Condividi tramite

Configurare il client VPN di Azure - Autenticazione di Microsoft Entra ID - Linux (anteprima)

  • Articolo

Questo articolo illustra come configurare il client VPN di Azure in un computer Linux (Ubuntu) per connettersi a una rete virtuale usando una VPN da punto a sito del gateway VPN e l'autenticazione di Microsoft Entra ID. Per altre informazioni sulle connessioni da punto a sito, vedere Informazioni sulle connessioni da punto a sito.

I passaggi descritti in questo articolo si applicano all'autenticazione di Microsoft Entra ID usando l'app client VPN di Azure registrata da Microsoft con i valori di ID app e Destinatari associati. Questo articolo non si applica all'app client VPN di Azure precedente registrata manualmente per il tenant. Per altre informazioni, vedere Informazioni sulla VPN da punto a sito - Autenticazione di Microsoft Entra ID.

Sebbene sia possibile che il client VPN di Azure per Linux funzioni in altre distribuzioni e versioni linux, il client VPN di Azure per Linux è supportato solo nelle versioni seguenti:

  • Ubuntu 20.04
  • Ubuntu 22.04

Prerequisiti

Completare la procedura per la configurazione del server da punto a sito. Vedere Configurare un gateway VPN da punto a sito per l'autenticazione di Microsoft Entra ID.

Workflow

Al termine della configurazione del server gateway VPN di Azure da punto a sito, i passaggi successivi sono i seguenti:

  1. Scaricare e installare il client VPN di Azure per Linux.
  2. Importare le impostazioni del profilo client nel client VPN.
  3. Crea una connessione.

Scaricare e installare il client VPN di Azure

Usare la procedura seguente per scaricare e installare la versione più recente del client VPN di Azure per Linux.

Nota

Aggiungere solo l'elenco dei repository della versione 20.04 o 22.04 di Ubuntu. Per altre informazioni, vedere Repository software Linux per i prodotti Microsoft.

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

Estrarre il pacchetto di configurazione del profilo client VPN

Per configurare il profilo client VPN di Azure, è necessario scaricare un pacchetto di configurazione del profilo client VPN dal gateway di connessione da punto a sito di Azure. Questo pacchetto contiene le impostazioni necessarie per configurare il client VPN.

Se è stata usata la procedura di configurazione del server da punto a sito come indicato nella sezione Prerequisiti, il pacchetto di configurazione del profilo client VPN che contiene i file di configurazione del profilo VPN necessari è già stato generato e scaricato. Se è necessario generare i file di configurazione, vedere Scaricare il pacchetto di configurazione del profilo client VPN.

Se il gateway di connessione da punto a sito è stato configurato in precedenza per l'uso delle versioni precedenti dell'ID app registrate manualmente, la configurazione da sito a sito non supporta il client VPN Linux. Vedere Informazioni sull'ID app registrato da Microsoft per il client VPN di Azure.

Individuare ed estrarre il file ZIP che contiene il pacchetto di configurazione del profilo client VPN. Il file ZIP contiene la cartella AzureVPN. Nella cartella AzureVPN verrà visualizzato il file azurevpnconfig_aad.xml o il file azurevpnconfig.xml, a seconda che la configurazione da punto a sito includa più tipi di autenticazione. Il file XML contiene le impostazioni da usare per configurare il profilo client VPN.

Modificare i file di configurazione del profilo

Se la configurazione da sito a sito usa un gruppo di destinatari personalizzato con l'ID app registrato da Microsoft, è possibile che venga visualizzato un messaggio di errore AADSTS650057 quando si tenta di connettersi. La ripetizione dei tentativi di autenticazione risolve in genere il problema. Ciò si verifica perché il profilo client VPN richiede sia l'ID gruppo di destinatari personalizzato che l'ID applicazione Microsoft. Per evitare questo problema, modificare il file di configurazione del profilo .xml in modo da includere sia l'ID applicazione personalizzato che l'ID applicazione Microsoft.

Nota

Questo passaggio è necessario per le configurazioni del gateway da punto a sito che usano un valore di gruppo di destinatari personalizzato e l'app registrata è associata all'ID app client VPN di Azure registrato da Microsoft. Se non si applica alla configurazione del gateway da punto a sito, è possibile ignorare questo passaggio.

  1. Per modificare il file di configurazione del client VPN di Azure .xml, aprire il file usando un editor di testo, ad esempio Blocco note.

  2. Aggiungere quindi il valore per applicationid e salvare le modifiche. Nell'esempio seguente viene illustrato il valore dell'ID applicazione per c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

    Esempio

    <aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

Importare le impostazioni di configurazione del profilo client

In questa sezione verrà configurato il client VPN di Azure per Linux.

  1. Nella pagina Client VPN di Azure selezionare Importa.

    Screenshot della selezione dell'opzione Importa per il client VPN di Azure.

  2. Selezionare Importa profilo e individuare il file XML del profilo. Selezionare il file . Con il file selezionato, selezionare OK.

    Screenshot del client VPN di Azure che mostra il file da importare.

  3. Visualizzare le informazioni del profilo di connessione. Modificare il valore di Informazioni sul certificato per visualizzare il valore predefinito DigiCert_Global_Root G2.pem o DigiCert_Global_Root_CA.pem. Non lasciare questo valore vuoto.

  4. Se il profilo client VPN contiene più autenticazioni client, per Autenticazione client e Tipo di autenticazione selezionare l'opzione per Microsoft Entra ID.

    Screenshot che mostra i campi Convalida server e Autenticazione client.

  5. Per il campo Tenant, specificare l'URL del tenant di Microsoft Entra. Assicurarsi che l'URL del tenant non termini con un simbolo \ (barra rovesciata). La barra è consentita.

    L'ID tenant ha la struttura seguente: https://login.microsoftonline.com/{Entra TenantID}

  6. Per il campo Destinatari specificare l'ID applicazione (ID app).

    L'ID app per Pubblico di Azure è: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Per questo campo è supportato anche un ID app personalizzato.

  7. Per il campo Autorità di certificazione specificare l'URL del servizio token di sicurezza. Includere una barra finale alla fine del valore Autorità di certificazione. In caso contrario, la connessione potrebbe non riuscire.

    Esempio: https://sts.windows.net/{AzureAD TenantID}/

  8. Dopo aver compilato i campi, fare clic su Salva.

  9. Nel riquadro Connessioni VPN selezionare il profilo di connessione salvato. Nell'elenco a discesa fare quindi clic su Connetti.

    Screenshot che mostra il profilo di connessione e l'area per trovare l'opzione Connetti nell'elenco a discesa.

  10. Viene visualizzato automaticamente il Web browser. Immettere le credenziali di nome utente/password per l'autenticazione di Microsoft Entra ID e quindi connettersi.

    Screenshot della pagina di accesso delle credenziali di autenticazione.

  11. Se la connessione viene stabilita, il client visualizza un'icona verde e la finestra Log di stato mostra Stato = Connesso.

    Screenshot del client VPN con la finestra dei log di stato che mostra lo stato Connesso.

  12. Dopo la connessione, lo stato passa a Connesso. Per disconnettersi dalla sessione, selezionare Disconnetti.

Eliminare un profilo client VPN

  1. Nel client VPN di Azure selezionare la connessione da rimuovere. Nell'elenco a discesa selezionare quindi Rimuovi.

    Screenshot del client VPN con l'elenco a discesa che mostra tre opzioni: Connetti, Configura, Rimuovi.

  2. In Rimuovere la connessione VPN? selezionare OK.

    Screenshot che mostra il client VPN con il messaggio popup Rimuovere la connessione VPN? aperto.

Controllare i log

Per diagnosticare i problemi, è possibile usare i Log del client VPN di Azure.

  1. Nel client VPN di Azure passare a Impostazioni. Nel riquadro a destra selezionare Mostra directory log.

    Screenshot del client VPN con l'opzione Mostra directory log.

  2. Per accedere al file di log, passare alla cartella /var/log/azurevpnclient e individuare il file AzureVPNClient.log.

    Screenshot del percorso del file di log del client VPN di Azure.

Passaggi successivi