketleri yüklemeInstall required packages

VM 'nin VM 'ye Azure AD DS tarafından yönetilen etki alanına katılması için bazı ek paketlere ihtiyacı vardır.The VM needs some additional packages to join the VM to the Azure AD DS managed domain. Bu paketleri yüklemek ve yapılandırmak için, kullanarak yumetki alanına ekleme araçlarını güncelleştirin ve yapılandırın:To install and configure these packages, update and install the domain-join tools using yum:

sudo yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

VM 'yi yönetilen etki alanına katmaJoin VM to the managed domain

Gerekli paketler VM 'ye yüklendikten sonra, VM 'yi Azure AD DS yönetilen etki alanına katın.Now that the required packages are installed on the VM, join the VM to the Azure AD DS managed domain.

  1. Azure AD DS yönetilen etki alanını bulmaya yönelik komutunukullanın.realm discoverUse the realm discover command to discover the Azure AD DS managed domain. Aşağıdaki örnek, contoso.combölgesini bulur.The following example discovers the realm CONTOSO.COM. Azure AD DS yönetilen etki alanı adınızı tüm büyük harfle belirtin:Specify your own Azure AD DS managed domain name in ALL UPPERCASE:

    sudo realm discover CONTOSO.COM
    

    realm discover Komut Azure AD DS yönetilen etki alanınızı bulamazsa, aşağıdaki sorun giderme adımlarını gözden geçirin:If the realm discover command can't find your Azure AD DS managed domain, review the following troubleshooting steps:

    • Etki alanına VM 'den erişilebildiğinden emin olun.Make sure that the domain is reachable from the VM. Olumlu ping contoso.com bir yanıtın döndürülüp döndürülmediğini görmeyi deneyin.Try ping contoso.com to see if a positive reply is returned.
    • VM 'nin aynı veya Azure AD DS yönetilen etki alanının kullanılabildiği eşlenmiş bir sanal ağa dağıtıldığını denetleyin.Check that the VM is deployed to the same, or a peered, virtual network in which the Azure AD DS managed domain is available.
    • Sanal ağ için DNS sunucu ayarlarının, Azure AD DS yönetilen etki alanının etki alanı denetleyicilerini işaret etmek üzere güncelleştirildiğinden emin olun.Confirm that the DNS server settings for the virtual network have been updated to point to the domain controllers of the Azure AD DS managed domain.
  2. Şimdi kinit komutunu kullanarak Kerberos başlatın.Now initialize Kerberos using the kinit command. AAD DC Administrators grubuna ait olan bir kullanıcı belirtin.Specify a user that belongs to the AAD DC Administrators group. Gerekirse, Azure AD 'de bir gruba bir kullanıcı hesabı ekleyin.If needed, add a user account to a group in Azure AD.

    Azure AD DS yönetilen etki alanı adının tümü büyük harfle girilmelidir.Again, the Azure AD DS managed domain name must be entered in ALL UPPERCASE. Aşağıdaki örnekte, adlı contosoadmin@contoso.com hesap, Kerberos 'u başlatmak için kullanılır.In the following example, the account named contosoadmin@contoso.com is used to initialize Kerberos. AAD DC Administrators grubunun üyesi olan kendi kullanıcı hesabınızı girin:Enter your own user account that's a member of the AAD DC Administrators group:

    kinit contosoadmin@CONTOSO.COM
    
  3. Son olarak, realm join komutunu kullanarak makineyi Azure AD DS yönetilen etki alanına katın.Finally, join the machine to the Azure AD DS managed domain using the realm join command. Öncekikinitkomuttabelirttiğiniz AAD DC Yöneticiler grubunun bir üyesi olan kullanıcı hesabını kullanın, örneğin: contosoadmin@CONTOSO.COMUse the same user account that's a member of the AAD DC Administrators group that you specified in the previous kinit command, such as contosoadmin@CONTOSO.COM:

    sudo realm join --verbose CONTOSO.COM -U 'contosoadmin@CONTOSO.COM'
    

VM 'nin Azure AD DS yönetilen etki alanına katılması birkaç dakika sürer.It takes a few moments to join the VM to the Azure AD DS managed domain. Aşağıdaki örnek çıktı, sanal makinenin Azure AD DS yönetilen etki alanına başarıyla katıldığını göstermektedir:The following example output shows the VM has successfully joined to the Azure AD DS managed domain:

Successfully enrolled machine in realm

VM 'niz etki alanına ekleme işlemini başarıyla tamamlayamadıysanız, VM 'nin ağ güvenlik grubunun TCP + UDP bağlantı noktası 464 üzerinde giden Kerberos trafiğinin Azure AD DS yönetilen etki alanınıza yönelik sanal ağ alt ağına izin verdiğinden emin olun.If your VM can't successfully complete the domain-join process, make sure that the VM's network security group allows outbound Kerberos traffic on TCP + UDP port 464 to the virtual network subnet for your Azure AD DS managed domain.

SSH için parola kimlik doğrulamasına izin verAllow password authentication for SSH

Varsayılan olarak, kullanıcılar yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak bir VM 'de oturum açabilirler.By default, users can only sign in to a VM using SSH public key-based authentication. Parola tabanlı kimlik doğrulaması başarısız olur.Password-based authentication fails. VM 'yi Azure AD DS yönetilen bir etki alanına katdığınızda, bu etki alanı hesaplarının parola tabanlı kimlik doğrulamasını kullanması gerekir.When you join the VM to an Azure AD DS managed domain, those domain accounts need to use password-based authentication. Aşağıdaki gibi, parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını güncelleştirin.Update the SSH configuration to allow password-based authentication as follows.

  1. Sshd_conf dosyasını bir düzenleyici ile açın:Open the sshd_conf file with an editor:

    sudo vi /etc/ssh/sshd_config
    
  2. Passwordaduthentication satırını Evetolarak güncelleştirin:Update the line for PasswordAuthentication to yes:

    PasswordAuthentication yes
    

    İşiniz bittiğinde, düzenleyicinin :wq komutunu kullanarak sshd_conf dosyasını kaydedin ve kapatın.When done, save and exit the sshd_conf file using the :wq command of the editor.

  3. Değişiklikleri uygulamak ve kullanıcıların bir parola kullanarak oturum açmasını sağlamak için SSH hizmetini yeniden başlatın:To apply the changes and let users sign in using a password, restart the SSH service:

    sudo systemctl restart sshd
    

' AAD DC yöneticileri ' Grup sudo ayrıcalıklarına izin vermeGrant the 'AAD DC Administrators' group sudo privileges

RHEL VM 'de AAD DC yöneticileri grubunun üyelerine yönetici ayrıcalıkları vermek için, /etc/sudoers'a bir giriş eklersiniz.To grant members of the AAD DC Administrators group administrative privileges on the RHEL VM, you add an entry to the /etc/sudoers. Eklendikten sonra, AAD DC yöneticileri grubunun üyeleri RHEL VM üzerinde sudo komutunu kullanabilir.Once added, members of the AAD DC Administrators group can use the sudo command on the RHEL VM.

  1. Şu şekilde düzenlenecek sudoers dosyasını açın:Open the sudoers file for editing:

    sudo visudo
    
  2. /Etc/sudoers dosyasının sonuna aşağıdaki girişi ekleyin.Add the following entry to the end of /etc/sudoers file. AAD DC Administrators grubu adında boşluk içerir, bu nedenle Grup adına ters eğik çizgi kaçış karakteri ekleyin.The AAD DC Administrators group contains whitespace in the name, so include the backslash escape character in the group name. Contoso.comgibi kendi etki alanı adınızı ekleyin:Add your own domain name, such as contoso.com:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@contoso.com ALL=(ALL) NOPASSWD:ALL
    

    İşiniz bittiğinde düzenleyicinin :wq komutunu kullanarak düzenleyiciyi kaydedin ve kapatın.When done, save and exit the editor using the :wq command of the editor.

Bir etki alanı hesabı kullanarak VM 'de oturum açmaSign in to the VM using a domain account

VM 'nin Azure AD DS tarafından yönetilen etki alanına başarıyla katıldığını doğrulamak için, bir etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatın.To verify that the VM has been successfully joined to the Azure AD DS managed domain, start a new SSH connection using a domain user account. Bir giriş dizininin oluşturulduğunu ve etki alanındaki grup üyeliğinin uygulandığını doğrulayın.Confirm that a home directory has been created, and that group membership from the domain is applied.

  1. Konsolınızdan yeni bir SSH bağlantısı oluşturun.Create a new SSH connection from your console. ssh -l Komutunu kullanarak yönetilen etki alanına ait bir etki alanı hesabı kullanın, contosoadmin@contoso.com Örneğin, RHEL.contoso.comgibi sanal makinenizin adresini girin.Use a domain account that belongs to the managed domain using the ssh -l command, such as contosoadmin@contoso.com and then enter the address of your VM, such as rhel.contoso.com. Azure Cloud Shell kullanıyorsanız, iç DNS adı yerine VM 'nin genel IP adresini kullanın.If you use the Azure Cloud Shell, use the public IP address of the VM rather than the internal DNS name.

    ssh -l contosoadmin@CONTOSO.com rhel.contoso.com
    
  2. VM 'ye başarıyla bağlandığınızda, giriş dizininin doğru şekilde başlatıldığını doğrulayın:When you've successfully connected to the VM, verify that the home directory was initialized correctly:

    pwd
    

    Kullanıcı hesabıyla eşleşen kendi dizininizin bulunduğu /Home dizininde olmanız gerekir.You should be in the /home directory with your own directory that matches the user account.

  3. Şimdi grup üyeliklerinin doğru çözümlendiğini kontrol edin:Now check that the group memberships are being resolved correctly:

    id
    

    Grup üyeliklerinizi Azure AD DS yönetilen etki alanından görmeniz gerekir.You should see your group memberships from the Azure AD DS managed domain.

  4. VM 'de AAD DC Administrators grubunun bir üyesi olarak oturum açtıysanız, sudo komutunu doğru şekilde kullanıp kullandığınıza bakın:If you signed in to the VM as a member of the AAD DC Administrators group, check that you can correctly use the sudo command:

    sudo yum update
    

Sonraki adımlarNext steps

VM 'yi Azure AD DS tarafından yönetilen etki alanına bağlama veya bir etki alanı hesabıyla oturum açma sorunları yaşıyorsanız, bkz. etki alanına ekleme sorunlarını giderme.If you have problems connecting the VM to the Azure AD DS managed domain or signing in with a domain account, see Troubleshooting domain join issues.