Azure 'daki bir Ubuntu sanal makinesini yönetilen bir etki alanına katmaJoin an Ubuntu virtual machine in Azure to a managed domain

Bu makalede Ubuntu Linux bir sanal makineyi Azure AD Domain Services yönetilen bir etki alanına nasıl katılabilmeniz gösterilmektedir.This article shows you how to join an Ubuntu Linux virtual machine to an Azure AD Domain Services managed domain.

Önemli

Bu makaledeki görevleri tamamlamadan önce Azure AD Domain Services için Parola karması eşitlemesini etkinleştirin.Enable password hash synchronization to Azure AD Domain Services, before you complete the tasks in this article.

Azure AD dizininizde bulunan kullanıcıların türüne bağlı olarak aşağıdaki yönergeleri izleyin.Follow the instructions below, depending on the type of users in your Azure AD directory. Azure AD dizininizde yalnızca bulutta ve eşitlenmiş Kullanıcı hesaplarının bir karışımına sahipseniz her iki yönerge kümesini de doldurun.Complete both sets of instructions if you have a mix of cloud-only and synced user accounts in your Azure AD directory. Bir B2B Konuk hesabı (örneğin, izin verdiğimiz farklı bir kimlik sağlayıcısından Gmail veya MSA) kullanmaya çalışıyorsanız aşağıdaki işlemleri gerçekleştiremeyebilirsiniz, çünkü bu kullanıcılara yönetilen etki alanı ile eşitlenen bu kullanıcılar için parola yok. , dizininde Konuk hesaplardır.You may not be able to carry out the following operations in case you are trying to use a B2B Guest account (example , your gmail or MSA from a different Identity provider which we allow) because we do not have the password for these users synced to managed domain as these are guest accounts in the directory. Bu hesaplarla ilgili olarak, parolaları da dahil olmak üzere tüm bilgiler Azure AD 'nin dışında ve bu bilgiler Azure AD 'de olmadığından, yönetilen etki alanıyla eşitlenmeyebilir.The complete information about these accounts including their passwords would be outside of Azure AD and as this information is not in Azure AD hence it does not even get synced to the managed domain.

Başlamadan önceBefore you begin

Bu makalede listelenen görevleri gerçekleştirmek için şunlar gerekir:To perform the tasks listed in this article, you need:

  1. Geçerli bir Azure aboneliği.A valid Azure subscription.
  2. Bir Azure ad dizini -şirket içi bir dizinle veya yalnızca bulut diziniyle eşitlenir.An Azure AD directory - either synchronized with an on-premises directory or a cloud-only directory.
  3. Azure AD dizini için Azure AD Domain Services etkinleştirilmelidir.Azure AD Domain Services must be enabled for the Azure AD directory. Bunu yapmadıysanız, Başlarken kılavuzundaözetlenen tüm görevleri izleyin.If you haven't done so, follow all the tasks outlined in the Getting Started guide.
  4. Yönetilen etki alanının IP adreslerini, sanal ağ için DNS sunucuları olarak yapılandırdığınızdan emin olun.Ensure that you have configured the IP addresses of the managed domain as the DNS servers for the virtual network. Daha fazla bilgi için bkz . Azure sanal ağı IÇIN DNS ayarlarını güncelleştirmeFor more information, see how to update DNS settings for the Azure virtual network
  5. Parolaları Azure AD Domain Services yönetilen etki alanı ile senkronizeetmek için gereken adımları uygulayın.Complete the steps required to synchronize passwords to your Azure AD Domain Services managed domain.

Ubuntu Linux sanal makinesi sağlamaProvision an Ubuntu Linux virtual machine

Aşağıdaki yöntemlerden herhangi birini kullanarak Azure 'da Ubuntu Linux bir sanal makine sağlayın:Provision an Ubuntu Linux virtual machine in Azure, using any of the following methods:

Önemli

  • Sanal makineyi Azure AD Domain Services etkinleştirdiğiniz aynı sanal ağadağıtın.Deploy the virtual machine into the same virtual network in which you have enabled Azure AD Domain Services.
  • Azure AD Domain Services etkinleştirdiğiniz olandan farklı bir alt ağ seçin.Pick a different subnet than the one in which you have enabled Azure AD Domain Services.

Ubuntu Linux sanal makinesine uzaktan bağlanmaConnect remotely to the Ubuntu Linux virtual machine

Ubuntu sanal makinesi Azure 'da sağlandı.The Ubuntu virtual machine has been provisioned in Azure. Sonraki görev, sanal makine sağlanırken oluşturulan yerel yönetici hesabı kullanılarak sanal makineye uzaktan bağlanmamalıdır.The next task is to connect remotely to the virtual machine using the local administrator account created while provisioning the VM.

Linux çalıştıran bir sanal makinede oturum açmamakalesindeki yönergeleri izleyin.Follow the instructions in the article How to sign in to a virtual machine running Linux.

Linux sanal makinesinde Hosts dosyasını yapılandırmaConfigure the hosts file on the Linux virtual machine

SSH terminalinizde/etc/hosts dosyasını düzenleyin ve makinenizin IP adresini ve ana bilgisayar adını güncelleştirin.In your SSH terminal, edit the /etc/hosts file and update your machine’s IP address and hostname.

sudo vi /etc/hosts

Konaklar dosyasında aşağıdaki değeri girin:In the hosts file, enter the following value:

127.0.0.1 contoso-ubuntu.contoso.com contoso-ubuntu

Burada, ' contoso.com ', yönetilen etki alanının DNS etki alanı adıdır.Here, 'contoso.com' is the DNS domain name of your managed domain. ' contoso-Ubuntu ', yönetilen etki alanına katıldığınız Ubuntu sanal makinesinin ana bilgisayar adıdır.'contoso-ubuntu' is the hostname of the Ubuntu virtual machine you are joining to the managed domain.

Linux sanal makinesine gereken paketleri yüklerInstall required packages on the Linux virtual machine

Sonra, sanal makinede etki alanına katılması için gereken paketleri yükler.Next, install packages required for domain join on the virtual machine. Aşağıdaki adımları uygulayın:Perform the following steps:

  1. SSH terminalinizde paket listelerini depolardan indirmek için aşağıdaki komutu yazın.In your SSH terminal, type the following command to download the package lists from the repositories. Bu komut, paketlerin en yeni sürümleriyle ve bağımlılıklarıyla ilgili bilgi almak için paket listelerini güncelleştirir.This command updates the package lists to get information on the newest versions of packages and their dependencies.

    sudo apt-get update
    
  2. Gerekli paketleri yüklemek için aşağıdaki komutu yazın.Type the following command to install the required packages.

      sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli
    
  3. Kerberos yüklemesi sırasında, pembe bir ekran görürsünüz.During the Kerberos installation, you see a pink screen. ' Krb5-User ' paketinin yüklenmesi bölge adı (tüm büyük harfle) için istemde bulunur.The installation of the 'krb5-user' package prompts for the realm name (in ALL UPPERCASE). Yükleme,/etc/kronb5,confiçindeki [Realm] ve [domain_realm] bölümlerini yazar.The installation writes the [realm] and [domain_realm] sections in /etc/krb5.conf.

    İpucu

    Yönetilen etki alanının adı contoso.com ise, bölge olarak CONTOSO.COM girin.If the name of your managed domain is contoso.com, enter CONTOSO.COM as the realm. Bölge adının büyük harfle belirtilmiş olması gerektiğini unutmayın.Remember, the realm name must be specified in UPPERCASE.

Linux sanal makinesinde NTP (ağ zaman Protokolü) ayarlarını yapılandırmaConfigure the NTP (Network Time Protocol) settings on the Linux virtual machine

Ubuntu VM 'nizin tarih ve saati, yönetilen etki alanı ile eşitlenmelidir.The date and time of your Ubuntu VM must synchronize with the managed domain. Yönetilen etki alanının NTP ana bilgisayar adını/etc/NTP.conf dosyasına ekleyin.Add your managed domain's NTP hostname in the /etc/ntp.conf file.

sudo vi /etc/ntp.conf

NTP. conf dosyasında aşağıdaki değeri girin ve dosyayı kaydedin:In the ntp.conf file, enter the following value and save the file:

server contoso.com

Burada, ' contoso.com ', yönetilen etki alanının DNS etki alanı adıdır.Here, 'contoso.com' is the DNS domain name of your managed domain.

Şimdi, Ubuntu VM 'sinin tarih ve saatini NTP sunucusu ile eşitleyin ve ardından NTP hizmetini başlatın:Now sync the Ubuntu VM's date and time with NTP server and then start the NTP service:

sudo systemctl stop ntp
sudo ntpdate contoso.com
sudo systemctl start ntp

Linux sanal makinesini yönetilen etki alanına ekleyinJoin the Linux virtual machine to the managed domain

Artık gerekli paketler Linux sanal makinesinde yüklü olduğuna göre, bir sonraki görev sanal makineyi yönetilen etki alanına katabilir.Now that the required packages are installed on the Linux virtual machine, the next task is to join the virtual machine to the managed domain.

  1. AAD etki alanı Hizmetleri tarafından yönetilen etki alanını bulun.Discover the AAD Domain Services managed domain. SSH terminalinizde aşağıdaki komutu yazın:In your SSH terminal, type the following command:

    sudo realm discover CONTOSO.COM
    

    Not

    Sorunu Bölge bulma , yönetilen etki alanınızı bulamazsa:Troubleshooting: If realm discover is unable to find your managed domain:

    • Etki alanının sanal makineden ulaşılabilir olduğundan emin olun (PING komutunu deneyin).Ensure that the domain is reachable from the virtual machine (try ping).
    • Sanal makinenin, yönetilen etki alanının kullanılabildiği aynı sanal ağa gerçekten dağıtılıp dağıtılmadığını denetleyin.Check that the virtual machine has indeed been deployed to the same virtual network in which the managed domain is available.
    • Sanal ağın DNS sunucusu ayarlarını, yönetilen etki alanının etki alanı denetleyicilerini işaret etmek üzere güncelleştirmiş olup olmadığını denetleyin.Check to see if you have updated the DNS server settings for the virtual network to point to the domain controllers of the managed domain.
  2. Kerberos başlatın.Initialize Kerberos. SSH terminalinizde aşağıdaki komutu yazın:In your SSH terminal, type the following command:

    İpucu

    kinit bob@CONTOSO.COM
    
  3. Makineyi etki alanına ekleyin.Join the machine to the domain. SSH terminalinizde aşağıdaki komutu yazın:In your SSH terminal, type the following command:

    İpucu

    Önceki adımda belirttiğiniz kullanıcı hesabını kullanın (' kinit ').Use the same user account you specified in the preceding step ('kinit').

    VM 'niz etki alanına katılamediğinde, VM 'nin ağ güvenlik grubunun TCP + UDP bağlantı noktası 464 üzerinde giden Kerberos trafiğinin Azure AD DS yönetilen etki alanınıza yönelik sanal ağ alt ağına izin verdiğinden emin olun.If your VM is unable to join the domain, make sure that the VM's network security group allows outbound Kerberos traffic on TCP + UDP port 464 to the virtual network subnet for your Azure AD DS managed domain.

    sudo realm join --verbose CONTOSO.COM -U 'bob@CONTOSO.COM' --install=/
    

Makine yönetilen etki alanına başarıyla katıldığında bir ileti ("makinenin bölgeye başarıyla kaydedildi") almanız gerekir.You should get a message ("Successfully enrolled machine in realm") when the machine is successfully joined to the managed domain.

SSSD yapılandırmasını güncelleştirin ve hizmeti yeniden başlatınUpdate the SSSD configuration and restart the service

  1. SSH terminalinizde aşağıdaki komutu yazın.In your SSH terminal, type the following command. Sssd. conf dosyasını açın ve aşağıdaki değişikliği yapınOpen the sssd.conf file and make the following change

    sudo vi /etc/sssd/sssd.conf
    
  2. Line use_fully_qualified_names = true olarak açıklama ekleyin ve dosyayı kaydedin.Comment out the line use_fully_qualified_names = True and save the file.

    # use_fully_qualified_names = True
    
  3. SSSD hizmetini yeniden başlatın.Restart the SSSD service.

    sudo service sssd restart
    

Otomatik Ana Dizin oluşturmayı yapılandırmaConfigure automatic home directory creation

Kullanıcı oturum açtıktan sonra ana dizinin otomatik olarak oluşturulmasını etkinleştirmek için, PuTTY terminalinize aşağıdaki komutları yazın:To enable automatic creation of the home directory after signing in users, type the following commands in your PuTTY terminal:

sudo vi /etc/pam.d/common-session

Aşağıdaki satırı bu dosyaya satır ' oturumu isteğe bağlı pam_sss. so ' altına ekleyin ve kaydedin:Add the following line in this file below the line 'session optional pam_sss.so' and save it:

session required pam_mkhomedir.so skel=/etc/skel/ umask=0077

Etki alanına katılımı doğrulaVerify domain join

Makinenin yönetilen etki alanına başarıyla katılıp katılmadığını doğrulayın.Verify whether the machine has been successfully joined to the managed domain. Farklı bir SSH bağlantısı kullanarak etki alanına katılmış Ubuntu VM 'sine bağlanın.Connect to the domain joined Ubuntu VM using a different SSH connection. Bir etki alanı kullanıcı hesabı kullanın ve ardından Kullanıcı hesabının doğru çözümlenmiş olup olmadığını kontrol edin.Use a domain user account and then check to see if the user account is resolved correctly.

  1. SSH terminalinizde, SSH kullanarak etki alanına katılmış Ubuntu sanal makinesine bağlanmak için aşağıdaki komutu yazın.In your SSH terminal, type the following command to connect to the domain joined Ubuntu virtual machine using SSH. Yönetilen etki alanına ait bir etki alanı hesabı kullanın (örneğin, bu durumda 'bob@CONTOSO.COM').)Use a domain account that belongs to the managed domain (for example, 'bob@CONTOSO.COM' in this case.)

    ssh -l bob@CONTOSO.COM contoso-ubuntu.contoso.com
    
  2. SSH terminalinizde, giriş dizininin doğru şekilde başlatılmış olup olmadığını görmek için aşağıdaki komutu yazın.In your SSH terminal, type the following command to see if the home directory was initialized correctly.

    pwd
    
  3. SSH terminalinizde, grup üyeliklerinin doğru çözümlenip çözümlenmediğini görmek için aşağıdaki komutu yazın.In your SSH terminal, type the following command to see if the group memberships are being resolved correctly.

    id
    

' AAD DC yöneticileri ' Grup sudo ayrıcalıklarına izin vermeGrant the 'AAD DC Administrators' group sudo privileges

Ubuntu VM 'de ' AAD DC Administrators ' grubu yönetici ayrıcalıklarının üyelerine izin verebilirsiniz.You can grant members of the 'AAD DC Administrators' group administrative privileges on the Ubuntu VM. Sudo dosyası/etc/sudoerskonumunda bulunur.The sudo file is located at /etc/sudoers. Sudoers 'a eklenen AD gruplarının üyeleri sudo yapabilir.The members of AD groups added in sudoers can perform sudo.

  1. SSH terminalinizde, süper kullanıcı ayrıcalıklarıyla oturum açtığınızdan emin olun.In your SSH terminal, ensure you are signed in with superuser privileges. VM oluştururken belirttiğiniz yerel yönetici hesabını kullanabilirsiniz.You can use the local administrator account you specified while creating the VM. Aşağıdaki komutu yürütün:Execute the following command:

    sudo vi /etc/sudoers
    
  2. Aşağıdaki girişi/etc/sudoers dosyasına ekleyin ve kaydedin:Add the following entry to the /etc/sudoers file and save it:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
    
  3. Artık ' AAD DC Administrators ' grubunun bir üyesi olarak oturum açabilir ve VM üzerinde yönetici ayrıcalıklarına sahip olmanız gerekir.You can now sign in as a member of the 'AAD DC Administrators' group and should have administrative privileges on the VM.

Etki alanına katılması sorunlarını gidermeTroubleshooting domain join

Etki alanına ekleme sorunlarını giderme makalesine bakın.Refer to the Troubleshooting domain join article.