Etki Alanı Ubuntu Linux yönetilen bir etki alanına Azure Active Directory sanal makineye katılma

Kullanıcıların tek bir kimlik bilgileri kümesi kullanarak Azure'daki sanal makinelerde (VM) oturum açmasına izin verme, VM'leri Azure Active Directory Domain Services (Azure AD DS) ile yönetilen bir etki alanına katabilirsiniz. Vm'yi yönetilen bir Azure AD DS etki alanına katıyorsanız, sunucularda oturum açma ve sunucuları yönetmek için etki alanındaki kullanıcı hesapları ve kimlik bilgileri kullanılabilir. Vm'de dosyalara veya hizmetlere erişimi denetlemenizi sağlarken yönetilen etki alanındaki grup üyelikleri de uygulanır.

Bu makalede, yönetilen bir VM'nin Ubuntu Linux etki alanına nasıl katılacağınız açıklanmıştır.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğiniz Azure Active Directory bir şirket içi dizin veya yalnızca bulut diziniyle eşitlenmiş bir kiracı.
  • Gerekirse, yeni bir Azure Active Directory oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirmeniz gerekir.
• Azure AZURE ACTIVE DIRECTORY Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı etkinleştirildi ve yapılandırıldı.
  • Gerekirse, ilk öğretici Etki Alanı Hizmetleri tarafından yönetilen bir etki Azure Active Directory oluşturur ve yapılandırıyor.
• Yönetilen etki alanının parçası olan bir kullanıcı hesabı. Kullanıcı için SAMAccountName özniteliğinin otomatik olarak yenilenmiş olduğundan emin olun. Azure AD kiracısı içinde birden çok kullanıcı hesabı aynı mailNickname özniteliğine sahipse, her kullanıcının SAMAccountName özniteliği otomatik olarak edilir. Daha fazla bilgi için, bkz. How objects and credentials are synchronized in an Azure Active Directory Domain Services managed domain.
• Active Directory'de çakışmalara neden olan adların kesilmesini önlemek için en fazla 15 karakter uzunluğunda benzersiz Linux VM adları.

Sanal makine oluşturma ve Ubuntu Linux bağlanma

Azure'da mevcut Ubuntu Linux VM'niz varsa, SSH kullanarak bu VM'ye bağlanın, ardından VM'yi yapılandırmaya başlamak için sonraki adıma geçin.

Yeni bir VM Ubuntu Linux veya bu makalede kullanmak üzere bir test VM'si oluşturmak için aşağıdaki yöntemlerden birini kullanabilirsiniz:

• Azure portalı
• Azure CLI
• Azure PowerShell

VM'yi oluşturmanın ardından sanal makinenin yönetilen etki alanıyla iletişim kura olduğundan emin olmak için sanal ağ ayarlarına dikkat edin:

• VM'yi, sanal makineyi etkinleştirmiş olduğu eşli bir sanal ağa Azure AD Domain Services.
• VM'yi yönetilen etki alanınıza göre farklı bir Azure AD Domain Services dağıtın.

VM dağıtıldıktan sonra SSH kullanarak VM'ye bağlanma adımlarını izleyin.

Hosts dosyasını yapılandırma

YÖNETILEN etki alanı için VM ana bilgisayar adının doğru yapılandırıldığından emin olmak için /etc/hosts dosyasını düzenleyin ve konak adını ayarlayın:

sudo vi /etc/hosts

Hosts dosyasında localhost adresini güncelleştirin. Aşağıdaki örnekte:

• aaddscontoso.com, yönetilen etki alanınız için DNS etki alanı adıdır.
• ubuntu, yönetilen etki alanına katıldığınız Ubuntu VM'nizin ana bilgisayar adıdır.

Bu adları kendi değerlerinize göre güncelleştirin:

127.0.0.1 ubuntu.aaddscontoso.com ubuntu

Bitirin ve düzenleyicinin komutunu kullanarak hosts :wq dosyasından çıkın.

Gerekli paketleri yükleme

VM'nin yönetilen etki alanına katılması için bazı ek paketler gerekir. Bu paketleri yüklemek ve yapılandırmak için, kullanarak etki alanına katılma araçlarını güncelleştirin ve yükleyin apt-get

Kerberos yüklemesi sırasında, krb5 kullanıcı paketi ALL UPPERCASE içinde alan adını istenir. Örneğin, yönetilen etki alanınız adı aaddscontoso.com alanı olarak AADDSCONTOSO.COM girin. Yükleme / [realm] [domain_realm] etc/krb5.conf yapılandırma dosyasında ve bölümlerini yazar. Tüm büyük harfli bir alan belirttiğinizden emin olun:

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Ağ Zamanı Protokolü'ünü (NTP) yapılandırma

Etki alanı iletişimin düzgün çalışması için Ubuntu VM'nizin tarih ve saati yönetilen etki alanıyla eşitlenmeli. Yönetilen etki alanınıza NTP ana bilgisayar adını /etc/ntp.conf dosyasına ekleyin.

1. ntp.conf dosyasını bir düzenleyici ile açın:

   sudo vi /etc/ntp.conf
   

2. ntp.conf dosyasında, yönetilen etki alanınıza DNS adını eklemek için bir satır oluşturun. Aşağıdaki örnekte, bir aaddscontoso.com eklenir. Kendi DNS adını kullanın:

   server aaddscontoso.com
   

   Bitirin ve düzenleyicinin komutunu kullanarak ntp.conf :wq dosyasından çıkın.

3. VM'nin yönetilen etki alanıyla eşitlenmiş olduğundan emin olmak için aşağıdaki adımlar gereklidir:

   • NTP sunucusunu durdurma
   • Yönetilen etki alanındaki tarih ve saati güncelleştirme
   • NTP hizmetini başlatma

   Bu adımları tamamlamak için aşağıdaki komutları çalıştırın. komutuyla kendi DNS adını ntpdate kullanın:

   sudo systemctl stop ntp
   sudo ntpdate aaddscontoso.com
   sudo systemctl start ntp
   

VM'yi yönetilen etki alanına ekleme

Gerekli paketler VM'ye yüklendikten ve NTP yapılandırıldığından, vm'yi yönetilen etki alanına katabilirsiniz.

1. Yönetilen etki realm discover alanını bulmak için komutunu kullanın. Aşağıdaki örnek, AADDSCONTOSO.COM. ALL BÜYÜK HARFle kendi yönetilen etki alanı adınızı belirtin:

   sudo realm discover AADDSCONTOSO.COM
   

   Komut realm discover yönetilen etki alanınızı bulamıyorsa aşağıdaki sorun giderme adımlarını gözden geçirebilirsiniz:

   • Etki alanının VM'den ulaşılalı olduğundan emin olun. Olumlu ping aaddscontoso.com bir yanıtın döndürül olup olamaya çalışma.
   • VM'nin yönetilen etki alanının kullanılabilir olduğu eşli bir sanal ağa dağıtıldığından emin olun.
   • Sanal ağın DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerine işaret etmek için güncelleştirilmiş olduğunu onaylayın.

2. Şimdi komutunu kullanarak Kerberos'u kinit başlatabilirsiniz. Yönetilen etki alanının parçası olan bir kullanıcı belirtin. Gerekirse, Azure AD'de bir gruba bir kullanıcı hesabı ekleyin.

   Yine, yönetilen etki alanı adı ALL BÜYÜK HARFe girilsin. Aşağıdaki örnekte, adlı hesap contosoadmin@aaddscontoso.com Kerberos'u başlatmak için kullanılır. Yönetilen etki alanının bir parçası olan kendi kullanıcı hesabını girin:

   kinit -V contosoadmin@AADDSCONTOSO.COM
   

3. Son olarak komutunu kullanarak VM'yi yönetilen etki alanına realm join katabilirsiniz. Önceki komutta belirttiğiniz yönetilen etki alanının parçası olan kullanıcı hesabını kinit kullanın, contosoadmin@AADDSCONTOSO.COM örneğin:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/
   

VM'nin yönetilen etki alanına katılması birkaç dakika sürer. Aşağıdaki örnek çıktı, VM'nin yönetilen etki alanına başarıyla katıldığını gösterir:

Successfully enrolled machine in realm

VM'niz etki alanına katılma işlemini başarıyla tamamlayamamışsa, VM'nin ağ güvenlik grubunun TCP + UDP bağlantı noktası 464 üzerinden yönetilen etki alanınız için sanal ağ alt ağına giden Kerberos trafiğine izin olduğundan emin olun.

Belirtilmeyen GSS hatası aldıysanız. Küçük kod daha fazla bilgi sağlar (Kerberos veritabanında sunucu bulunamadı) , /etc/krb5.conf dosyasını açın ve bölümüne aşağıdaki kodu ekleyin [libdefaults] ve yeniden deneyin:

rdns=false

SSSD yapılandırmasını güncelleştirme

Önceki adımda yüklü paketlerden biri Sistem Güvenlik Hizmetleri Daemon'ı (SSSD) içindi. Kullanıcı etki alanı kimlik bilgilerini kullanarak bir VM'de oturum açmaya çalıştığında, SSSD isteği bir kimlik doğrulama sağlayıcısına iletir. Bu senaryoda SSSD, isteğin kimliğini Azure AD DS kimlik doğrulaması için Azure AD DS kimlik doğrulamasını kullanır.

1. sssd.conf dosyasını bir düzenleyiciyle açın:

   sudo vi /etc/sssd/sssd.conf
   

2. Aşağıdaki gibi use_fully_qualified_names açıklama satırı yapın:

   # use_fully_qualified_names = True
   

   Bitirin ve düzenleyicinin komutunu kullanarak sssd.conf :wq dosyasından çıkın.

3. Değişikliği uygulamak için SSSD hizmetini yeniden başlatın:

   sudo systemctl restart sssd
   

Kullanıcı hesabı ve grup ayarlarını yapılandırma

VM yönetilen etki alanına katıldığında ve kimlik doğrulaması için yapılandırıldığında, tamamlanması gereken birkaç kullanıcı yapılandırma seçeneği vardır. Bu yapılandırma değişiklikleri parola tabanlı kimlik doğrulamasına izin verme ve etki alanı kullanıcıları ilk kez oturum aken yerel VM'de otomatik olarak giriş dizinleri oluşturmayı içerir.

SSH için parola kimlik doğrulamasına izin ver

Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açmasını sağlar. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına katıyorsanız, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanmaları gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.

1. Sshd_conf dosyasını bir düzenleyici ile açın:

   sudo vi /etc/ssh/sshd_config
   

2. PasswordAuthentication için satırı evet olarak güncelleştirin:

   PasswordAuthentication yes
   

   Bittiğinde, düzenleyicinin komutunu kullanarak sshd_conf dosyasını kaydedin ve bu :wq dosyadan çıkın.

3. Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin uygulamak için SSH hizmetini yeniden başlatın:

   sudo systemctl restart ssh
   

Otomatik giriş dizini oluşturma yapılandırma

Kullanıcı ilk kez oturum aken giriş dizininin otomatik olarak oluşturulmasını etkinleştirmek için aşağıdaki adımları tamamlayın:

1. /etc/pam.d/common-session dosyasını bir düzenleyicide açın:

   sudo vi /etc/pam.d/common-session
   

2. Bu dosyaya şu satırı satırın altına session optional pam_sss.so ekleyin:

   session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
   

   Bitirin ve düzenleyicinin komutunu kullanarak common-session :wq dosyasından çıkın.

'AAD DC Administrators' grubuna sudo ayrıcalıkları ver

AAD DC Administrators grubunun üyelerine Ubuntu VM'de yönetici ayrıcalıkları vermek için /etc/sudoers'a bir girdi eklersiniz. Eklendiktan sonra, AAD DC Administrators grubunun üyeleri sudo Ubuntu VM'sinde komutunu kullanabilir.

1. Düzenlemek için sudoers dosyasını açın:

   sudo visudo
   

2. /etc/sudoers dosyasının sonuna aşağıdaki girdiyi ekleyin:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
   

   Bittiğinde, komutunu kullanarak düzenleyiciyi kaydedin ve düzenleyiciden Ctrl-X çıkın.

Etki alanı hesabı kullanarak VM'de oturum açma

VM'nin yönetilen etki alanına başarıyla katıldığını doğrulamak için bir etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatabilirsiniz. Bir giriş dizininin oluşturularak etki alanındaki grup üyeliğinin uygulandığını onaylayın.

1. Konsolunuzu kullanarak yeni bir SSH bağlantısı oluşturun. gibi komutunu kullanarak yönetilen etki alanına ait bir etki alanı hesabı kullanın ve ardından vm'nizin adresini ssh -l contosoadmin@aaddscontoso.com (örneğin, ubuntu.aaddscontoso.com. Sanal makineyi Azure Cloud Shell, iç DNS adı yerine VM'nin genel IP adresini kullanın.

   ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com
   

2. VM'ye başarıyla bağlandıktan sonra giriş dizininin doğru başlatılmış olduğunu doğrulayın:

   pwd
   

   Kullanıcı hesabıyla eşleşen kendi dizininizin olduğu /home dizininde yer alasınız.

3. Şimdi grup üyeliklerin doğru çözümlenmiş olup olmadığını denetleyin:

   id
   

   Yönetilen etki alanındaki grup üyeliklerinizi görüyor olun.

4. VM'de AAD DC Administrators grubunun üyesi olarak oturum açıldıysa, komutunu doğru şekilde kullanabileceğinizden emin sudo olun:

   sudo apt-get update
   

Sonraki adımlar

VM'yi yönetilen etki alanına bağlama veya bir etki alanı hesabıyla oturum açma sorunlarıyla ilgili sorunlarınız varsa bkz. Etki alanına katılma sorunlarını giderme.