Připojení virtuálního počítače s Red Hat Enterprise Linuxem ke spravované doméně Azure Active Directory Domain Services

Pokud chcete uživatelům umožnit přihlašování k virtuálním počítačům v Azure pomocí jedné sady přihlašovacích údajů, můžete virtuální počítače připojit k spravované doméně Azure Active Directory Domain Services (Azure AD DS). Když připojíte virtuální počítač ke spravované doméně Azure AD DS, můžete k přihlašování a správě serverů používat uživatelské účty a přihlašovací údaje z této domény. Členství ve skupinách ze spravované domény slouží také k řízení přístupu k souborům nebo službám na virtuálním počítači.

V tomto článku se dozvíte, jak připojit virtuální počítač s Red Hat Enterprise Linuxem (RHEL) ke spravované doméně.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

Vytvoření virtuálního počítače RHEL s Linuxem a připojení k němu

Pokud máte v Azure existující virtuální počítač RHEL s Linuxem, připojte se k němu pomocí SSH a pak pokračujte dalším krokem a začněte virtuální počítač konfigurovat.

Pokud potřebujete vytvořit virtuální počítač RHEL s Linuxem nebo chcete vytvořit testovací virtuální počítač pro použití s tímto článkem, můžete použít jednu z následujících metod:

Při vytváření virtuálního počítače věnujte pozornost nastavení virtuální sítě, abyste měli jistotu, že virtuální počítač může komunikovat se spravovanou doménou:

  • Nasaďte virtuální počítač do stejné nebo partnerské virtuální sítě, ve které jste povolili Azure AD Domain Services.
  • Nasaďte virtuální počítač do jiné podsítě, než je vaše spravovaná doména Azure AD Domain Services.

Po nasazení virtuálního počítače se podle pokynů připojte k virtuálnímu počítači pomocí SSH.

Konfigurace souboru hostitelů

Pokud se chcete ujistit, že je název hostitele virtuálního počítače pro spravovanou doménu správně nakonfigurovaný, upravte soubor /etc/hosts a nastavte název hostitele:

sudo vi /etc/hosts

V souboru hosts aktualizujte adresu localhost . V následujícím příkladu:

  • aaddscontoso.com je název domény DNS vaší spravované domény.
  • rhel je název hostitele virtuálního počítače RHEL, který připojujete ke spravované doméně.

Aktualizujte tyto názvy vlastními hodnotami:

127.0.0.1 rhel rhel.aaddscontoso.com

Po dokončení uložte a ukončete soubor hosts pomocí :wq příkazu editoru.

Instalace požadovaných balíčků

Virtuální počítač potřebuje další balíčky pro připojení virtuálního počítače ke spravované doméně. Pokud chcete tyto balíčky nainstalovat a nakonfigurovat, aktualizujte a nainstalujte nástroje pro připojení k doméně pomocí .yum Mezi RHEL 7.x a RHEL 6.x existují určité rozdíly, proto ve zbývajících částech tohoto článku použijte odpovídající příkazy pro vaši verzi distribuce.

RHEL 7

sudo yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

RHEL 6

sudo yum install adcli sssd authconfig krb5-workstation

Připojení virtuálního počítače ke spravované doméně

Teď, když jsou na virtuálním počítači nainstalované požadované balíčky, připojte virtuální počítač ke spravované doméně. Znovu použijte příslušné kroky pro vaši verzi distribuce RHEL.

RHEL 7

  1. realm discover Ke zjištění spravované domény použijte příkaz . Následující příklad zjistí sféru AADDSCONTOSO.COM. Zadejte vlastní název spravované domény do pole VŠECHNA VELKÁ PÍSMENA:

    sudo realm discover AADDSCONTOSO.COM
    

    realm discover Pokud příkaz nemůže najít vaši spravovanou doménu, projděte si následující postup řešení potíží:

    • Ujistěte se, že je doména dostupná z virtuálního počítače. Zkuste ping aaddscontoso.com zjistit, jestli se vrátí kladná odpověď.
    • Zkontrolujte, že je virtuální počítač nasazený ve stejné nebo partnerské virtuální síti, ve které je k dispozici spravovaná doména.
    • Ověřte, že se nastavení serveru DNS pro virtuální síť aktualizovalo tak, aby odkazovalo na řadiče domény spravované domény.
  2. Teď inicializujte kerberos pomocí kinit příkazu . Zadejte uživatele, který je součástí spravované domény. V případě potřeby přidejte uživatelský účet do skupiny v Azure AD.

    Znovu platí, že název spravované domény musí být zadán jako VŠECHNA VELKÁ PÍSMENA. V následujícím příkladu se k inicializaci protokolu Kerberos používá účet s názvem contosoadmin@aaddscontoso.com . Zadejte vlastní uživatelský účet, který je součástí spravované domény:

    kinit contosoadmin@AADDSCONTOSO.COM
    
  3. Nakonec pomocí příkazu připojte virtuální počítač ke spravované doméně realm join . Použijte stejný uživatelský účet, který je součástí spravované domény, kterou jste zadali v předchozím kinit příkazu, například contosoadmin@AADDSCONTOSO.COM:

    sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM'
    

Připojení virtuálního počítače ke spravované doméně chvíli trvá. Následující příklad výstupu ukazuje, že se virtuální počítač úspěšně připojil ke spravované doméně:

Successfully enrolled machine in realm

RHEL 6

  1. adcli info Ke zjištění spravované domény použijte příkaz . Následující příklad zjistí sféru ADDDSCONTOSO.COM. Zadejte vlastní název spravované domény do pole VŠECHNA VELKÁ PÍSMENA:

    sudo adcli info aaddscontoso.com
    

    adcli info Pokud příkaz nemůže najít vaši spravovanou doménu, projděte si následující postup řešení potíží:

    • Ujistěte se, že je doména dostupná z virtuálního počítače. Zkuste ping aaddscontoso.com zjistit, jestli se vrátí kladná odpověď.
    • Zkontrolujte, že je virtuální počítač nasazený ve stejné nebo partnerské virtuální síti, ve které je k dispozici spravovaná doména.
    • Ověřte, že se nastavení serveru DNS pro virtuální síť aktualizovalo tak, aby odkazovalo na řadiče domény spravované domény.
  2. Nejprve se pomocí adcli join příkazu připojte k doméně. Tento příkaz vytvoří také kartu klíčů pro ověření počítače. Použijte uživatelský účet, který je součástí spravované domény.

    sudo adcli join aaddscontoso.com -U contosoadmin
    
  3. Teď nakonfigurujte /ect/krb5.conf a vytvořte soubory tak /etc/sssd/sssd.conf , aby používaly aaddscontoso.com doménu služby Active Directory. Ujistěte se, že AADDSCONTOSO.COM je nahrazený vlastním názvem domény:

    /ect/krb5.conf Otevřete soubor v editoru:

    sudo vi /etc/krb5.conf
    

    krb5.conf Aktualizujte soubor tak, aby odpovídal následující ukázce:

    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log
    
    [libdefaults]
     default_realm = AADDSCONTOSO.COM
     dns_lookup_realm = true
     dns_lookup_kdc = true
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
    
    [realms]
     AADDSCONTOSO.COM = {
     kdc = AADDSCONTOSO.COM
     admin_server = AADDSCONTOSO.COM
     }
    
    [domain_realm]
     .AADDSCONTOSO.COM = AADDSCONTOSO.COM
     AADDSCONTOSO.COM = AADDSCONTOSO.COM
    

    /etc/sssd/sssd.conf Vytvořte soubor:

    sudo vi /etc/sssd/sssd.conf
    

    sssd.conf Aktualizujte soubor tak, aby odpovídal následující ukázce:

    [sssd]
     services = nss, pam, ssh, autofs
     config_file_version = 2
     domains = AADDSCONTOSO.COM
    
    [domain/AADDSCONTOSO.COM]
    
     id_provider = ad
    
  4. Ujistěte se, že /etc/sssd/sssd.conf oprávnění jsou 600 a vlastní je uživatel root:

    sudo chmod 600 /etc/sssd/sssd.conf
    sudo chown root:root /etc/sssd/sssd.conf
    
  5. Použijte authconfig k instrukci virtuálního počítače o integraci AD Linux:

    sudo authconfig --enablesssd --enablesssdauth --update
    
  6. Spusťte a povolte službu Sssd:

    sudo service sssd start
    sudo chkconfig sssd on
    

Pokud váš virtuální počítač nemůže úspěšně dokončit proces připojení k doméně, ujistěte se, že skupina zabezpečení sítě virtuálního počítače umožňuje odchozí provoz protokolu Kerberos na portu TCP + UDP 464 do podsítě virtuální sítě pro vaši spravovanou doménu.

Teď zkontrolujte, jestli se můžete dotazovat na informace služby AD uživatele pomocí getent

sudo getent passwd contosoadmin

Povolit ověřování heslem pro SSH

Ve výchozím nastavení se uživatelé můžou k virtuálnímu počítači přihlašovat jenom pomocí ověřování na základě veřejného klíče SSH. Ověřování založené na heslech se nezdaří. Když virtuální počítač připojíte ke spravované doméně, musí tyto doménové účty používat ověřování pomocí hesla. Následujícím způsobem aktualizujte konfiguraci SSH tak, aby umožňovala ověřování pomocí hesla.

  1. Otevřete soubor sshd_conf v editoru:

    sudo vi /etc/ssh/sshd_config
    
  2. Aktualizujte řádek pro PasswordAuthentication na ano:

    PasswordAuthentication yes
    

    Po dokončení uložte soubor sshd_conf a ukončete ho :wq příkazem editoru.

  3. Pokud chcete použít změny a umožnit uživatelům přihlásit se pomocí hesla, restartujte službu SSH pro vaši verzi distribuce RHEL:

    RHEL 7

    sudo systemctl restart sshd
    

    RHEL 6

    sudo service sshd restart
    

Udělení oprávnění sudo skupině Správci řadiče domény AAD

Pokud chcete členům skupiny AAD DC Administrators udělit oprávnění správce na virtuálním počítači RHEL, přidejte položku do /etc/sudoers. Po přidání můžou členové skupiny AAD DC Administrators použít sudo příkaz na virtuálním počítači RHEL.

  1. Otevřete soubor sudoers pro úpravy:

    sudo visudo
    
  2. Na konec souboru /etc/sudoers přidejte následující položku. Skupina AAD DC Administrators obsahuje v názvu prázdné znaky, takže do názvu skupiny zahrňte řídicí znak zpětného lomítka. Přidejte vlastní název domény, například aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
    

    Až budete hotovi, uložte a ukončete editor pomocí :wq příkazu editoru.

Přihlášení k virtuálnímu počítači pomocí účtu domény

Pokud chcete ověřit, že se virtuální počítač úspěšně připojil ke spravované doméně, spusťte nové připojení SSH pomocí uživatelského účtu domény. Ověřte, že byl vytvořen domovský adresář a že se používá členství ve skupině z domény.

  1. Vytvořte nové připojení SSH z konzoly. Pomocí příkazu použijte účet domény, který patří do spravované domény ssh -l , například contosoadmin@aaddscontoso.com a pak zadejte adresu virtuálního počítače, například rhel.aaddscontoso.com. Pokud používáte azure Cloud Shell, použijte místo interního názvu DNS veřejnou IP adresu virtuálního počítače.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
    
  2. Po úspěšném připojení k virtuálnímu počítači ověřte, že se domovský adresář správně inicializoval:

    pwd
    

    Měli byste být v adresáři /home s vlastním adresářem, který odpovídá uživatelskému účtu.

  3. Teď zkontrolujte, jestli se správně řeší členství ve skupinách:

    id
    

    Měli byste vidět členství ve skupině ze spravované domény.

  4. Pokud jste se k virtuálnímu počítači přihlásili jako člen skupiny AAD DC Administrators , zkontrolujte, jestli můžete správně použít sudo příkaz:

    sudo yum update
    

Další kroky

Pokud máte problémy s připojením virtuálního počítače ke spravované doméně nebo s přihlášením pomocí účtu domény, přečtěte si téma Řešení potíží s připojením k doméně.