Připojení virtuálního počítače Red Hat Enterprise Linux ke spravované doméně služby Microsoft Entra Domain Services

Pokud chcete uživatelům umožnit přihlášení k virtuálním počítačům v Azure pomocí jedné sady přihlašovacích údajů, můžete virtuální počítače připojit ke spravované doméně Microsoft Entra Domain Services. Když připojíte virtuální počítač ke spravované doméně služby Domain Services, dají se k přihlášení a správě serverů použít uživatelské účty a přihlašovací údaje z domény. Členství ve skupinách ze spravované domény se také použije, abyste mohli řídit přístup k souborům nebo službám na virtuálním počítači.

V tomto článku se dozvíte, jak se připojit k virtuálnímu počítači s Red Hat Enterprise Linuxem (RHEL) ke spravované doméně.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby první kurz vytvoří a nakonfiguruje spravovanou doménu služby Microsoft Entra Domain Services.
• Uživatelský účet, který je součástí spravované domény.
• Jedinečné názvy virtuálních počítačů s Linuxem, které mají maximálně 15 znaků, aby nedocházelo ke zkrácení názvů, které by mohly způsobit konflikty ve službě Active Directory.

Vytvoření a připojení k virtuálnímu počítači RHEL s Linuxem

Pokud máte v Azure existující virtuální počítač RHEL s Linuxem, připojte se k němu pomocí SSH a pokračujte dalším krokem a začněte konfigurovat virtuální počítač.

Pokud potřebujete vytvořit virtuální počítač RHEL s Linuxem nebo chcete vytvořit testovací virtuální počítač pro použití s tímto článkem, můžete použít jednu z následujících metod:

• Centrum pro správu Microsoft Entra
• Azure CLI
• Azure PowerShell

Při vytváření virtuálního počítače věnujte pozornost nastavení virtuální sítě, abyste měli jistotu, že virtuální počítač může komunikovat se spravovanou doménou:

• Nasaďte virtuální počítač do stejné nebo partnerské virtuální sítě, ve které jste povolili službu Microsoft Entra Domain Services.
• Nasaďte virtuální počítač do jiné podsítě, než je spravovaná doména Microsoft Entra Domain Services.

Po nasazení virtuálního počítače se pomocí SSH připojte k virtuálnímu počítači podle pokynů.

Konfigurace souboru hostitelů

Pokud chcete zajistit, aby byl název hostitele virtuálního počítače správně nakonfigurovaný pro spravovanou doménu, upravte soubor /etc/hosts a nastavte název hostitele:

sudo vi /etc/hosts

V souboru hostitelů aktualizujte adresu místního hostitele. V následujícím příkladu:

• aaddscontoso.com je název domény DNS vaší spravované domény.
• rhel je název hostitele virtuálního počítače RHEL, ke kterému se připojujete ke spravované doméně.

Aktualizujte tyto názvy vlastními hodnotami:

127.0.0.1 rhel rhel.aaddscontoso.com

Po dokončení uložte a ukončete soubor hosts pomocí :wq příkazu editoru.

RHEL 6

Důležité

Mějte na úvahu Red Hat Enterprise Linux 6.X a Oracle Linux 6.x je již EOL. RHEL 6.10 má k dispozici podporu ELS, která skončí 6. 6. 2024.

Instalace požadovaných balíčků

Virtuální počítač potřebuje k připojení virtuálního počítače ke spravované doméně několik dalších balíčků. Chcete-li nainstalovat a nakonfigurovat tyto balíčky, aktualizujte a nainstalujte nástroje pro připojení k doméně pomocí yumnástroje .

sudo yum install adcli sssd authconfig krb5-workstation

Připojení virtuálního počítače ke spravované doméně

Teď, když jsou na virtuálním počítači nainstalované požadované balíčky, připojte virtuální počítač ke spravované doméně.

1. adcli info Pomocí příkazu zjistěte spravovanou doménu. Následující příklad zjistí ADDDSCONTOSO.COM sféry. Zadejte vlastní spravovaný název domény ve všech velkých písmenech:

   sudo adcli info aaddscontoso.com
   

   Pokud příkaz adcli info nemůže najít vaši spravovanou doménu, projděte si následující kroky pro řešení potíží:

   • Ujistěte se, že je doména dostupná z virtuálního počítače. Zkuste ping aaddscontoso.com zjistit, jestli se vrátí kladná odpověď.
   • Zkontrolujte, jestli je virtuální počítač nasazený do stejné nebo partnerské virtuální sítě, ve které je spravovaná doména dostupná.
   • Ověřte, že nastavení serveru DNS pro virtuální síť bylo aktualizováno tak, aby odkazovalo na řadiče domény spravované domény.

2. Nejprve připojte doménu pomocí adcli join příkazu, tento příkaz také vytvoří klávesovou zkratku pro ověření počítače. Použijte uživatelský účet, který je součástí spravované domény.

   sudo adcli join aaddscontoso.com -U contosoadmin
   

3. Teď nakonfigurujte /ect/krb5.conf a vytvořte /etc/sssd/sssd.conf soubory tak, aby používaly aaddscontoso.com doménu služby Active Directory. Ujistěte se, že AADDSCONTOSO.COM je nahrazený vlastním názvem domény:

   /etc/krb5.conf Otevřete soubor v editoru:

   sudo vi /etc/krb5.conf
   

   krb5.conf Aktualizujte soubor tak, aby odpovídal následujícímu příkladu:

   [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
   
   [libdefaults]
    default_realm = AADDSCONTOSO.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
   
   [realms]
    AADDSCONTOSO.COM = {
    kdc = AADDSCONTOSO.COM
    admin_server = AADDSCONTOSO.COM
    }
   
   [domain_realm]
    .AADDSCONTOSO.COM = AADDSCONTOSO.COM
    AADDSCONTOSO.COM = AADDSCONTOSO.COM
   

   /etc/sssd/sssd.conf Vytvořte soubor:

   sudo vi /etc/sssd/sssd.conf
   

   sssd.conf Aktualizujte soubor tak, aby odpovídal následujícímu příkladu:

   [sssd]
    services = nss, pam, ssh, autofs
    config_file_version = 2
    domains = AADDSCONTOSO.COM
   
   [domain/AADDSCONTOSO.COM]
   
    id_provider = ad
   

4. Ujistěte se, že /etc/sssd/sssd.conf oprávnění jsou 600 a vlastní uživatel kořenového uživatele:

   sudo chmod 600 /etc/sssd/sssd.conf
   sudo chown root:root /etc/sssd/sssd.conf
   

5. Použijte authconfig k pokynu virtuálnímu počítači o integraci AD s Linuxem:

   sudo authconfig --enablesssd --enablesssd auth --update
   

6. Spusťte a povolte službu sssd:

   sudo service sssd start
   sudo chkconfig sssd on
   

Pokud váš virtuální počítač nemůže úspěšně dokončit proces připojení k doméně, ujistěte se, že skupina zabezpečení sítě virtuálního počítače umožňuje odchozí provoz Kerberos na portu TCP + UDP 464 do podsítě virtuální sítě pro vaši spravovanou doménu.

Teď pomocí příkazu zkontrolujte, jestli se můžete dotazovat na informace o službě AD uživatele. getent

sudo getent passwd contosoadmin

Povolit ověřování heslem pro SSH

Ve výchozím nastavení se uživatelé můžou k virtuálnímu počítači přihlásit jenom pomocí ověřování založeného na veřejném klíči SSH. Ověřování založené na heslech selže. Když připojíte virtuální počítač ke spravované doméně, musí tyto účty domény používat ověřování založené na heslech. Aktualizujte konfiguraci SSH tak, aby povolte ověřování založené na heslech následujícím způsobem.

1. Otevřete soubor sshd_conf editorem:

   sudo vi /etc/ssh/sshd_config
   

2. Aktualizujte řádek pro passwordAuthentication na ano:

   PasswordAuthentication yes
   

   Po dokončení uložte a ukončete soubor sshd_conf pomocí :wq příkazu editoru.

3. Pokud chcete použít změny a umožnit uživatelům přihlásit se pomocí hesla, restartujte službu SSH pro vaši verzi distribuce RHEL:

   sudo service sshd restart
   

RHEL 7

Instalace požadovaných balíčků

Virtuální počítač potřebuje k připojení virtuálního počítače ke spravované doméně několik dalších balíčků. Chcete-li nainstalovat a nakonfigurovat tyto balíčky, aktualizujte a nainstalujte nástroje pro připojení k doméně pomocí yumnástroje .

sudo yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

Připojení virtuálního počítače ke spravované doméně

Teď, když jsou na virtuálním počítači nainstalované požadované balíčky, připojte virtuální počítač ke spravované doméně. Znovu použijte odpovídající kroky pro verzi distribuce RHEL.

1. realm discover Pomocí příkazu zjistěte spravovanou doménu. Následující příklad zjistí AADDSCONTOSO.COM sféry. Zadejte vlastní spravovaný název domény ve všech velkých písmenech:

   sudo realm discover AADDSCONTOSO.COM
   

   Pokud příkaz realm discover nemůže najít vaši spravovanou doménu, projděte si následující kroky pro řešení potíží:

   • Ujistěte se, že je doména dostupná z virtuálního počítače. Zkuste ping aaddscontoso.com zjistit, jestli se vrátí kladná odpověď.
   • Zkontrolujte, jestli je virtuální počítač nasazený do stejné nebo partnerské virtuální sítě, ve které je spravovaná doména dostupná.
   • Ověřte, že nastavení serveru DNS pro virtuální síť bylo aktualizováno tak, aby odkazovalo na řadiče domény spravované domény.

2. Teď inicializujete Kerberos pomocí kinit příkazu. Zadejte uživatele, který je součástí spravované domény. V případě potřeby přidejte uživatelský účet do skupiny v ID Microsoft Entra.

   Znovu je nutné zadat název spravované domény ve všech velkých písmenech. V následujícím příkladu se název contosoadmin@aaddscontoso.com účtu používá k inicializaci protokolu Kerberos. Zadejte vlastní uživatelský účet, který je součástí spravované domény:

   sudo kinit contosoadmin@AADDSCONTOSO.COM
   

3. Nakonec pomocí příkazu připojte virtuální počítač ke spravované doméně realm join . Použijte stejný uživatelský účet, který je součástí spravované domény, kterou jste zadali v předchozím kinit příkazu, například contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM'
   

Připojení virtuálního počítače ke spravované doméně chvíli trvá. Následující příklad výstupu ukazuje, že se virtuální počítač úspěšně připojil ke spravované doméně:

Successfully enrolled machine in realm

Povolit ověřování heslem pro SSH

Ve výchozím nastavení se uživatelé můžou k virtuálnímu počítači přihlásit jenom pomocí ověřování založeného na veřejném klíči SSH. Ověřování založené na heslech selže. Když připojíte virtuální počítač ke spravované doméně, musí tyto účty domény používat ověřování založené na heslech. Aktualizujte konfiguraci SSH tak, aby povolte ověřování založené na heslech následujícím způsobem.

1. Otevřete soubor sshd_conf editorem:

   sudo vi /etc/ssh/sshd_config
   

2. Aktualizujte řádek pro passwordAuthentication na ano:

   PasswordAuthentication yes
   

   Po dokončení uložte a ukončete soubor sshd_conf pomocí :wq příkazu editoru.

3. Pokud chcete použít změny a umožnit uživatelům přihlásit se pomocí hesla, restartujte službu SSH.

   sudo systemctl restart sshd
   

Udělení oprávnění sudo skupiny AAD DC Správa istrators

Pokud chcete členům řadiče domény AAD udělit oprávnění pro správu skupiny Správa istrators na virtuálním počítači RHEL, přidáte položku do /etc/sudoers. Po přidání můžou členové skupiny AAD DC Správa istrators použít sudo příkaz na virtuálním počítači RHEL.

1. Otevřete soubor sudoers pro úpravy:

   sudo visudo
   

2. Na konec souboru /etc/sudoers přidejte následující položku. Skupina řadičů domény AAD Správa istrators obsahuje v názvu prázdné znaky, proto do názvu skupiny zahrňte řídicí znak zpětného lomítka. Přidejte vlastní název domény, například aaddscontoso.com:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   Po dokončení uložte a ukončete editor pomocí :wq příkazu editoru.

Přihlášení k virtuálnímu počítači pomocí účtu domény

Pokud chcete ověřit, že se virtuální počítač úspěšně připojil ke spravované doméně, spusťte nové připojení SSH pomocí uživatelského účtu domény. Ověřte, že byl vytvořen domovský adresář a že se použije členství ve skupině z domény.

1. Vytvořte nové připojení SSH z konzoly. Pomocí příkazu použijte ssh -l účet domény, který patří do spravované domény, například contosoadmin@aaddscontoso.com a zadejte adresu vašeho virtuálního počítače, například rhel.aaddscontoso.com. Pokud používáte Azure Cloud Shell, použijte místo interního názvu DNS veřejnou IP adresu virtuálního počítače.

   ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
   

2. Po úspěšném připojení k virtuálnímu počítači ověřte, že se domovský adresář inicializoval správně:

   pwd
   

   Měli byste být v adresáři /home s vlastním adresářem, který odpovídá uživatelskému účtu.

3. Teď zkontrolujte, jestli se členství ve skupinách správně vyřešilo:

   id
   

   Měli byste vidět členství ve skupině ze spravované domény.

4. Pokud jste se k virtuálnímu počítači přihlásili jako člen skupiny AAD DC Správa istrators, zkontrolujte, jestli můžete příkaz správně použítsudo:

   sudo yum update
   

Další kroky

Pokud máte problémy s připojením virtuálního počítače ke spravované doméně nebo přihlášením pomocí účtu domény, přečtěte si téma Řešení potíží s připojením k doméně.