Unión de una máquina virtual SUSE Linux Enterprise a un dominio administrado de Microsoft Entra Domain Services

Para que los usuarios puedan iniciar sesión en máquinas virtuales (VM) en Azure con un único conjunto de credenciales, puede unir las máquinas virtuales a un dominio administrado de Microsoft Entra Domain Services. Al unir una máquina virtual a un dominio administrado de Domain Services, se pueden usar las cuentas de usuario y las credenciales del dominio para iniciar sesión y administrar servidores. También se aplican las pertenencias a grupos del dominio administrado para permitirle controlar el acceso a los archivos o servicios de la VM.

En este artículo se muestra cómo unir una máquina virtual SUSE Linux Enterprise (SLE) a un dominio administrado.

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

Creación y conexión a una máquina virtual SLE Linux

Si ya tiene una máquina virtual SLE Linux en Azure, conéctese a ella mediante SSH y luego continúe con el paso siguiente para empezar a configurar la máquina virtual.

Si necesita crear una máquina virtual SLE Linux o desea crear una máquina virtual de prueba para usarla con este artículo, puede utilizar uno de los métodos siguientes:

Al crear la VM, preste atención a la configuración de la red virtual para asegurarse de que la VM puede comunicarse con el dominio administrado:

  • Implemente la máquina virtual en la misma red virtual, o en otra emparejada, en la que haya habilitado Microsoft Entra Domain Services.
  • Implemente la VM en una subred diferente a la del dominio administrado de Microsoft Entra Domain Services.

Una vez implementada la máquina virtual, siga los pasos para conectarse a la máquina virtual mediante SSH.

Configuración del archivo hosts

Para asegurarse de que el nombre de host de la máquina virtual está configurado correctamente para el dominio administrado, edite el archivo /etc/hosts y establezca el nombre de host:

sudo vi /etc/hosts

En el archivo hosts, actualice la dirección localhost. En el ejemplo siguiente:

  • aaddscontoso.com es el nombre de dominio DNS del dominio administrado.
  • linux-q2gr es el nombre de host de la máquina virtual SLE que se va a unir al dominio administrado.

Actualice estos nombres con sus propios valores:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Cuando haya terminado, guarde y salga del archivo hosts mediante el comando :wq del editor.

Unión de una máquina virtual al dominio administrado mediante SSSD

Para unirse al dominio administrado mediante SSSD y el módulo User Logon Management (Administración de inicio de sesión de usuario) de YaST, complete los pasos siguientes:

  1. Instale el módulo User Logon Management (Administración de inicio de sesión de usuario) de YaST:

    sudo zypper install yast2-auth-client
    
  2. Abra YaST.

  3. Para usar correctamente la detección automática de DNS más adelante, configure las direcciones IP del dominio administrado (el servidor de Active Directory) como servidor de nombres para el cliente.

    En YaST, seleccione System > Network Settings. (Sistema > Configuración de red).

  4. Seleccione la pestaña Hostname/DNS (Nombre de host/DNS) y, a continuación, escriba las direcciones IP del dominio administrado en el cuadro de texto Name Server 1 (Servidor de nombres 1). Estas direcciones IP se muestran en la ventana Propiedades del centro de administración de Microsoft Entra para su dominio administrado, como 10.0.2.4 y 10.0.2.5.

    Agregue sus propias direcciones IP de dominio administrado y, después, seleccione Aceptar.

  5. En la ventana principal de YaST, elija Network Services>User Logon Management (Servicios de red > Administración de inicio de sesión del usuario).

    Se abre el módulo con información general que muestra las distintas propiedades de red del equipo y el método de autenticación actualmente en uso, tal como se muestra en la siguiente captura de pantalla de ejemplo:

    Example screenshot of the User Login Management window in YaST

    Para empezar la edición, seleccione Cambiar configuración.

Para unir la máquina virtual a un dominio administrado, realice los siguientes pasos:

  1. En el cuadro de diálogo, seleccione Agregar dominio.

  2. Especifique el Nombre de dominio correcto, como aaddscontoso.com y, a continuación, especifique los servicios que se usarán para la autenticación y los datos de identidad. Seleccione Microsoft Active Directory para ambos.

    Asegúrese de que la opción Enable the domain (Habilitar el dominio) está seleccionada.

  3. Cuando esté preparado, seleccione Aceptar.

  4. Acepte la configuración predeterminada en el siguiente cuadro de diálogo y, a continuación, seleccione Aceptar.

  5. La máquina virtual instala el software adicional necesario y, a continuación, comprueba si el dominio administrado está disponible.

    Si todo es correcto, se muestra el siguiente cuadro de diálogo de ejemplo para indicar que la máquina virtual ha detectado el dominio administrado, pero que Not yet enrolled (Aún no está inscrito).

    Example screenshot of the Active Directory enrollment window in YaST

  6. En el cuadro de diálogo, especifique el Nombre de usuario y Contraseña de un usuario que forme parte del dominio administrado. Si es necesario, agregue una cuenta de usuario a un grupo en Microsoft Entra ID.

    Para asegurarse de que el dominio actual está habilitado para Samba, active Overwrite Samba configuration to work with this AD (Sobrescribir la configuración de Samba para que funcione con este AD).

  7. Para inscribirse, seleccione Aceptar.

  8. Se muestra un mensaje para confirmar que se ha inscrito correctamente. Para finalizar, seleccione Aceptar.

Después de inscribir la máquina virtual en el dominio administrado, configure el cliente mediante Manage Domain User Logon (Administrar inicio de sesión de usuario de dominio), como se muestra en la siguiente captura de pantalla de ejemplo:

Example screenshot of the Manage Domain User Logon window in YaST

  1. Para permitir los inicios de sesión con los datos proporcionados por el dominio administrado, active la casilla Allow Domain User Logon (Permitir inicio de sesión de usuario de dominio).

  2. Opcionalmente, en Enable domain data source (Habilitar origen de datos de dominio), compruebe los orígenes de datos adicionales según sea necesario para su entorno. Entre estas opciones se incluyen los usuarios que pueden usar sudo o las unidades de red que están disponibles.

  3. Para permitir que los usuarios del dominio administrado tengan directorios particulares en la máquina virtual, active la casilla Create Home Directories (Crear directorios particulares).

  4. En la barra lateral, seleccione Service Options › Name switch (Opciones de servicio › Cambio de nombre) y, a continuación, Extended Options (Opciones extendidas). En esa ventana, seleccione fallback_homedir u override_homedir y, a continuación, seleccione Agregar.

  5. Especifique un valor para la ubicación del directorio particular. Para que los directorios particulares sigan el formato /home/USER_NAME, use /home/%u. Para obtener más información sobre las posibles variables, vea la página man sssd.conf (man 5 sssd.conf), sección override_homedir.

  6. Seleccione Aceptar.

  7. Seleccione Aceptar para guardar los cambios. Después, asegúrese de que los valores mostrados ahora son correctos. Para salir del cuadro de diálogo, seleccione Cancelar.

  8. Si piensa ejecutar SSSD y Winbind simultáneamente (por ejemplo, cuando se une a través de SSSD, pero después ejecuta un servidor de archivos Samba), la opción de método de Kerberos de Samba debe establecerse en secrets and keytab en smb.conf. La opción SSSD ad_update_samba_machine_account_password debe establecerse también en true en sssd.conf. Estas opciones impiden que el archivo keytab del sistema deje de estar sincronizado.

Unión de una máquina virtual al dominio administrado mediante Winbind

Para unirse al dominio administrado mediante windbind y el módulo Windows Domain Membership (Pertenencia a dominio de Windows) de YaST, complete los pasos siguientes:

  1. En YaST, seleccione Network Services > Windows Domain Membership (Servicios de red > Pertenencia a dominio de Windows).

  2. Escriba el dominio al que desea unirse en Domain or Workgroup (Dominio o grupo de trabajo) de la pantalla Windows Domain Membership (Pertenencia a dominio de Windows). Escriba el nombre de dominio administrado como, por ejemplo, aaddscontoso.com.

    Example screenshot of the Windows Domain Membership window in YaST

  3. Para usar el origen SMB para la autenticación de Linux, marque la opción Use SMB Information for Linux Authentication (Usar información de SMB para la autenticación de Linux).

  4. Para crear automáticamente un directorio particular local para los usuarios del dominio administrado en la máquina virtual, marque la opción Create Home Directory on Login (Crear directorio particular en el inicio de sesión).

  5. Marque la opción Offline Authentication (Autenticación sin conexión) para permitir que los usuarios del dominio inicien sesión, incluso si el dominio administrado no está disponible temporalmente.

  6. Si desea cambiar los rangos de UID y GID para los usuarios y grupos de Samba, seleccione Expert Settings (Configuración de experto).

  7. Configure la sincronización de la hora de NTP (protocolo de tiempo de redes) para el dominio administrado seleccionando NTP Configuration (Configuración de NTP). Escriba las direcciones IP del dominio administrado. Estas direcciones IP se muestran en la ventana Propiedades del centro de administración de Microsoft Entra para su dominio administrado, como 10.0.2.4 y 10.0.2.5.

  8. Seleccione Aceptar y confirme la unión al dominio cuando se le solicite.

  9. Proporcione la contraseña de un administrador en el dominio administrado y seleccione Aceptar.

    Example screenshot of the authentication dialog prompt when you join a SLE VM to the managed domain

Una vez que se ha unido al dominio administrado, puede iniciar sesión en él desde la estación de trabajo con el administrador de pantalla del escritorio o la consola.

Unión de una máquina virtual al dominio administrado mediante Windbind desde la interfaz de la línea de comandos de YaST

Para unirse al dominio administrado mediante windbind y la interfaz de la línea de comandos de YaST:

  • Únase al dominio:

    sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
    

Unión de una máquina virtual al dominio administrado mediante Winbind desde el terminal

Para unirse al dominio administrado mediante winbind y el comando samba net :

  1. Instale el cliente Kerberos y samba-winbind:

    sudo zypper in krb5-client samba-winbind
    
  2. Edite los archivos de configuración:

    • /etc/samba/smb.conf

      [global]
          workgroup = AADDSCONTOSO
          usershare allow guests = NO #disallow guests from sharing
          idmap config * : backend = tdb
          idmap config * : range = 1000000-1999999
          idmap config AADDSCONTOSO : backend = rid
          idmap config AADDSCONTOSO : range = 5000000-5999999
          kerberos method = secrets and keytab
          realm = AADDSCONTOSO.COM
          security = ADS
          template homedir = /home/%D/%U
          template shell = /bin/bash
          winbind offline logon = yes
          winbind refresh tickets = yes
      
    • /etc/krb5.conf

      [libdefaults]
          default_realm = AADDSCONTOSO.COM
          clockskew = 300
      [realms]
          AADDSCONTOSO.COM = {
              kdc = PDC.AADDSCONTOSO.COM
              default_domain = AADDSCONTOSO.COM
              admin_server = PDC.AADDSCONTOSO.COM
          }
      [domain_realm]
          .aaddscontoso.com = AADDSCONTOSO.COM
      [appdefaults]
          pam = {
              ticket_lifetime = 1d
              renew_lifetime = 1d
              forwardable = true
              proxiable = false
              minimum_uid = 1
          }
      
    • /etc/security/pam_winbind.conf

      [global]
          cached_login = yes
          krb5_auth = yes
          krb5_ccache_type = FILE
          warn_pwd_expire = 14
      
    • /etc/nsswitch.conf

      passwd: compat winbind
      group: compat winbind
      
  3. Compruebe que la fecha y hora de Microsoft Entra ID y Linux están sincronizadas. Para hacerlo, agregue el servidor de Microsoft Entra al servicio NTP:

    1. Agregue la línea siguiente a /etc/ntp.conf:

      server aaddscontoso.com
      
    2. Inicie el servicio NTP:

      sudo systemctl restart ntpd
      
  4. Únase al dominio:

    sudo net ads join -U Administrator%Mypassword
    
  5. Habilite winbind como origen de inicio de sesión en los módulos de autenticación conectables (PAM) de Linux:

    config pam-config --add --winbind
    
  6. Habilite la creación automática de directorios principales para que los usuarios puedan iniciar sesión:

    sudo pam-config -a --mkhomedir
    
  7. Inicie y habilite el servicio windbind:

    sudo systemctl enable winbind
    sudo systemctl start winbind
    

Permitir autenticación de contraseña para SSH

De forma predeterminada, los usuarios solo pueden iniciar sesión en una máquina virtual mediante la autenticación basada en clave pública de SSH. La autenticación basada en contraseñas produce un error. Cuando une la máquina virtual a un dominio administrado, esas cuentas de dominio deben usar la autenticación basada en contraseñas. Actualice la configuración de SSH para permitir la autenticación basada en contraseñas como se indica a continuación.

  1. Abra el archivo sshd_conf con un editor:

    sudo vi /etc/ssh/sshd_config
    
  2. Actualice la línea de PasswordAuthentication a yes (sí):

    PasswordAuthentication yes
    

    Cuando haya terminado, guarde y salga del archivo sshd_conf mediante el comando :wq del editor.

  3. Para aplicar los cambios y permitir que los usuarios inicien sesión con una contraseña, reinicie el servicio SSH:

    sudo systemctl restart sshd
    

Conceda privilegios de sudo al grupo "Administradores de controlador de dominio de AAD"

Para conceder privilegios administrativos a los miembros del grupo Administradores de controlador de dominio de AAD en la máquina virtual SLE, puede agregar una entrada a /etc/sudoers. Una vez agregada, los miembros del grupo Administradores de controlador de dominio de AAD pueden usar el comando sudo en la máquina virtual SLE.

  1. Abra el archivo sudoers para editarlo:

    sudo visudo
    
  2. Agregue la siguiente entrada al final del archivo /etc/sudoers. El grupo Administradores del controlador de dominio de AAD contiene un espacio en blanco en el nombre, por lo que debe incluir el carácter de escape de barra diagonal inversa en el nombre del grupo. Agregue su propio nombre de dominio, por ejemplo, aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
    

    Cuando haya terminado, guarde y salga del editor mediante el comando :wq.

Inicio de sesión en la máquina virtual mediante una cuenta de dominio

Para comprobar que la VM se ha unido correctamente al dominio administrado, inicie una nueva conexión SSH con una cuenta de usuario de dominio. Confirme que se ha creado un directorio particular y que se ha aplicado la pertenencia a grupos del dominio.

  1. Cree una nueva conexión SSH desde la consola. Use una cuenta de dominio que pertenezca al dominio administrado mediante el comando ssh -l como, por ejemplo, contosoadmin@aaddscontoso.com y, a continuación, escriba la dirección de la máquina virtual, por ejemplo: linux-q2gr.aaddscontoso.com. Si usa Azure Cloud Shell, use la dirección IP pública de la máquina virtual en lugar del nombre DNS interno.

    sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
    
  2. Cuando se haya conectado correctamente a la máquina virtual, compruebe que el directorio particular se ha inicializado correctamente:

    sudo pwd
    

    Debe estar en el directorio /home con su propio directorio que coincide con la cuenta de usuario.

  3. Ahora, compruebe que las pertenencias a grupos se están resolviendo correctamente:

    sudo id
    

    Debería ver las pertenencias a grupos del dominio administrado.

  4. Si ha iniciado sesión en la máquina virtual como miembro del grupo Administradores del controlador de dominio de AAD, compruebe que puede usar correctamente el comando sudo:

    sudo zypper update
    

Pasos siguientes

Si tiene problemas para conectar la VM al dominio administrado o al iniciar sesión con una cuenta de dominio, consulte Solución de problemas de unión al dominio.