Share via

Csatlakozás Red Hat Enterprise Linux rendszerű virtuális géphez egy Felügyelt Microsoft Entra Domain Services-tartományhoz

  • Cikk

Ha lehetővé szeretné tenni, hogy a felhasználók egyetlen hitelesítő adatkészlettel jelentkezzenek be virtuális gépekre (virtuális gépekre) az Azure-ban, csatlakoztathat virtuális gépeket egy felügyelt Microsoft Entra Domain Services-tartományhoz. Amikor egy virtuális géphez csatlakozik egy domain Services által felügyelt tartományhoz, a tartomány felhasználói fiókjai és hitelesítő adatai használhatók a kiszolgálók bejelentkezésére és kezelésére. A felügyelt tartomány csoporttagságait is alkalmazza a rendszer, hogy szabályozhassa a virtuális gépen lévő fájlokhoz vagy szolgáltatásokhoz való hozzáférést.

Ez a cikk bemutatja, hogyan csatlakozhat egy Red Hat Enterprise Linux (RHEL) virtuális géphez egy felügyelt tartományhoz.

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

  • Aktív Azure-előfizetés.
  • Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • A felügyelt tartomány részét képező felhasználói fiók.
  • Egyedi, legfeljebb 15 karakter hosszúságú Linux rendszerű virtuálisgép-nevek, amelyek elkerülik a csonkolt neveket, amelyek ütközéseket okozhatnak az Active Directoryban.

RHEL Linux rendszerű virtuális gép létrehozása és csatlakoztatása

Ha már rendelkezik RHEL Linux rendszerű virtuális géppel az Azure-ban, csatlakozzon hozzá az SSH használatával, majd folytassa a következő lépéssel a virtuális gép konfigurálásának megkezdéséhez.

Ha RHEL Linux rendszerű virtuális gépet szeretne létrehozni, vagy teszt virtuális gépet szeretne létrehozni a jelen cikkhez való használatra, az alábbi módszerek egyikét használhatja:

A virtuális gép létrehozásakor ügyeljen a virtuális hálózat beállításaira, hogy a virtuális gép kommunikálhasson a felügyelt tartománnyal:

  • Helyezze üzembe a virtuális gépet ugyanabban a virtuális hálózatban vagy egy társhálózaton, amelyben engedélyezte a Microsoft Entra Domain Services szolgáltatást.
  • Helyezze üzembe a virtuális gépet egy másik alhálózaton, mint a Microsoft Entra Domain Services által felügyelt tartomány.

A virtuális gép üzembe helyezése után kövesse az SSH használatával a virtuális géphez való csatlakozás lépéseit.

A gazdagépfájl konfigurálása

Annak érdekében, hogy a virtuálisgép-gazdagép neve megfelelően legyen konfigurálva a felügyelt tartományhoz, szerkessze az /etc/hosts fájlt, és állítsa be a gazdagép nevét:

sudo vi /etc/hosts

A gazdagépfájlban frissítse a localhost-címet. Az alábbi példában:

  • aaddscontoso.com a felügyelt tartomány DNS-tartományneve.
  • A rhel a felügyelt tartományhoz csatlakozó RHEL virtuális gép gazdagépneve.

Frissítse ezeket a neveket a saját értékeivel:

127.0.0.1 rhel rhel.aaddscontoso.com

Ha elkészült, mentse és lépjen ki a gazdagépfájlból a :wq szerkesztő parancsával.

Fontos

Vegye figyelembe, hogy a Red Hat Enterprise Linux 6.X és az Oracle Linux 6.x már EOL. Az RHEL 6.10 elérhető ELS-támogatással rendelkezik, amely 2024. 06. 06-án ér véget.

Szükséges csomagok telepítése

A virtuális gépnek további csomagokra van szüksége a virtuális gép felügyelt tartományhoz való csatlakoztatásához. A csomagok telepítéséhez és konfigurálásához frissítse és telepítse a tartományhoz csatlakozó eszközöket a következővel yum: .

sudo yum install adcli sssd authconfig krb5-workstation

Virtuális gép csatlakoztatása a felügyelt tartományhoz

Most, hogy a szükséges csomagok telepítve vannak a virtuális gépen, csatlakozzon a virtuális géphez a felügyelt tartományhoz.

  1. adcli info A parancs használatával felderítheti a felügyelt tartományt. Az alábbi példa felderíti a tartományt ADDDSCONTOSO.COM. Adja meg a saját felügyelt tartománynevét az ALL UPPERCA-ban Standard kiadás:

    sudo adcli info aaddscontoso.com

    Ha a adcli info parancs nem találja a felügyelt tartományt, tekintse át a következő hibaelhárítási lépéseket:

    • Győződjön meg arról, hogy a tartomány elérhető a virtuális gépről. Próbálja meg ping aaddscontoso.com megnézni, hogy a válasz pozitív-e.
    • Ellenőrizze, hogy a virtuális gép ugyanarra a virtuális hálózatra vagy társhálózatra van-e üzembe helyezve, amelyben a felügyelt tartomány elérhető.
    • Győződjön meg arról, hogy a virtuális hálózat DNS-kiszolgálóbeállításai frissültek, hogy a felügyelt tartomány tartományvezérlőire mutassanak.

  2. Először csatlakozzon a tartományhoz a adcli join paranccsal, és ez a parancs létrehozza a keytab-ot a gép hitelesítéséhez. Olyan felhasználói fiókot használjon, amely a felügyelt tartomány része.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Most konfigurálja és /ect/krb5.conf hozza létre a /etc/sssd/sssd.conf fájlokat az aaddscontoso.com Active Directory-tartomány használatához. Győződjön meg arról, hogy AADDSCONTOSO.COM ezt a saját tartományneve váltja fel:

    Nyissa meg a /etc/krb5.conf fájlt egy szerkesztővel:

    sudo vi /etc/krb5.conf

    Frissítse a fájlt a krb5.conf következő mintának megfelelően:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Hozza létre a /etc/sssd/sssd.conf fájlt:

    sudo vi /etc/sssd/sssd.conf

    Frissítse a fájlt a sssd.conf következő mintának megfelelően:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Győződjön meg arról, hogy /etc/sssd/sssd.conf az engedélyek 600-ból állnak, és a gyökérfelhasználó tulajdonában vannak:

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. A authconfig virtuális gépnek az AD Linux-integrációval kapcsolatos utasítása:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Indítsa el és engedélyezze az sssd szolgáltatást:

    sudo service sssd start
sudo chkconfig sssd on

Ha a virtuális gép nem tudja sikeresen végrehajtani a tartományhoz való csatlakozás folyamatát, győződjön meg arról, hogy a virtuális gép hálózati biztonsági csoportja engedélyezi a kimenő Kerberos-forgalmat a TCP + UDP 464-porton a felügyelt tartomány virtuális hálózati alhálózatára.

Most ellenőrizze, hogy le tudja-e kérdezni a felhasználói AD-adatokat a getent

sudo getent passwd contosoadmin

Jelszóhitelesítés engedélyezése SSH-hoz

Alapértelmezés szerint a felhasználók csak SSH nyilvános kulcsalapú hitelesítéssel jelentkezhetnek be egy virtuális gépre. A jelszóalapú hitelesítés sikertelen. Amikor egy felügyelt tartományhoz csatlakozik a virtuális géphez, ezeknek a tartományi fiókoknak jelszóalapú hitelesítést kell használniuk. Frissítse az SSH-konfigurációt a jelszóalapú hitelesítés engedélyezéséhez az alábbiak szerint.

  1. Nyissa meg a sshd_conf fájlt egy szerkesztővel:

    sudo vi /etc/ssh/sshd_config

  2. Módosítsa a PasswordAuthentication sorát igen értékre:

    PasswordAuthentication yes

    Ha elkészült, mentse és lépjen ki a sshd_conf fájlból a :wq szerkesztő parancsával.

  3. A módosítások alkalmazásához és a felhasználók jelszóval való bejelentkezéséhez indítsa újra az SSH szolgáltatást az RHEL disztribúciós verzióhoz:

    sudo service sshd restart

Az "AAD DC Rendszergazda istrators" csoport sudo jogosultságainak megadása

Ha az AAD DC Rendszergazda istrators csoportszintű rendszergazdai jogosultságokat szeretne biztosítani az RHEL virtuális gépen, adjon hozzá egy bejegyzést a /etc/sudoershez. A hozzáadást követően az AAD DC Rendszergazda istrators csoport tagjai használhatják a sudo parancsot az RHEL virtuális gépen.

  1. Nyissa meg a sudoers fájlt szerkesztésre:

    sudo visudo

  2. Adja hozzá a következő bejegyzést a /etc/sudoers fájl végéhez. Az AAD dc Rendszergazda istrators csoport a névben szóközt tartalmaz, így a fordított perjel feloldó karaktert is belefoglalja a csoportnévbe. Adja hozzá saját tartománynevét, például aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Ha elkészült, mentse és lépjen ki a szerkesztőből a :wq szerkesztő parancsával.

Jelentkezzen be a virtuális gépre tartományi fiókkal

Annak ellenőrzéséhez, hogy a virtuális gép sikeresen csatlakozott-e a felügyelt tartományhoz, indítsa el az új SSH-kapcsolatot egy tartományi felhasználói fiókkal. Ellenőrizze, hogy létre lett-e hozva egy kezdőkönyvtár, és hogy a csoporttagság a tartományból lett-e alkalmazva.

  1. Hozzon létre egy új SSH-kapcsolatot a konzolról. Használjon egy tartományfiókot, amely a felügyelt tartományhoz tartozik a ssh -l paranccsal, például contosoadmin@aaddscontoso.com adja meg a virtuális gép címét, például rhel.aaddscontoso.com. Ha az Azure Cloud Shellt használja, használja a virtuális gép nyilvános IP-címét a belső DNS-név helyett.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Ha sikeresen csatlakozott a virtuális géphez, ellenőrizze, hogy a kezdőkönyvtár megfelelően lett-e inicializálva:

    pwd

    A /home könyvtárban kell lennie a felhasználói fióknak megfelelő saját címtárral.

  3. Most ellenőrizze, hogy a csoporttagságok helyesen vannak-e feloldva:

    id

    A csoporttagságoknak a felügyelt tartományból kell megjelennie.

  4. Ha az AAD DC Rendszergazda istrators csoport tagjaként jelentkezett be a virtuális gépre, ellenőrizze, hogy helyesen használhatja-e a sudo parancsot:

    sudo yum update

További lépések

Ha problémái vannak a virtuális gép felügyelt tartományhoz való csatlakoztatásával vagy egy tartományi fiókkal való bejelentkezéssel, tekintse meg a tartományhoz való csatlakozással kapcsolatos problémák hibaelhárítását.