このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
ユーザーが 1 つの資格情報セットを使用して Azure の仮想マシン (VM) にサインインできるようにするには、VM を Microsoft Entra Domain Services マネージド ドメインに参加させることができます。 VM を Domain Services マネージド ドメインに参加させると、ドメインのユーザー アカウントと資格情報を使用して、サーバーのサインインと管理を行うことができます。 マネージド ドメインからのグループ メンバーシップも適用され、VM 上のファイルまたはサービスへのアクセスを制御できます。
この記事では、Red Hat Enterprise Linux (RHEL) VM をマネージド ドメインに参加させる方法について説明します。
このチュートリアルを完了するには、次のリソースと特権が必要です。
Azure に既存の RHEL Linux VM がある場合は、SSH を使用して接続し、次の手順に進み、VM の構成を開始。
RHEL Linux VM を作成する必要がある場合、またはこの記事で使用するテスト VM を作成する場合は、次のいずれかの方法を使用できます。
VM を作成するときは、仮想ネットワークの設定に注意して、VM がマネージド ドメインと通信できることを確認します。
VM がデプロイされたら、手順に従って SSH を使用して VM に接続します。
VM ホスト名がマネージド ドメイン用に正しく構成されていることを確認するには、/etc/hosts ファイルを編集し、ホスト名を設定します。
sudo vi /etc/hosts
hosts ファイルで、localhost アドレスを更新します。 次の例では、
次の名前をあなた自身の値で更新します。
127.0.0.1 rhel rhel.aaddscontoso.com
完了したら、エディターの :wq コマンドを使用して、hosts ファイルを保存して終了します。
重要
Red Hat Enterprise Linux 6.X と Oracle Linux 6.x は既に EOL であることを考慮してください。 RHEL 6.10 は ELS サポート 利用できます。は 2024 年 6 月 6 日に終了。
VM をマネージド ドメインに参加させるために、いくつかの追加パッケージが必要です。 これらのパッケージをインストールして構成するには、yumを使用してドメイン参加ツールを更新してインストールします。
sudo yum install adcli sssd authconfig krb5-workstation
必要なパッケージが VM にインストールされたら、VM をマネージド ドメインに参加させます。
adcli info コマンドを使用してマネージド ドメインを検出します。 次の例では、領域 ADDDSCONTOSO.COMを検出します。 大文字で独自の管理されたドメイン名を指定してください。
sudo adcli info aaddscontoso.com
adcli info コマンドでマネージド ドメインが見つからない場合は、次のトラブルシューティング手順を確認してください。
ping aaddscontoso.com を試してください。最初に、adcli join コマンドを使用してドメインに参加します。このコマンドにより、マシンを認証するための keytab も作成されます。 マネージド ドメインの一部であるユーザー アカウントを使用します。
sudo adcli join aaddscontoso.com -U contosoadmin
次に、/ect/krb5.conf を構成し、aaddscontoso.com Active Directory ドメインを使用する /etc/sssd/sssd.conf ファイルを作成します。
AADDSCONTOSO.COM が独自のドメイン名に置き換えられたことを確認します。
エディターで /etc/krb5.conf ファイルを開きます。
sudo vi /etc/krb5.conf
次のサンプルに一致するように krb5.conf ファイルを更新します。
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = AADDSCONTOSO.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
AADDSCONTOSO.COM = {
kdc = AADDSCONTOSO.COM
admin_server = AADDSCONTOSO.COM
}
[domain_realm]
.AADDSCONTOSO.COM = AADDSCONTOSO.COM
AADDSCONTOSO.COM = AADDSCONTOSO.COM
/etc/sssd/sssd.conf ファイルを作成します。
sudo vi /etc/sssd/sssd.conf
次のサンプルに一致するように sssd.conf ファイルを更新します。
[sssd]
services = nss, pam, ssh, autofs
config_file_version = 2
domains = AADDSCONTOSO.COM
[domain/AADDSCONTOSO.COM]
id_provider = ad
/etc/sssd/sssd.conf アクセス許可が 600 であり、ルート ユーザーによって所有されていることを確認します。
sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf
authconfig を使用して、AD Linux 統合について VM に指示します。
sudo authconfig --enablesssd --enablesssd auth --update
sssd サービスを開始して有効にします。
sudo service sssd start
sudo chkconfig sssd on
VM がドメイン参加プロセスを正常に完了できない場合は、VM のネットワーク セキュリティ グループが、TCP + UDP ポート 464 でマネージド ドメインの仮想ネットワーク サブネットへの送信 Kerberos トラフィックを許可していることを確認します。
次に、getent を使用してユーザー AD 情報に対してクエリを実行できるかどうかを確認します
sudo getent passwd contosoadmin
既定では、ユーザーは SSH 公開キーベースの認証を使用してのみ VM にサインインできます。 パスワードベースの認証が失敗します。 VM をマネージド ドメインに参加させる場合、これらのドメイン アカウントではパスワードベースの認証を使用する必要があります。 次のように、パスワードベースの認証を許可するように SSH 構成を更新します。
エディターで sshd_conf ファイルを開きます。
sudo vi /etc/ssh/sshd_config
PasswordAuthentication の行を はいに更新します。
PasswordAuthentication yes
完了したら、エディターの :wq コマンドを使用して、sshd_conf ファイルを保存して終了します。
変更を適用し、ユーザーがパスワードを使用してサインインできるようにするには、RHEL ディストリビューション バージョンの SSH サービスを再起動します。
sudo service sshd restart
AAD DC Administrators のメンバーに RHEL VM のグループ管理特権 付与するには、/etc/sudoersにエントリを追加します。 追加すると、AAD DC Administrators グループのメンバーは、RHEL VM で sudo コマンドを使用できます。
編集のために sudoers ファイルを開きます。
sudo visudo
/etc/sudoers ファイルの末尾 次のエントリを追加します。 AAD DC Administrators グループには名前に空白が含まれているため、グループ名に円記号エスケープ文字を含めます。 aaddscontoso.comなど、独自のドメイン名を追加します。
# Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
完了したら、エディターの :wq コマンドを使用してエディターを保存して終了します。
VM がマネージド ドメインに正常に参加していることを確認するには、ドメイン ユーザー アカウントを使用して新しい SSH 接続を開始します。 ホーム ディレクトリが作成され、ドメインのグループ メンバーシップが適用されていることを確認します。
コンソールから新しい SSH 接続を作成します。
contosoadmin@aaddscontoso.com などの ssh -l コマンドを使用してマネージド ドメインに属するドメイン アカウントを使用し、VM のアドレス (rhel.aaddscontoso.comなど) を入力します。 Azure Cloud Shell を使用する場合は、内部 DNS 名ではなく、VM のパブリック IP アドレスを使用します。
ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
VM に正常に接続したら、ホーム ディレクトリが正しく初期化されたことを確認します。
pwd
ユーザー アカウントと一致する独自のディレクトリを持つ /home ディレクトリに存在する必要があります。
次に、グループ メンバーシップが正しく解決されていることを確認します。
id
マネージド ドメインのグループ メンバーシップが表示されます。
AAD DC Administrators グループのメンバーとして VM にサインインした場合は、sudo コマンドを正しく使用できることを確認します。
sudo yum update
VM をマネージド ドメインに接続したり、ドメイン アカウントを使用してサインインしたりする際に問題が発生した場合は、「ドメイン参加の問題のトラブルシューティング」を参照してください。
トレーニング
モジュール
Manage users and groups - Training
This module introduces the management of users and groups using Active Directory, and compares the differences between Active Directory Services and Microsoft Entra ID.
認定資格
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID ソリューションの現代化、ハイブリッド ソリューションの実装、ID ガバナンスの実装を行う Microsoft Entra ID の機能を実証します。