Ubuntu Linux rendszerű virtuális gép csatlakoztatása felügyelt Microsoft Entra Domain Services-tartományhoz
Ha lehetővé szeretné tenni, hogy a felhasználók egyetlen hitelesítő adatkészlettel jelentkezzenek be virtuális gépekre (virtuális gépekre) az Azure-ban, csatlakoztathat virtuális gépeket egy felügyelt Microsoft Entra Domain Services-tartományhoz. Amikor egy virtuális géphez csatlakozik egy domain Services által felügyelt tartományhoz, a tartomány felhasználói fiókjai és hitelesítő adatai használhatók a kiszolgálók bejelentkezésére és kezelésére. A felügyelt tartomány csoporttagságait is alkalmazza a rendszer, hogy szabályozhassa a virtuális gépen lévő fájlokhoz vagy szolgáltatásokhoz való hozzáférést.
Ez a cikk bemutatja, hogyan csatlakozhat egy Ubuntu Linux rendszerű virtuális géphez egy felügyelt tartományhoz.
Előfeltételek
Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
- Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
- Szükség esetén az első oktatóanyag létrehoz és konfigurál egy Felügyelt Microsoft Entra Domain Services-tartományt.
- A felügyelt tartomány részét képező felhasználói fiók. Győződjön meg arról, hogy a felhasználó SAMAccountName attribútuma nincs automatikusan létrehozva. Ha a Microsoft Entra-bérlő több felhasználói fiókja ugyanazt a mailNickname attribútumot használja, az egyes felhasználók SAMAccountName attribútuma automatikusan létrejön. További információ: Objektumok és hitelesítő adatok szinkronizálása a Microsoft Entra Domain Services által felügyelt tartományokban.
- Egyedi, legfeljebb 15 karakter hosszúságú Linux rendszerű virtuálisgép-nevek, amelyek elkerülik a csonkolt neveket, amelyek ütközéseket okozhatnak az Active Directoryban.
Ubuntu Linux rendszerű virtuális gép létrehozása és csatlakoztatása
Ha már rendelkezik Ubuntu Linux rendszerű virtuális géppel az Azure-ban, csatlakozzon hozzá az SSH használatával, majd folytassa a következő lépéssel a virtuális gép konfigurálásának megkezdéséhez.
Ha Ubuntu Linux rendszerű virtuális gépet szeretne létrehozni, vagy teszt virtuális gépet szeretne létrehozni a jelen cikkhez, az alábbi módszerek egyikét használhatja:
A virtuális gép létrehozásakor ügyeljen a virtuális hálózat beállításaira, hogy a virtuális gép kommunikálhasson a felügyelt tartománnyal:
- Helyezze üzembe a virtuális gépet ugyanabban a virtuális hálózatban vagy egy társhálózaton, amelyben engedélyezte a Microsoft Entra Domain Services szolgáltatást.
- Helyezze üzembe a virtuális gépet egy másik alhálózaton, mint a Microsoft Entra Domain Services által felügyelt tartomány.
A virtuális gép üzembe helyezése után kövesse az SSH használatával a virtuális géphez való csatlakozás lépéseit.
A gazdagépfájl konfigurálása
Annak érdekében, hogy a virtuálisgép-gazdagép neve megfelelően legyen konfigurálva a felügyelt tartományhoz, szerkessze az /etc/hosts fájlt, és állítsa be a gazdagép nevét:
sudo vi /etc/hosts
A gazdagépfájlban frissítse a localhost-címet. Az alábbi példában:
- aaddscontoso.com a felügyelt tartomány DNS-tartományneve.
- Az ubuntu annak az Ubuntu virtuális gépnek a gazdagépneve, amelyhez a felügyelt tartományhoz csatlakozik.
Frissítse ezeket a neveket a saját értékeivel:
127.0.0.1 ubuntu.aaddscontoso.com ubuntu
Ha elkészült, mentse és lépjen ki a gazdagépfájlból a :wq
szerkesztő parancsával.
Szükséges csomagok telepítése
A virtuális gépnek további csomagokra van szüksége a virtuális gép felügyelt tartományhoz való csatlakoztatásához. A csomagok telepítéséhez és konfigurálásához frissítse és telepítse a tartományhoz csatlakozó eszközöket a apt-get
A Kerberos telepítése során a krb5-felhasználó csomag az ALL UPPERCA Standard kiadás tartománynevet kéri. Ha például a felügyelt tartomány neve aaddscontoso.com, adja meg a AADDSCONTOSO.COM tartományként. A telepítés a /etc/krb5.conf konfigurációs fájlba írja a szakaszokat és [domain_realm]
a [realm]
szakaszokat. Győződjön meg arról, hogy az ALL UPPERCA tartományt adja meg Standard kiadás:
sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli
Hálózati időprotokoll (NTP) konfigurálása
Ahhoz, hogy a tartományi kommunikáció megfelelően működjön, az Ubuntu virtuális gép dátumának és időpontjának szinkronizálnia kell a felügyelt tartománnyal. Adja hozzá a felügyelt tartomány NTP-állomásnevét a /etc/ntp.conf fájlhoz .
Nyissa meg az ntp.conf fájlt egy szerkesztővel:
sudo vi /etc/ntp.conf
Az ntp.conf fájlban hozzon létre egy sort a felügyelt tartomány DNS-nevének hozzáadásához. Az alábbi példában a aaddscontoso.com bejegyzése lesz hozzáadva. Használja a saját DNS-nevét:
server aaddscontoso.com
Ha elkészült, mentse és lépjen ki az ntp.conf fájlból a
:wq
szerkesztő parancsával.Ahhoz, hogy a virtuális gép szinkronizálva legyen a felügyelt tartománnyal, a következő lépésekre van szükség:
- Az NTP-kiszolgáló leállítása
- A felügyelt tartomány dátumának és időpontjának frissítése
- Az NTP szolgáltatás elindítása
A lépések végrehajtásához futtassa az alábbi parancsokat. Használja a saját DNS-nevét a
ntpdate
következő paranccsal:sudo systemctl stop ntp sudo ntpdate aaddscontoso.com sudo systemctl start ntp
Virtuális gép csatlakoztatása a felügyelt tartományhoz
Most, hogy a szükséges csomagok telepítve vannak a virtuális gépen és az NTP konfigurálva van, csatlakozzon a virtuális géphez a felügyelt tartományhoz.
realm discover
A parancs használatával felderítheti a felügyelt tartományt. Az alábbi példa felderíti a tartomány AADDSCONTOSO.COM. Adja meg a saját felügyelt tartománynevét az ALL UPPERCA-ban Standard kiadás:sudo realm discover AADDSCONTOSO.COM
Ha a
realm discover
parancs nem találja a felügyelt tartományt, tekintse át a következő hibaelhárítási lépéseket:- Győződjön meg arról, hogy a tartomány elérhető a virtuális gépről. Próbálja meg
ping aaddscontoso.com
megnézni, hogy a válasz pozitív-e. - Ellenőrizze, hogy a virtuális gép ugyanarra a virtuális hálózatra vagy társhálózatra van-e üzembe helyezve, amelyben a felügyelt tartomány elérhető.
- Győződjön meg arról, hogy a virtuális hálózat DNS-kiszolgálóbeállításai frissültek, hogy a felügyelt tartomány tartományvezérlőire mutassanak.
- Győződjön meg arról, hogy a tartomány elérhető a virtuális gépről. Próbálja meg
Most inicializálja a Kerberost a
kinit
paranccsal. Adjon meg egy felhasználót, aki a felügyelt tartomány része. Szükség esetén adjon hozzá egy felhasználói fiókot egy csoporthoz a Microsoft Entra-azonosítóban.A felügyelt tartománynevet ismét az ALL UPPERCA Standard kiadás fájlba kell beírni. Az alábbi példában az elnevezett
contosoadmin@aaddscontoso.com
fiók a Kerberos inicializálására szolgál. Adja meg a saját felhasználói fiókját, amely a felügyelt tartomány része:sudo kinit -V contosoadmin@AADDSCONTOSO.COM
Végül csatlakozzon a virtuális géphez a felügyelt tartományhoz a
realm join
parancs használatával. Használja ugyanazt a felhasználói fiókot, amely az előzőkinit
parancsban megadott felügyelt tartomány része, példáulcontosoadmin@AADDSCONTOSO.COM
:sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/
A virtuális gép felügyelt tartományhoz való csatlakoztatása néhány percet vesz igénybe. Az alábbi példakimenet azt mutatja, hogy a virtuális gép sikeresen csatlakozott a felügyelt tartományhoz:
Successfully enrolled machine in realm
Ha a virtuális gép nem tudja sikeresen végrehajtani a tartományhoz való csatlakozás folyamatát, győződjön meg arról, hogy a virtuális gép hálózati biztonsági csoportja engedélyezi a kimenő Kerberos-forgalmat a TCP + UDP 464-porton a felügyelt tartomány virtuális hálózati alhálózatára.
Ha nem meghatározott GSS-hibát kapott. Az alkód további információkat nyújthat (a kiszolgáló nem található a Kerberos-adatbázisban), nyissa meg a fájlt /etc/krb5.conf , és adja hozzá a következő kódot a [libdefaults]
szakaszban, és próbálkozzon újra:
rdns=false
Az SSSD konfigurációjának frissítése
Az előző lépésben telepített csomagok egyike a System Security Services Démonhoz (SSSD) készült. Amikor egy felhasználó tartományi hitelesítő adatokkal próbál bejelentkezni egy virtuális gépre, az SSSD továbbítja a kérést egy hitelesítésszolgáltatónak. Ebben a forgatókönyvben az SSSD a Domain Services használatával hitelesíti a kérést.
Nyissa meg az sssd.conf fájlt egy szerkesztővel:
sudo vi /etc/sssd/sssd.conf
Fűzzön megjegyzést a use_fully_qualified_names sorához az alábbiak szerint:
# use_fully_qualified_names = True
Ha elkészült, mentse és lépjen ki az sssd.conf fájlból a
:wq
szerkesztő parancsával.A módosítás alkalmazásához indítsa újra az SSSD szolgáltatást:
sudo systemctl restart sssd
Felhasználói fiók és csoport beállításainak konfigurálása
Ha a virtuális gép csatlakozik a felügyelt tartományhoz, és hitelesítésre van konfigurálva, néhány felhasználói konfigurációs beállítást végre kell hajtani. Ezek a konfigurációs módosítások közé tartozik a jelszóalapú hitelesítés engedélyezése, valamint az otthoni címtárak automatikus létrehozása a helyi virtuális gépen, amikor a tartományi felhasználók először jelentkeznek be.
Jelszóhitelesítés engedélyezése SSH-hoz
Alapértelmezés szerint a felhasználók csak SSH nyilvános kulcsalapú hitelesítéssel jelentkezhetnek be egy virtuális gépre. A jelszóalapú hitelesítés sikertelen. Amikor egy felügyelt tartományhoz csatlakozik a virtuális géphez, ezeknek a tartományi fiókoknak jelszóalapú hitelesítést kell használniuk. Frissítse az SSH-konfigurációt a jelszóalapú hitelesítés engedélyezéséhez az alábbiak szerint.
Nyissa meg a sshd_conf fájlt egy szerkesztővel:
sudo vi /etc/ssh/sshd_config
Módosítsa a PasswordAuthentication sorát igen értékre:
PasswordAuthentication yes
Ha elkészült, mentse és lépjen ki a sshd_conf fájlból a
:wq
szerkesztő parancsával.A módosítások alkalmazásához és a felhasználók jelszóval való bejelentkezéséhez indítsa újra az SSH szolgáltatást:
sudo systemctl restart ssh
Automatikus kezdőkönyvtár-létrehozás konfigurálása
Ha engedélyezni szeretné a kezdőkönyvtár automatikus létrehozását, amikor egy felhasználó először jelentkezik be, hajtsa végre az alábbi lépéseket:
Nyissa meg a
/etc/pam.d/common-session
fájlt egy szerkesztőben:sudo vi /etc/pam.d/common-session
Adja hozzá a következő sort ebben a fájlban a sor
session optional pam_sss.so
alá:session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
Ha elkészült, mentse és lépjen ki a közös munkamenetfájlból a
:wq
szerkesztő parancsával.
Az "AAD DC Rendszergazda istrators" csoport sudo jogosultságainak megadása
Ha az AAD DC Rendszergazda istrators csoportszintű rendszergazdai jogosultságokat szeretne biztosítani az Ubuntu virtuális gépen, adjon hozzá egy bejegyzést a /etc/sudoershez. A hozzáadást követően az AAD DC Rendszergazda istrators csoport tagjai használhatják az sudo
Ubuntu virtuális gép parancsát.
Nyissa meg a sudoers fájlt szerkesztésre:
sudo visudo
Adja hozzá a következő bejegyzést a /etc/sudoers fájl végéhez:
# Add 'AAD DC Administrators' group members as admins. %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
Ha elkészült, mentse és lépjen ki a szerkesztőből a
Ctrl-X
paranccsal.
Jelentkezzen be a virtuális gépre tartományi fiókkal
Annak ellenőrzéséhez, hogy a virtuális gép sikeresen csatlakozott-e a felügyelt tartományhoz, indítsa el az új SSH-kapcsolatot egy tartományi felhasználói fiókkal. Ellenőrizze, hogy létre lett-e hozva egy kezdőkönyvtár, és hogy a csoporttagság a tartományból lett-e alkalmazva.
Hozzon létre egy új SSH-kapcsolatot a konzolról. Használjon egy olyan tartományfiókot, amely a felügyelt tartományhoz tartozik a
ssh -l
parancs használatával, példáulcontosoadmin@aaddscontoso.com
adja meg a virtuális gép címét, például ubuntu.aaddscontoso.com. Ha az Azure Cloud Shellt használja, használja a virtuális gép nyilvános IP-címét a belső DNS-név helyett.sudo ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com
Ha sikeresen csatlakozott a virtuális géphez, ellenőrizze, hogy a kezdőkönyvtár megfelelően lett-e inicializálva:
sudo pwd
A /home könyvtárban kell lennie a felhasználói fióknak megfelelő saját címtárral.
Most ellenőrizze, hogy a csoporttagságok helyesen vannak-e feloldva:
sudo id
A csoporttagságoknak a felügyelt tartományból kell megjelennie.
Ha az AAD DC Rendszergazda istrators csoport tagjaként jelentkezett be a virtuális gépre, ellenőrizze, hogy helyesen használhatja-e a
sudo
parancsot:sudo apt-get update
További lépések
Ha problémái vannak a virtuális gép felügyelt tartományhoz való csatlakoztatásával vagy egy tartományi fiókkal való bejelentkezéssel, tekintse meg a tartományhoz való csatlakozással kapcsolatos problémák hibaelhárítását.