Csatlakozás su Standard kiadás Linux Enterprise rendszerű virtuális géphez felügyelt Microsoft Entra Domain Services-tartományhoz
Ha lehetővé szeretné tenni, hogy a felhasználók egyetlen hitelesítő adatkészlettel jelentkezzenek be virtuális gépekre (virtuális gépekre) az Azure-ban, csatlakoztathat virtuális gépeket egy felügyelt Microsoft Entra Domain Services-tartományhoz. Amikor egy virtuális géphez csatlakozik egy domain Services által felügyelt tartományhoz, a tartomány felhasználói fiókjai és hitelesítő adatai használhatók a kiszolgálók bejelentkezésére és kezelésére. A felügyelt tartomány csoporttagságait is alkalmazza a rendszer, hogy szabályozhassa a virtuális gépen lévő fájlokhoz vagy szolgáltatásokhoz való hozzáférést.
Ez a cikk bemutatja, hogyan csatlakozhat su Standard kiadás Linux Enterprise (SLE) virtuális géphez egy felügyelt tartományhoz.
Előfeltételek
Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
- Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
- Szükség esetén az első oktatóanyag létrehoz és konfigurál egy Felügyelt Microsoft Entra Domain Services-tartományt.
- A felügyelt tartomány részét képező felhasználói fiók.
- Egyedi, legfeljebb 15 karakter hosszúságú Linux rendszerű virtuálisgép-nevek, amelyek elkerülik a csonkolt neveket, amelyek ütközéseket okozhatnak az Active Directoryban.
SLE Linux rendszerű virtuális gép létrehozása és csatlakoztatása
Ha már rendelkezik SLE Linux rendszerű virtuális géppel az Azure-ban, csatlakozzon hozzá az SSH használatával, majd folytassa a következő lépéssel a virtuális gép konfigurálásának megkezdéséhez.
Ha SLE Linux rendszerű virtuális gépet szeretne létrehozni, vagy teszt virtuális gépet szeretne létrehozni a jelen cikkhez, az alábbi módszerek egyikét használhatja:
A virtuális gép létrehozásakor ügyeljen a virtuális hálózat beállításaira, hogy a virtuális gép kommunikálhasson a felügyelt tartománnyal:
- Helyezze üzembe a virtuális gépet ugyanabban a virtuális hálózatban vagy egy társhálózaton, amelyben engedélyezte a Microsoft Entra Domain Services szolgáltatást.
- Helyezze üzembe a virtuális gépet egy másik alhálózaton, mint a Microsoft Entra Domain Services által felügyelt tartomány.
A virtuális gép üzembe helyezése után kövesse az SSH használatával a virtuális géphez való csatlakozás lépéseit.
A gazdagépfájl konfigurálása
Annak érdekében, hogy a virtuálisgép-gazdagép neve megfelelően legyen konfigurálva a felügyelt tartományhoz, szerkessze az /etc/hosts fájlt, és állítsa be a gazdagép nevét:
sudo vi /etc/hosts
A gazdagépfájlban frissítse a localhost-címet. Az alábbi példában:
- aaddscontoso.com a felügyelt tartomány DNS-tartományneve.
- linux-q2gr a felügyelt tartományhoz csatlakozó SLE virtuális gép gazdagépneve.
Frissítse ezeket a neveket a saját értékeivel:
127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com
Ha elkészült, mentse és lépjen ki a gazdagépfájlból a :wq
szerkesztő parancsával.
Virtuális gép csatlakoztatása a felügyelt tartományhoz az SSSD használatával
Ha a felügyelt tartományhoz az SSSD és a YaST felhasználói bejelentkezési felügyeleti moduljával szeretne csatlakozni, hajtsa végre a következő lépéseket:
Telepítse a Felhasználói bejelentkezés kezelése YaST-modult:
sudo zypper install yast2-auth-client
Nyissa meg a YaST-et.
A DNS automatikus feltárásának későbbi sikeres használatához konfigurálja a felügyelt tartomány IP-címeit (az Active Directory-kiszolgálót) az ügyfél névkiszolgálójaként.
A YaST-ben válassza a System > Network Gépház lehetőséget.
Válassza ki a Gazdagépnév/DNS lapot, majd írja be a felügyelt tartomány IP-címét (ip-címét) az 1. névmezőbe. Ezek az IP-címek a Felügyelt tartomány Microsoft Entra felügyeleti központjának Tulajdonságok ablakában jelennek meg, például 10.0.2.4 és 10.0.2.5.
Adja hozzá a saját felügyelt tartomány IP-címét, majd kattintson az OK gombra.
A YaST főablakában válassza a Network Services>felhasználói bejelentkezéskezelését.
Megnyílik a modul, amely áttekintést nyújt a számítógép különböző hálózati tulajdonságairól és a jelenleg használt hitelesítési módszerről, ahogyan az alábbi képernyőképen látható:
A szerkesztés megkezdéséhez válassza a Gépház módosítása lehetőséget.
A virtuális gép felügyelt tartományhoz való csatlakoztatásához hajtsa végre a következő lépéseket:
A párbeszédpanelen válassza a Tartomány hozzáadása lehetőséget.
Adja meg a megfelelő tartománynevet(például aaddscontoso.com), majd adja meg az identitásadatokhoz és a hitelesítéshez használni kívánt szolgáltatásokat. Válassza a Microsoft Active Directoryt mindkettőhöz.
Győződjön meg arról, hogy a tartomány engedélyezése lehetőség be van jelölve.
Ha elkészült, válassza az OK gombot.
Fogadja el az alapértelmezett beállításokat a következő párbeszédpanelen, majd kattintson az OK gombra.
A virtuális gép szükség szerint további szoftvereket telepít, majd ellenőrzi, hogy elérhető-e a felügyelt tartomány.
Ha minden rendben van, az alábbi példa párbeszédpanel jelzi, hogy a virtuális gép felderítette a felügyelt tartományt, de még nincs regisztrálva.
A párbeszédpanelen adja meg a felügyelt tartomány részét képező felhasználó felhasználónevét és jelszavát . Szükség esetén adjon hozzá egy felhasználói fiókot egy csoporthoz a Microsoft Entra-azonosítóban.
Ha meg szeretné győződni arról, hogy az aktuális tartomány engedélyezve van a Samba számára, aktiválja a Samba-konfiguráció felülírását az AD használatához.
A regisztrációhoz válassza az OK gombot.
Megjelenik egy üzenet, amely megerősíti, hogy sikeresen regisztrált. A befejezéshez válassza az OK gombot.
Miután regisztrálta a virtuális gépet a felügyelt tartományban, konfigurálja az ügyfelet a Tartományfelhasználói bejelentkezés kezelése funkcióval, ahogyan az alábbi képernyőképen látható:
Ha engedélyezni szeretné a bejelentkezéseket a felügyelt tartomány által megadott adatokkal, jelölje be a Tartományfelhasználói bejelentkezés engedélyezése jelölőnégyzetet.
A tartományi adatforrás engedélyezése területen szükség szerint ellenőrizze a környezetéhez szükséges további adatforrásokat. Ezek a lehetőségek közé tartozik, hogy mely felhasználók használhatják a sudo-t , vagy mely hálózati meghajtók érhetők el.
Ha engedélyezni szeretné, hogy a felügyelt tartományban lévő felhasználók otthoni címtárakat használjanak a virtuális gépen, jelölje be a Kezdőkönyvtárak létrehozása jelölőnégyzetet.
Az oldalsávon válassza a Szolgáltatásbeállítások › Névkapcsoló, majd a Kiterjesztett beállítások lehetőséget. Az ablakban válassza a fallback_homedir vagy a override_homedir, majd a Hozzáadás lehetőséget.
Adja meg a kezdőkönyvtár helyének értékét. Ha otthoni könyvtárakat szeretne használni, kövesse a /home/U Standard kiadás R_NAME formátumot, használja a /home/%u parancsot. A lehetséges változókkal kapcsolatos további információkért lásd az sssd.conf man oldalt (
man 5 sssd.conf
), a override_homedir.Kattintson az OK gombra.
A módosítások mentéséhez válassza az OK gombot. Ezután győződjön meg arról, hogy a megjelenített értékek helyesek. A párbeszédpanel elhagyásához válassza a Mégse lehetőséget.
Ha egyidejűleg szeretné futtatni az SSSD-t és a Winbindet (például amikor SSSD-en keresztül csatlakozik, de samba fájlkiszolgálót futtat), akkor a Samba beállítás kerberos metódusát titkos kulcsokra és keytab-ra kell állítani az smb.conf fájlban. Az SSSD ad_update_samba_machine_account_password beállítást is igaz értékre kell állítani az sssd.conf fájlban. Ezek a beállítások megakadályozzák, hogy a rendszer keytabja kiesjön a szinkronizálásból.
Virtuális gép csatlakoztatása a felügyelt tartományhoz a Winbind használatával
Ha a winbind és a YaST Windows-tartománytagság modulja használatával szeretne csatlakozni a felügyelt tartományhoz, hajtsa végre a következő lépéseket:
A YaST-ben válassza a Hálózati szolgáltatások > Windows-tartománytagság lehetőséget.
Adja meg a tartományt, amelyhez csatlakozni szeretne a Tartomány vagy munkacsoport területen a Windows tartománytagság képernyőjén. Adja meg a felügyelt tartománynevet, például aaddscontoso.com.
Az SMB-forrás Linux-hitelesítéshez való használatához ellenőrizze az SMB-adatok linuxos hitelesítéshez való használatát.
Ha automatikusan létre szeretne hozni egy helyi kezdőkönyvtárat a virtuális gépen felügyelt tartomány felhasználói számára, jelölje be a Kezdőlap létrehozása bejelentkezéskor jelölőnégyzetet.
Ellenőrizze az offline hitelesítés beállítását, hogy a tartomány felhasználói akkor is bejelentkezhessenek, ha a felügyelt tartomány átmenetileg nem érhető el.
Ha módosítani szeretné a Samba-felhasználók és -csoportok UID- és GID-tartományait, válassza az Expert Gépház lehetőséget.
Konfigurálja a hálózati időprotokoll (NTP) időszinkronizálását a felügyelt tartományhoz az NTP-konfiguráció kiválasztásával. Adja meg a felügyelt tartomány IP-címét. Ezek az IP-címek a Felügyelt tartomány Microsoft Entra felügyeleti központjának Tulajdonságok ablakában jelennek meg, például 10.0.2.4 és 10.0.2.5.
Válassza az OK gombot, és erősítse meg a tartományhoz való csatlakozást, amikor a rendszer kéri.
Adja meg a rendszergazda jelszavát a felügyelt tartományban, és válassza az OK gombot.
Miután csatlakozott a felügyelt tartományhoz, bejelentkezhet a munkaállomásról az asztal vagy a konzol megjelenítési kezelőjével.
Virtuális gép csatlakoztatása a felügyelt tartományhoz a Winbind használatával a YaST parancssori felületéről
A felügyelt tartományhoz való csatlakozás a winbind és a YaST parancssori felület használatával:
Csatlakozzon a tartományhoz:
sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
Virtuális gép csatlakoztatása a felügyelt tartományhoz a Winbind használatával a terminálról
A felügyelt tartományhoz való csatlakozás a winbind és a samba net
parancs használatával:
Telepítse a Kerberos-ügyfelet és a samba-winbindet:
sudo zypper in krb5-client samba-winbind
A konfigurációs fájlok szerkesztése:
/etc/samba/smb.conf
[global] workgroup = AADDSCONTOSO usershare allow guests = NO #disallow guests from sharing idmap config * : backend = tdb idmap config * : range = 1000000-1999999 idmap config AADDSCONTOSO : backend = rid idmap config AADDSCONTOSO : range = 5000000-5999999 kerberos method = secrets and keytab realm = AADDSCONTOSO.COM security = ADS template homedir = /home/%D/%U template shell = /bin/bash winbind offline logon = yes winbind refresh tickets = yes
/etc/krb5.conf
[libdefaults] default_realm = AADDSCONTOSO.COM clockskew = 300 [realms] AADDSCONTOSO.COM = { kdc = PDC.AADDSCONTOSO.COM default_domain = AADDSCONTOSO.COM admin_server = PDC.AADDSCONTOSO.COM } [domain_realm] .aaddscontoso.com = AADDSCONTOSO.COM [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false minimum_uid = 1 }
/etc/security/pam_winbind.conf
[global] cached_login = yes krb5_auth = yes krb5_ccache_type = FILE warn_pwd_expire = 14
/etc/nsswitch.conf
passwd: compat winbind group: compat winbind
Ellenőrizze, hogy a Microsoft Entra ID és a Linux dátum és idő szinkronban van-e. Ezt úgy teheti meg, hogy hozzáadja a Microsoft Entra-kiszolgálót az NTP szolgáltatáshoz:
Adja hozzá a következő sort a következőhöz
/etc/ntp.conf
:server aaddscontoso.com
Indítsa újra az NTP szolgáltatást:
sudo systemctl restart ntpd
Csatlakozzon a tartományhoz:
sudo net ads join -U Administrator%Mypassword
Engedélyezze a winbindet bejelentkezési forrásként a Linux pluggable Authentication Modules (PAM) szolgáltatásban:
config pam-config --add --winbind
Engedélyezze az otthoni könyvtárak automatikus létrehozását, hogy a felhasználók bejelentkezhessenek:
sudo pam-config -a --mkhomedir
Indítsa el és engedélyezze a winbind szolgáltatást:
sudo systemctl enable winbind sudo systemctl start winbind
Jelszóhitelesítés engedélyezése SSH-hoz
Alapértelmezés szerint a felhasználók csak SSH nyilvános kulcsalapú hitelesítéssel jelentkezhetnek be egy virtuális gépre. A jelszóalapú hitelesítés sikertelen. Amikor egy felügyelt tartományhoz csatlakozik a virtuális géphez, ezeknek a tartományi fiókoknak jelszóalapú hitelesítést kell használniuk. Frissítse az SSH-konfigurációt a jelszóalapú hitelesítés engedélyezéséhez az alábbiak szerint.
Nyissa meg a sshd_conf fájlt egy szerkesztővel:
sudo vi /etc/ssh/sshd_config
Módosítsa a PasswordAuthentication sorát igen értékre:
PasswordAuthentication yes
Ha elkészült, mentse és lépjen ki a sshd_conf fájlból a
:wq
szerkesztő parancsával.A módosítások alkalmazásához és a felhasználók jelszóval való bejelentkezéséhez indítsa újra az SSH szolgáltatást:
sudo systemctl restart sshd
Az "AAD DC Rendszergazda istrators" csoport sudo jogosultságainak megadása
Ha az AAD DC Rendszergazda istrators csoportszintű rendszergazdai jogosultságokat szeretne biztosítani az SLE virtuális gépen, adjon hozzá egy bejegyzést a /etc/sudoershez. A hozzáadást követően az AAD DC Rendszergazda istrators csoport tagjai használhatják az sudo
SLE virtuális gépen található parancsot.
Nyissa meg a sudoers fájlt szerkesztésre:
sudo visudo
Adja hozzá a következő bejegyzést a /etc/sudoers fájl végéhez. Az AAD dc Rendszergazda istrators csoport a névben szóközt tartalmaz, így a fordított perjel feloldó karaktert is belefoglalja a csoportnévbe. Adja hozzá saját tartománynevét, például aaddscontoso.com:
# Add 'AAD DC Administrators' group members as admins. %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
Ha elkészült, mentse és lépjen ki a szerkesztőből a
:wq
szerkesztő parancsával.
Jelentkezzen be a virtuális gépre tartományi fiókkal
Annak ellenőrzéséhez, hogy a virtuális gép sikeresen csatlakozott-e a felügyelt tartományhoz, indítsa el az új SSH-kapcsolatot egy tartományi felhasználói fiókkal. Ellenőrizze, hogy létre lett-e hozva egy kezdőkönyvtár, és hogy a csoporttagság a tartományból lett-e alkalmazva.
Hozzon létre egy új SSH-kapcsolatot a konzolról. Használjon egy tartományfiókot, amely a felügyelt tartományhoz tartozik a
ssh -l
paranccsal, példáulcontosoadmin@aaddscontoso.com
adja meg a virtuális gép címét, például linux-q2gr.aaddscontoso.com. Ha az Azure Cloud Shellt használja, használja a virtuális gép nyilvános IP-címét a belső DNS-név helyett.sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
Ha sikeresen csatlakozott a virtuális géphez, ellenőrizze, hogy a kezdőkönyvtár megfelelően lett-e inicializálva:
sudo pwd
A /home könyvtárban kell lennie a felhasználói fióknak megfelelő saját címtárral.
Most ellenőrizze, hogy a csoporttagságok helyesen vannak-e feloldva:
sudo id
A csoporttagságoknak a felügyelt tartományból kell megjelennie.
Ha az AAD DC Rendszergazda istrators csoport tagjaként jelentkezett be a virtuális gépre, ellenőrizze, hogy helyesen használhatja-e a
sudo
parancsot:sudo zypper update
Következő lépések
Ha problémái vannak a virtuális gép felügyelt tartományhoz való csatlakoztatásával vagy egy tartományi fiókkal való bejelentkezéssel, tekintse meg a tartományhoz való csatlakozással kapcsolatos problémák hibaelhárítását.