Unión de una máquina virtual CoreOS a un dominio administrado de Microsoft Entra Domain Services

Para que los usuarios puedan iniciar sesión en máquinas virtuales (VM) en Azure con un único conjunto de credenciales, puede unir máquinas virtuales a un dominio administrado de Microsoft Entra Domain Services. Al unir una máquina virtual a un dominio administrado de Domain Services, se pueden usar las cuentas de usuario y las credenciales del dominio para iniciar sesión y administrar servidores. También se aplican las pertenencias a grupos del dominio administrado para permitirle controlar el acceso a los archivos o servicios de la VM.

Este artículo muestra cómo unir una VM CoreOS a un dominio administrado.

Requisitos previos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el inquilino de Microsoft Entra.
  • Si es necesario, el primer tutorial crea y configura un dominio administrado de Microsoft Entra Domain Services.
• Una cuenta de usuario que forme parte del dominio administrado.
• Nombres de máquina virtual Linux únicos con un máximo de 15 caracteres para evitar nombres truncados que podrían causar conflictos en Active Directory.

Creación y conexión a una máquina virtual CoreOS Linux

Si ya tiene una máquina virtual CoreOS Linux en Azure, conéctese a ella mediante SSH y luego continúe con el paso siguiente para empezar a configurar la máquina virtual.

Si necesita crear una máquina virtual CoreOS Linux o desea crear una máquina virtual de prueba para usarla con este artículo, puede utilizar uno de los métodos siguientes:

• Centro de administración de Microsoft Entra
• CLI de Azure
• Azure PowerShell

Al crear la VM, preste atención a la configuración de la red virtual para asegurarse de que la VM puede comunicarse con el dominio administrado:

• Implemente la máquina virtual en la misma red virtual, o en otra emparejada, en la que haya habilitado Microsoft Entra Domain Services.
• Implemente la VM en una subred diferente a la del dominio administrado de Microsoft Entra Domain Services.

Una vez implementada la máquina virtual, siga los pasos para conectarse a la máquina virtual mediante SSH.

Configuración del archivo hosts

Para asegurarse de que el nombre de host de la máquina virtual está configurado correctamente para el dominio administrado, edite el archivo /etc/hosts y establezca el nombre de host:

Consola

sudo vi /etc/hosts

En el archivo hosts, actualice la dirección localhost. En el ejemplo siguiente:

• aaddscontoso.com es el nombre de dominio DNS del dominio administrado.
• coreos es el nombre de host de la máquina virtual CoreOS que se va a unir al dominio administrado.

Actualice estos nombres con sus propios valores:

Consola

127.0.0.1 coreos coreos.aaddscontoso.com

Cuando haya terminado, guarde y salga del archivo hosts mediante el comando :wq del editor.

Configuración del servicio SSSD

Actualice la configuración de SSSD en /etc/sssd/sssd.conf.

Consola

sudo vi /etc/sssd/sssd.conf

Especifique su propio nombre de dominio administrado para los siguientes parámetros:

• domains con TODAS LAS LETRAS EN MAYÚSCULAS
• [domain/AADDSCONTOSO] , donde AADDSCONTOSO tiene TODAS LETRAS EN MAYÚSCULAS
• ldap_uri
• ldap_search_base
• krb5_server
• krb5_realm con TODAS LAS LETRAS EN MAYÚSCULAS

Consola

[sssd]
config_file_version = 2
services = nss, pam
domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO]
id_provider = ad
auth_provider = ad
chpass_provider = ad

ldap_uri = ldap://aaddscontoso.com
ldap_search_base = dc=aaddscontoso,dc=com
ldap_schema = rfc2307bis
ldap_sasl_mech = GSSAPI
ldap_user_object_class = user
ldap_group_object_class = group
ldap_user_home_directory = unixHomeDirectory
ldap_user_principal = userPrincipalName
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true
fallback_homedir = /home/%d/%u

krb5_server = aaddscontoso.com
krb5_realm = AADDSCONTOSO.COM

Unión de la máquina virtual al dominio administrado

Con el archivo de configuración de SSSD actualizado, una la máquina virtual al dominio administrado.

1. En primer lugar, use el comando adcli info para comprobar que puede ver información sobre el dominio administrado. En el ejemplo siguiente se obtiene información para el dominio AADDSCONTOSO.COM. Especifique su propio nombre de dominio administrado CON TODAS LAS LETRAS EN MAYÚSCULAS:

   Consola

   sudo adcli info AADDSCONTOSO.COM
   

   Si el comando adcli info no se encuentra en el dominio administrado, repase los siguientes pasos de solución de problemas:

   • Asegúrese de que el dominio sea accesible desde la máquina virtual. Pruebe ping aaddscontoso.com para ver si se devuelve una respuesta positiva.
   • Compruebe que la VM se ha implementado en la misma red virtual (o en otra emparejada) en la que el dominio administrado está disponible.
   • Confirme que se ha actualizado la configuración del servidor DNS de la red virtual para que apunte a los controladores de dominio del dominio administrado.

2. Ahora, una laVM al dominio administrado con el comando adcli join. Especifique un usuario que forme parte del dominio administrado. Si es necesario, agregue una cuenta de usuario a un grupo en Microsoft Entra ID.

   Una vez más, el nombre del dominio administrado se debe escribir CON TODAS LAS LETRAS EN MAYÚSCULAS. En el ejemplo siguiente, la cuenta denominada contosoadmin@aaddscontoso.com se usa para inicializar Kerberos. Introduzca su cuenta de usuario que forma parte del dominio administrado.

   Consola

   sudo adcli join -D AADDSCONTOSO.COM -U contosoadmin@AADDSCONTOSO.COM -K /etc/krb5.keytab -H coreos.aaddscontoso.com -N coreos
   

   El comando adcli join no devuelve ninguna información cuando la VM se ha unido correctamente al dominio administrado.

3. Para aplicar la configuración de unión a dominio, inicie el servicio SSSD:

   Consola

   sudo systemctl start sssd.service
   

Inicio de sesión en la máquina virtual mediante una cuenta de dominio

Para comprobar que la VM se ha unido correctamente al dominio administrado, inicie una nueva conexión SSH con una cuenta de usuario de dominio. Confirme que se ha creado un directorio particular y que se ha aplicado la pertenencia a grupos del dominio.

1. Cree una nueva conexión SSH desde la consola. Use una cuenta de dominio que pertenezca al dominio administrado mediante el comando ssh -l como, por ejemplo, contosoadmin@aaddscontoso.com y, a continuación, escriba la dirección de la máquina virtual, por ejemplo: coreos.aaddscontoso.com. Si usa Azure Cloud Shell, use la dirección IP pública de la máquina virtual en lugar del nombre DNS interno.

   Consola

   ssh -l contosoadmin@AADDSCONTOSO.com coreos.aaddscontoso.com
   

2. Ahora, compruebe que las pertenencias a grupos se están resolviendo correctamente:

   Consola

   id
   

   Debería ver las pertenencias a grupos del dominio administrado.

Pasos siguientes

Si tiene problemas para conectar la VM al dominio administrado o al iniciar sesión con una cuenta de dominio, consulte Solución de problemas de unión al dominio.