Unión de una máquina virtual de CoreOS a un dominio administrado de Microsoft Entra Domain Services

Para que los usuarios puedan iniciar sesión en máquinas virtuales (VM) en Azure con un único conjunto de credenciales, puede unir las máquinas virtuales a un dominio administrado de Microsoft Entra Domain Services. Al unir una máquina virtual a un dominio administrado de Domain Services, se pueden usar cuentas de usuario y credenciales del dominio para iniciar sesión y administrar servidores. Las pertenencias a grupos del dominio administrado también se aplican para permitirle controlar el acceso a archivos o servicios en la máquina virtual.

En este artículo se muestra cómo unir una máquina virtual de CoreOS a un dominio administrado.

Prerrequisitos

Para completar este tutorial, necesita los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio local o un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el cliente de Microsoft Entra.
  • Si es necesario, el primer tutorial crea y configura un dominio administrado de Microsoft Entra Domain Services.
• Una cuenta de usuario que forma parte del dominio administrado.
• Nombres de máquina virtual Linux únicos que tienen un máximo de 15 caracteres para evitar nombres truncados que podrían provocar conflictos en Active Directory.

Creación y conexión a una máquina virtual Linux de CoreOS

Si tiene una máquina virtual Linux de CoreOS existente en Azure, conéctese a ella mediante SSH y continúe con el paso siguiente para empezar a configurar la máquina virtual.

Si necesita crear una máquina virtual Linux de CoreOS o desea crear una máquina virtual de prueba para usarla con este artículo, puede usar uno de los métodos siguientes:

• Centro de administración de Microsoft Entra
• Azure CLI
• Azure PowerShell

Al crear la máquina virtual, preste atención a la configuración de red virtual para asegurarse de que la máquina virtual puede comunicarse con el dominio administrado:

• Implemente la máquina virtual en la misma red virtual, o en otra emparejada, en la que haya habilitado Microsoft Entra Domain Services.
• Implemente la VM en una subred diferente a la del dominio administrado de Microsoft Entra Domain Services.

Una vez implementada la máquina virtual, siga los pasos para conectarse a la máquina virtual mediante SSH.

Configuración del archivo de hosts

Para asegurarse de que el nombre de host de la máquina virtual está configurado correctamente para el dominio administrado, edite el archivo /etc/hosts y establezca el nombre de host:

sudo vi /etc/hosts

En el archivo hosts, actualice la dirección localhost. En el ejemplo siguiente:

• aaddscontoso.com es el nombre de dominio DNS del dominio administrado.
• coreos es el nombre de host de la máquina virtual de CoreOS que estás uniendo al dominio administrado.

Actualice estos nombres con sus propios valores:

127.0.0.1 coreos coreos.aaddscontoso.com

Cuando haya terminado, guarde y salga del archivo hosts mediante el comando :wq del editor.

Configuración del servicio SSSD

Actualice la configuración de SSSD /etc/sssd/sssd.conf .

sudo vi /etc/sssd/sssd.conf

Especifique su propio nombre de dominio administrado para los parámetros siguientes:

• domains con TODAS LAS LETRAS EN MAYÚSCULAS
• [domain/AADDSCONTOSO] donde AADDSCONTOSO tiene TODAS LAS LETRAS EN MAYÚSCULAS
• ldap_uri
• ldap_search_base
• krb5_server
• krb5_realm con TODAS LAS LETRAS EN MAYÚSCULAS

[sssd]
config_file_version = 2
services = nss, pam
domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO]
id_provider = ad
auth_provider = ad
chpass_provider = ad

ldap_uri = ldap://aaddscontoso.com
ldap_search_base = dc=aaddscontoso,dc=com
ldap_schema = rfc2307bis
ldap_sasl_mech = GSSAPI
ldap_user_object_class = user
ldap_group_object_class = group
ldap_user_home_directory = unixHomeDirectory
ldap_user_principal = userPrincipalName
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true
fallback_homedir = /home/%d/%u

krb5_server = aaddscontoso.com
krb5_realm = AADDSCONTOSO.COM

Unión de la máquina virtual al dominio administrado

Con el archivo de configuración SSSD actualizado, ahora una la máquina virtual al dominio administrado.

1. En primer lugar, use el adcli info comando para comprobar que puede ver información sobre el dominio administrado. En el ejemplo siguiente se obtiene información del dominio AADDSCONTOSO.COM. Especifique su propio nombre de dominio administrado CON TODAS LAS LETRAS EN MAYÚSCULAS:

   sudo adcli info AADDSCONTOSO.COM
   

   Si el comando adcli info no encuentra el dominio administrado, revise los pasos de solución de problemas siguientes:

   • Asegúrese de que el dominio es accesible desde la máquina virtual. Pruebe ping aaddscontoso.com para ver si se devuelve una respuesta positiva.
   • Compruebe que la máquina virtual está implementada en la misma red virtual emparejada en la que el dominio administrado está disponible.
   • Confirme que la configuración del servidor DNS para la red virtual se ha actualizado para que apunte a los controladores de dominio del dominio administrado.

2. Ahora, una la máquina virtual al dominio administrado mediante el adcli join comando . Especifique un usuario que forme parte del dominio administrado. Si es necesario, agregue una cuenta de usuario a un grupo en Microsoft Entra ID.

   De nuevo, el nombre de dominio administrado debe escribirse en ALL UPPERCASE. En el ejemplo siguiente, la cuenta denominada contosoadmin@aaddscontoso.com se usa para inicializar Kerberos. Introduzca su cuenta de usuario que esté dentro del dominio administrado.

   sudo adcli join -D AADDSCONTOSO.COM -U contosoadmin@AADDSCONTOSO.COM -K /etc/krb5.keytab -H coreos.aaddscontoso.com -N coreos
   

   El adcli join comando no devuelve ninguna información cuando la máquina virtual se ha unido correctamente al dominio administrado.

3. Para aplicar la configuración de unión a un dominio, inicie el servicio SSSD:

   sudo systemctl start sssd.service
   

Inicio de sesión en la máquina virtual mediante una cuenta de dominio

Para comprobar que la máquina virtual se ha unido correctamente al dominio administrado, inicie una nueva conexión SSH mediante una cuenta de usuario de dominio. Confirme que se ha creado un directorio principal y que se aplica la pertenencia a grupos del dominio.

1. Cree una nueva conexión SSH desde la consola. Use una cuenta de dominio que pertenezca al dominio administrado mediante el ssh -l comando , como contosoadmin@aaddscontoso.com y escriba la dirección de la máquina virtual, como coreos.aaddscontoso.com. Si usa Azure Cloud Shell, use la dirección IP pública de la máquina virtual en lugar del nombre DNS interno.

   ssh -l contosoadmin@AADDSCONTOSO.com coreos.aaddscontoso.com
   

2. Ahora compruebe que las pertenencias a grupos se están resolviendo correctamente:

   id
   

   Debería ver sus membresías de grupo desde el dominio administrado.

Pasos siguientes

Si tiene problemas para conectar la VM al dominio administrado o al iniciar sesión con una cuenta de dominio, consulte Solución de problemas de unión al dominio.