Aggiungere una macchina virtuale Red Hat Enterprise Linux a un dominio gestito di Microsoft Entra Domain Services

Per consentire agli utenti di accedere alle macchine virtuali (VM) in Azure usando un singolo set di credenziali, è possibile aggiungere macchine virtuali a un dominio gestito di Microsoft Entra Domain Services. Quando si aggiunge una macchina virtuale a un dominio gestito di Servizi di dominio, è possibile usare account utente e credenziali dal dominio per accedere e gestire i server. Le appartenenze ai gruppi del dominio gestito vengono applicate anche per consentire di controllare l'accesso ai file o ai servizi nella macchina virtuale.

Questo articolo illustra come aggiungere una macchina virtuale Red Hat Enterprise Linux (RHEL) a un dominio gestito.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, la prima esercitazione crea e configura un dominio gestito di Microsoft Entra Domain Services.
• Un account utente che fa parte del dominio gestito.
• Nomi univoci di macchine virtuali Linux con un massimo di 15 caratteri per evitare nomi troncati che potrebbero causare conflitti in Active Directory.

Creare e connettersi a una macchina virtuale RHEL Linux

Se si dispone di una macchina virtuale Linux RHEL esistente in Azure, connettersi tramite SSH, quindi continuare con il passaggio successivo per iniziare a configurare la macchina virtuale.

Se è necessario creare una macchina virtuale Linux RHEL o creare una macchina virtuale di test da usare con questo articolo, è possibile usare uno dei metodi seguenti:

• Interfaccia di amministrazione di Microsoft Entra
• Interfaccia della riga di comando di Azure
• Azure PowerShell

Quando si crea la macchina virtuale, prestare attenzione alle impostazioni della rete virtuale per assicurarsi che la macchina virtuale possa comunicare con il dominio gestito:

• Distribuire la macchina virtuale nella stessa rete virtuale con peering in cui è stato abilitato Microsoft Entra Domain Services.
• Distribuire la macchina virtuale in una subnet diversa rispetto al dominio gestito di Microsoft Entra Domain Services.

Dopo aver distribuito la macchina virtuale, seguire la procedura per connettersi alla macchina virtuale tramite SSH.

Configurare il file hosts

Per assicurarsi che il nome host della macchina virtuale sia configurato correttamente per il dominio gestito, modificare il file /etc/hosts e impostare il nome host:

sudo vi /etc/hosts

Nel file hosts aggiornare l'indirizzo localhost. Nell'esempio seguente:

• aaddscontoso.com è il nome di dominio DNS del dominio gestito.
• rhel è il nome host della macchina virtuale RHEL che si sta aggiungendo al dominio gestito.

Aggiornare questi nomi con i propri valori:

127.0.0.1 rhel rhel.aaddscontoso.com

Al termine, salvare ed uscire dal file hosts usando il :wq comando dell'editor.

RHEL 6

Importante

Tenere presente che Red Hat Enterprise Linux 6.X e Oracle Linux 6.x sono già EOL. RHEL 6.10 dispone del supporto ELS disponibile, che terminerà il 06/2024.

Installare i pacchetti necessari

La macchina virtuale richiede alcuni pacchetti aggiuntivi per aggiungere la macchina virtuale al dominio gestito. Per installare e configurare questi pacchetti, aggiornare e installare gli strumenti di aggiunta a un dominio usando yum.

sudo yum install adcli sssd authconfig krb5-workstation

Aggiungere una macchina virtuale al dominio gestito

Ora che i pacchetti necessari sono installati nella macchina virtuale, aggiungere la macchina virtuale al dominio gestito.

1. Usare il adcli info comando per individuare il dominio gestito. Nell'esempio seguente viene individuata la ADDDSCONTOSO.COM dell'area di autenticazione. Specificare il proprio nome di dominio gestito in ALL UPPERCA edizione Standard:

   sudo adcli info aaddscontoso.com
   

   Se il comando non riesce a trovare il adcli info dominio gestito, esaminare i passaggi seguenti per la risoluzione dei problemi:

   • Assicurarsi che il dominio sia raggiungibile dalla macchina virtuale. Provare ping aaddscontoso.com a verificare se viene restituita una risposta positiva.
   • Verificare che la macchina virtuale sia distribuita nella stessa rete virtuale con peering in cui è disponibile il dominio gestito.
   • Verificare che le impostazioni del server DNS per la rete virtuale siano state aggiornate in modo che puntino ai controller di dominio del dominio gestito.

2. Prima di tutto, aggiungere il dominio usando il adcli join comando , questo comando crea anche il keytab per autenticare il computer. Usare un account utente che fa parte del dominio gestito.

   sudo adcli join aaddscontoso.com -U contosoadmin
   

3. Configurare /ect/krb5.conf ora e creare i /etc/sssd/sssd.conf file per l'uso del aaddscontoso.com dominio di Active Directory. Assicurarsi che AADDSCONTOSO.COM sia sostituito dal proprio nome di dominio:

   Aprire il /etc/krb5.conf file con un editor:

   sudo vi /etc/krb5.conf
   

   Aggiornare il krb5.conf file in modo che corrisponda all'esempio seguente:

   [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
   
   [libdefaults]
    default_realm = AADDSCONTOSO.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
   
   [realms]
    AADDSCONTOSO.COM = {
    kdc = AADDSCONTOSO.COM
    admin_server = AADDSCONTOSO.COM
    }
   
   [domain_realm]
    .AADDSCONTOSO.COM = AADDSCONTOSO.COM
    AADDSCONTOSO.COM = AADDSCONTOSO.COM
   

   Creare il /etc/sssd/sssd.conf file:

   sudo vi /etc/sssd/sssd.conf
   

   Aggiornare il sssd.conf file in modo che corrisponda all'esempio seguente:

   [sssd]
    services = nss, pam, ssh, autofs
    config_file_version = 2
    domains = AADDSCONTOSO.COM
   
   [domain/AADDSCONTOSO.COM]
   
    id_provider = ad
   

4. Assicurarsi che /etc/sssd/sssd.conf le autorizzazioni siano 600 e siano di proprietà dell'utente radice:

   sudo chmod 600 /etc/sssd/sssd.conf
   sudo chown root:root /etc/sssd/sssd.conf
   

5. Usare authconfig per indicare alla macchina virtuale l'integrazione di AD Linux:

   sudo authconfig --enablesssd --enablesssd auth --update
   

6. Avviare e abilitare il servizio sssd:

   sudo service sssd start
   sudo chkconfig sssd on
   

Se la macchina virtuale non riesce a completare correttamente il processo di aggiunta al dominio, assicurarsi che il gruppo di sicurezza di rete della macchina virtuale consenta il traffico Kerberos in uscita sulla porta TCP + UDP 464 alla subnet di rete virtuale per il dominio gestito.

Controllare ora se è possibile eseguire query sulle informazioni di Active Directory dell'utente usando getent

sudo getent passwd contosoadmin

Consenti autenticazione password per SSH

Per impostazione predefinita, gli utenti possono accedere solo a una macchina virtuale usando l'autenticazione basata su chiave pubblica SSH. L'autenticazione basata su password ha esito negativo. Quando si aggiunge la macchina virtuale a un dominio gestito, questi account di dominio devono usare l'autenticazione basata su password. Aggiornare la configurazione SSH per consentire l'autenticazione basata su password come indicato di seguito.

1. Aprire il file sshd_conf con un editor:

   sudo vi /etc/ssh/sshd_config
   

2. Aggiornare la riga per PasswordAuthentication su sì:

   PasswordAuthentication yes
   

   Al termine, salvare e uscire dal file sshd_conf usando il :wq comando dell'editor.

3. Per applicare le modifiche e consentire agli utenti di accedere usando una password, riavviare il servizio SSH per la versione della distribuzione RHEL:

   sudo service sshd restart
   

RHEL 7

Installare i pacchetti necessari

La macchina virtuale richiede alcuni pacchetti aggiuntivi per aggiungere la macchina virtuale al dominio gestito. Per installare e configurare questi pacchetti, aggiornare e installare gli strumenti di aggiunta a un dominio usando yum.

sudo yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

Aggiungere una macchina virtuale al dominio gestito

Ora che i pacchetti necessari sono installati nella macchina virtuale, aggiungere la macchina virtuale al dominio gestito. Anche in questo caso, usare i passaggi appropriati per la versione della distribuzione RHEL.

1. Usare il realm discover comando per individuare il dominio gestito. Nell'esempio seguente viene individuata la AADDSCONTOSO.COM dell'area di autenticazione. Specificare il proprio nome di dominio gestito in ALL UPPERCA edizione Standard:

   sudo realm discover AADDSCONTOSO.COM
   

   Se il comando non riesce a trovare il realm discover dominio gestito, esaminare i passaggi seguenti per la risoluzione dei problemi:

   • Assicurarsi che il dominio sia raggiungibile dalla macchina virtuale. Provare ping aaddscontoso.com a verificare se viene restituita una risposta positiva.
   • Verificare che la macchina virtuale sia distribuita nella stessa rete virtuale con peering in cui è disponibile il dominio gestito.
   • Verificare che le impostazioni del server DNS per la rete virtuale siano state aggiornate in modo che puntino ai controller di dominio del dominio gestito.

2. Inizializzare Ora Kerberos usando il kinit comando . Specificare un utente che fa parte del dominio gestito. Se necessario, aggiungere un account utente a un gruppo in Microsoft Entra ID.

   Anche in questo caso, il nome di dominio gestito deve essere immesso in ALL UPPERCA edizione Standard. Nell'esempio seguente l'account denominato contosoadmin@aaddscontoso.com viene usato per inizializzare Kerberos. Immettere il proprio account utente che fa parte del dominio gestito:

   sudo kinit contosoadmin@AADDSCONTOSO.COM
   

3. Infine, aggiungere la macchina virtuale al dominio gestito usando il realm join comando . Usare lo stesso account utente che fa parte del dominio gestito specificato nel comando precedente kinit , ad esempio contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM'
   

L'aggiunta della macchina virtuale al dominio gestito richiede alcuni istanti. L'output di esempio seguente mostra che la macchina virtuale è stata aggiunta correttamente al dominio gestito:

Successfully enrolled machine in realm

Consenti autenticazione password per SSH

Per impostazione predefinita, gli utenti possono accedere solo a una macchina virtuale usando l'autenticazione basata su chiave pubblica SSH. L'autenticazione basata su password ha esito negativo. Quando si aggiunge la macchina virtuale a un dominio gestito, questi account di dominio devono usare l'autenticazione basata su password. Aggiornare la configurazione SSH per consentire l'autenticazione basata su password come indicato di seguito.

1. Aprire il file sshd_conf con un editor:

   sudo vi /etc/ssh/sshd_config
   

2. Aggiornare la riga per PasswordAuthentication su sì:

   PasswordAuthentication yes
   

   Al termine, salvare e uscire dal file sshd_conf usando il :wq comando dell'editor.

3. Per applicare le modifiche e consentire agli utenti di accedere usando una password, riavviare il servizio SSH.

   sudo systemctl restart sshd
   

Concedere i privilegi sudo al gruppo "Amministratori di AAD DC"

Per concedere ai membri del controller di dominio di AAD Amministrazione istrators privilegi amministrativi nella macchina virtuale RHEL, aggiungere una voce ai /etc/sudoers. Dopo l'aggiunta, i membri del gruppo AAD DC Amministrazione istrators possono usare il sudo comando nella macchina virtuale RHEL.

1. Aprire il file sudoers per la modifica:

   sudo visudo
   

2. Aggiungere la voce seguente alla fine del file /etc/sudoers . Il gruppo AAD DC Amministrazione istrators contiene spazi vuoti nel nome, quindi includere il carattere di escape barra rovesciata nel nome del gruppo. Aggiungere il proprio nome di dominio, ad esempio aaddscontoso.com:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   Al termine, salvare e uscire dall'editor usando il :wq comando dell'editor.

Accedere alla macchina virtuale usando un account di dominio

Per verificare che la macchina virtuale sia stata aggiunta correttamente al dominio gestito, avviare una nuova connessione SSH usando un account utente di dominio. Verificare che sia stata creata una home directory e che venga applicata l'appartenenza a un gruppo dal dominio.

1. Creare una nuova connessione SSH dalla console. Usare un account di dominio appartenente al dominio gestito usando il ssh -l comando , ad esempio contosoadmin@aaddscontoso.com e quindi immettere l'indirizzo della macchina virtuale, ad esempio rhel.aaddscontoso.com. Se si usa Azure Cloud Shell, usare l'indirizzo IP pubblico della macchina virtuale anziché il nome DNS interno.

   ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
   

2. Dopo aver eseguito la connessione alla macchina virtuale, verificare che la home directory sia stata inizializzata correttamente:

   pwd
   

   Si dovrebbe trovarsi nella directory /home con la propria directory corrispondente all'account utente.

3. Verificare ora che le appartenenze ai gruppi siano state risolte correttamente:

   id
   

   Verranno visualizzate le appartenenze ai gruppi dal dominio gestito.

4. Se è stato eseguito l'accesso alla macchina virtuale come membro del gruppo di Amministrazione istrators di AAD DC, verificare che sia possibile usare correttamente il sudo comando :

   sudo yum update
   

Passaggi successivi

In caso di problemi di connessione della macchina virtuale al dominio gestito o all'accesso con un account di dominio, vedere Risoluzione dei problemi di aggiunta al dominio.