Ubuntu Linux rendszerű virtuális gép csatlakoztatása felügyelt Microsoft Entra Domain Services-tartományhoz

Ha lehetővé szeretné tenni, hogy a felhasználók egyetlen hitelesítő adatkészlettel jelentkezzenek be virtuális gépekre (virtuális gépekre) az Azure-ban, csatlakoztathat virtuális gépeket egy felügyelt Microsoft Entra Domain Services-tartományhoz. Amikor egy virtuális géphez csatlakozik egy domain Services által felügyelt tartományhoz, a tartomány felhasználói fiókjai és hitelesítő adatai használhatók a kiszolgálók bejelentkezésére és kezelésére. A felügyelt tartomány csoporttagságait is alkalmazza a rendszer, hogy szabályozhassa a virtuális gépen lévő fájlokhoz vagy szolgáltatásokhoz való hozzáférést.

Ez a cikk bemutatja, hogyan csatlakozhat egy Ubuntu Linux rendszerű virtuális géphez egy felügyelt tartományhoz.

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Szükség esetén az első oktatóanyag létrehoz és konfigurál egy Felügyelt Microsoft Entra Domain Services-tartományt.
• A felügyelt tartomány részét képező felhasználói fiók. Győződjön meg arról, hogy a felhasználó SAMAccountName attribútuma nincs automatikusan létrehozva. Ha a Microsoft Entra-bérlő több felhasználói fiókja ugyanazt a mailNickname attribútumot használja, az egyes felhasználók SAMAccountName attribútuma automatikusan létrejön. További információ: Objektumok és hitelesítő adatok szinkronizálása a Microsoft Entra Domain Services által felügyelt tartományokban.
• Egyedi, legfeljebb 15 karakter hosszúságú Linux rendszerű virtuálisgép-nevek, amelyek elkerülik a csonkolt neveket, amelyek ütközéseket okozhatnak az Active Directoryban.

Ubuntu Linux rendszerű virtuális gép létrehozása és csatlakoztatása

Ha már rendelkezik Ubuntu Linux rendszerű virtuális géppel az Azure-ban, csatlakozzon hozzá az SSH használatával, majd folytassa a következő lépéssel a virtuális gép konfigurálásának megkezdéséhez.

Ha Ubuntu Linux rendszerű virtuális gépet szeretne létrehozni, vagy teszt virtuális gépet szeretne létrehozni a jelen cikkhez, az alábbi módszerek egyikét használhatja:

• Microsoft Entra Felügyeleti központ
• Azure CLI
• Azure PowerShell

A virtuális gép létrehozásakor ügyeljen a virtuális hálózat beállításaira, hogy a virtuális gép kommunikálhasson a felügyelt tartománnyal:

• Helyezze üzembe a virtuális gépet ugyanabban a virtuális hálózatban vagy egy társhálózaton, amelyben engedélyezte a Microsoft Entra Domain Services szolgáltatást.
• Helyezze üzembe a virtuális gépet egy másik alhálózaton, mint a Microsoft Entra Domain Services által felügyelt tartomány.

A virtuális gép üzembe helyezése után kövesse az SSH használatával a virtuális géphez való csatlakozás lépéseit.

A gazdagépfájl konfigurálása

Annak érdekében, hogy a virtuálisgép-gazdagép neve megfelelően legyen konfigurálva a felügyelt tartományhoz, szerkessze az /etc/hosts fájlt, és állítsa be a gazdagép nevét:

sudo vi /etc/hosts

A gazdagépfájlban frissítse a localhost-címet. Az alábbi példában:

• aaddscontoso.com a felügyelt tartomány DNS-tartományneve.
• Az ubuntu annak az Ubuntu virtuális gépnek a gazdagépneve, amelyhez a felügyelt tartományhoz csatlakozik.

Frissítse ezeket a neveket a saját értékeivel:

127.0.0.1 ubuntu.aaddscontoso.com ubuntu

Ha elkészült, mentse és lépjen ki a gazdagépfájlból a :wq szerkesztő parancsával.

Szükséges csomagok telepítése

A virtuális gépnek további csomagokra van szüksége a virtuális gép felügyelt tartományhoz való csatlakoztatásához. A csomagok telepítéséhez és konfigurálásához frissítse és telepítse a tartományhoz csatlakozó eszközöket a apt-get

A Kerberos telepítése során a krb5-felhasználó csomag az ALL UPPERCA Standard kiadás tartománynevet kéri. Ha például a felügyelt tartomány neve aaddscontoso.com, adja meg a AADDSCONTOSO.COM tartományként. A telepítés a /etc/krb5.conf konfigurációs fájlba írja a szakaszokat és [domain_realm] a [realm] szakaszokat. Győződjön meg arról, hogy az ALL UPPERCA tartományt adja meg Standard kiadás:

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Hálózati időprotokoll (NTP) konfigurálása

Ahhoz, hogy a tartományi kommunikáció megfelelően működjön, az Ubuntu virtuális gép dátumának és időpontjának szinkronizálnia kell a felügyelt tartománnyal. Adja hozzá a felügyelt tartomány NTP-állomásnevét a /etc/ntp.conf fájlhoz .

1. Nyissa meg az ntp.conf fájlt egy szerkesztővel:

   sudo vi /etc/ntp.conf
   

2. Az ntp.conf fájlban hozzon létre egy sort a felügyelt tartomány DNS-nevének hozzáadásához. Az alábbi példában a aaddscontoso.com bejegyzése lesz hozzáadva. Használja a saját DNS-nevét:

   server aaddscontoso.com
   

   Ha elkészült, mentse és lépjen ki az ntp.conf fájlból a :wq szerkesztő parancsával.

3. Ahhoz, hogy a virtuális gép szinkronizálva legyen a felügyelt tartománnyal, a következő lépésekre van szükség:

   • Az NTP-kiszolgáló leállítása
   • A felügyelt tartomány dátumának és időpontjának frissítése
   • Az NTP szolgáltatás elindítása

   A lépések végrehajtásához futtassa az alábbi parancsokat. Használja a saját DNS-nevét a ntpdate következő paranccsal:

   sudo systemctl stop ntp
   sudo ntpdate aaddscontoso.com
   sudo systemctl start ntp
   

Virtuális gép csatlakoztatása a felügyelt tartományhoz

Most, hogy a szükséges csomagok telepítve vannak a virtuális gépen és az NTP konfigurálva van, csatlakozzon a virtuális géphez a felügyelt tartományhoz.

1. realm discover A parancs használatával felderítheti a felügyelt tartományt. Az alábbi példa felderíti a tartomány AADDSCONTOSO.COM. Adja meg a saját felügyelt tartománynevét az ALL UPPERCA-ban Standard kiadás:

   sudo realm discover AADDSCONTOSO.COM
   

   Ha a realm discover parancs nem találja a felügyelt tartományt, tekintse át a következő hibaelhárítási lépéseket:

   • Győződjön meg arról, hogy a tartomány elérhető a virtuális gépről. Próbálja meg ping aaddscontoso.com megnézni, hogy a válasz pozitív-e.
   • Ellenőrizze, hogy a virtuális gép ugyanarra a virtuális hálózatra vagy társhálózatra van-e üzembe helyezve, amelyben a felügyelt tartomány elérhető.
   • Győződjön meg arról, hogy a virtuális hálózat DNS-kiszolgálóbeállításai frissültek, hogy a felügyelt tartomány tartományvezérlőire mutassanak.

2. Most inicializálja a Kerberost a kinit paranccsal. Adjon meg egy felhasználót, aki a felügyelt tartomány része. Szükség esetén adjon hozzá egy felhasználói fiókot egy csoporthoz a Microsoft Entra-azonosítóban.

   A felügyelt tartománynevet ismét az ALL UPPERCA Standard kiadás fájlba kell beírni. Az alábbi példában az elnevezett contosoadmin@aaddscontoso.com fiók a Kerberos inicializálására szolgál. Adja meg a saját felhasználói fiókját, amely a felügyelt tartomány része:

   sudo kinit -V contosoadmin@AADDSCONTOSO.COM
   

3. Végül csatlakozzon a virtuális géphez a felügyelt tartományhoz a realm join parancs használatával. Használja ugyanazt a felhasználói fiókot, amely az előző kinit parancsban megadott felügyelt tartomány része, például contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/
   

A virtuális gép felügyelt tartományhoz való csatlakoztatása néhány percet vesz igénybe. Az alábbi példakimenet azt mutatja, hogy a virtuális gép sikeresen csatlakozott a felügyelt tartományhoz:

Successfully enrolled machine in realm

Ha a virtuális gép nem tudja sikeresen végrehajtani a tartományhoz való csatlakozás folyamatát, győződjön meg arról, hogy a virtuális gép hálózati biztonsági csoportja engedélyezi a kimenő Kerberos-forgalmat a TCP + UDP 464-porton a felügyelt tartomány virtuális hálózati alhálózatára.

Ha nem meghatározott GSS-hibát kapott. Az alkód további információkat nyújthat (a kiszolgáló nem található a Kerberos-adatbázisban), nyissa meg a fájlt /etc/krb5.conf , és adja hozzá a következő kódot a [libdefaults] szakaszban, és próbálkozzon újra:

rdns=false

Az SSSD konfigurációjának frissítése

Az előző lépésben telepített csomagok egyike a System Security Services Démonhoz (SSSD) készült. Amikor egy felhasználó tartományi hitelesítő adatokkal próbál bejelentkezni egy virtuális gépre, az SSSD továbbítja a kérést egy hitelesítésszolgáltatónak. Ebben a forgatókönyvben az SSSD a Domain Services használatával hitelesíti a kérést.

1. Nyissa meg az sssd.conf fájlt egy szerkesztővel:

   sudo vi /etc/sssd/sssd.conf
   

2. Fűzzön megjegyzést a use_fully_qualified_names sorához az alábbiak szerint:

   # use_fully_qualified_names = True
   

   Ha elkészült, mentse és lépjen ki az sssd.conf fájlból a :wq szerkesztő parancsával.

3. A módosítás alkalmazásához indítsa újra az SSSD szolgáltatást:

   sudo systemctl restart sssd
   

Felhasználói fiók és csoport beállításainak konfigurálása

Ha a virtuális gép csatlakozik a felügyelt tartományhoz, és hitelesítésre van konfigurálva, néhány felhasználói konfigurációs beállítást végre kell hajtani. Ezek a konfigurációs módosítások közé tartozik a jelszóalapú hitelesítés engedélyezése, valamint az otthoni címtárak automatikus létrehozása a helyi virtuális gépen, amikor a tartományi felhasználók először jelentkeznek be.

Jelszóhitelesítés engedélyezése SSH-hoz

Alapértelmezés szerint a felhasználók csak SSH nyilvános kulcsalapú hitelesítéssel jelentkezhetnek be egy virtuális gépre. A jelszóalapú hitelesítés sikertelen. Amikor egy felügyelt tartományhoz csatlakozik a virtuális géphez, ezeknek a tartományi fiókoknak jelszóalapú hitelesítést kell használniuk. Frissítse az SSH-konfigurációt a jelszóalapú hitelesítés engedélyezéséhez az alábbiak szerint.

1. Nyissa meg a sshd_conf fájlt egy szerkesztővel:

   sudo vi /etc/ssh/sshd_config
   

2. Módosítsa a PasswordAuthentication sorát igen értékre:

   PasswordAuthentication yes
   

   Ha elkészült, mentse és lépjen ki a sshd_conf fájlból a :wq szerkesztő parancsával.

3. A módosítások alkalmazásához és a felhasználók jelszóval való bejelentkezéséhez indítsa újra az SSH szolgáltatást:

   sudo systemctl restart ssh
   

Automatikus kezdőkönyvtár-létrehozás konfigurálása

Ha engedélyezni szeretné a kezdőkönyvtár automatikus létrehozását, amikor egy felhasználó először jelentkezik be, hajtsa végre az alábbi lépéseket:

1. Nyissa meg a /etc/pam.d/common-session fájlt egy szerkesztőben:

   sudo vi /etc/pam.d/common-session
   

2. Adja hozzá a következő sort ebben a fájlban a sor session optional pam_sss.soalá:

   session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
   

   Ha elkészült, mentse és lépjen ki a közös munkamenetfájlból a :wq szerkesztő parancsával.

Az "AAD DC Rendszergazda istrators" csoport sudo jogosultságainak megadása

Ha az AAD DC Rendszergazda istrators csoportszintű rendszergazdai jogosultságokat szeretne biztosítani az Ubuntu virtuális gépen, adjon hozzá egy bejegyzést a /etc/sudoershez. A hozzáadást követően az AAD DC Rendszergazda istrators csoport tagjai használhatják az sudo Ubuntu virtuális gép parancsát.

1. Nyissa meg a sudoers fájlt szerkesztésre:

   sudo visudo
   

2. Adja hozzá a következő bejegyzést a /etc/sudoers fájl végéhez:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
   

   Ha elkészült, mentse és lépjen ki a szerkesztőből a Ctrl-X paranccsal.

Jelentkezzen be a virtuális gépre tartományi fiókkal

Annak ellenőrzéséhez, hogy a virtuális gép sikeresen csatlakozott-e a felügyelt tartományhoz, indítsa el az új SSH-kapcsolatot egy tartományi felhasználói fiókkal. Ellenőrizze, hogy létre lett-e hozva egy kezdőkönyvtár, és hogy a csoporttagság a tartományból lett-e alkalmazva.

1. Hozzon létre egy új SSH-kapcsolatot a konzolról. Használjon egy olyan tartományfiókot, amely a felügyelt tartományhoz tartozik a ssh -l parancs használatával, például contosoadmin@aaddscontoso.com adja meg a virtuális gép címét, például ubuntu.aaddscontoso.com. Ha az Azure Cloud Shellt használja, használja a virtuális gép nyilvános IP-címét a belső DNS-név helyett.

   sudo ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com
   

2. Ha sikeresen csatlakozott a virtuális géphez, ellenőrizze, hogy a kezdőkönyvtár megfelelően lett-e inicializálva:

   sudo pwd
   

   A /home könyvtárban kell lennie a felhasználói fióknak megfelelő saját címtárral.

3. Most ellenőrizze, hogy a csoporttagságok helyesen vannak-e feloldva:

   sudo id
   

   A csoporttagságoknak a felügyelt tartományból kell megjelennie.

4. Ha az AAD DC Rendszergazda istrators csoport tagjaként jelentkezett be a virtuális gépre, ellenőrizze, hogy helyesen használhatja-e a sudo parancsot:

   sudo apt-get update
   

További lépések

Ha problémái vannak a virtuális gép felügyelt tartományhoz való csatlakoztatásával vagy egy tartományi fiókkal való bejelentkezéssel, tekintse meg a tartományhoz való csatlakozással kapcsolatos problémák hibaelhárítását.