Настройка VPN-клиента Azure — проверка подлинности идентификатора Microsoft Entra — Linux (предварительная версия)

Мақала
10/16/2024

Эта статья поможет настроить VPN-клиент Azure на компьютере Linux (Ubuntu) для подключения к виртуальной сети с помощью VPN-подключения VPN-шлюз типа "точка — сеть" (P2S) и проверки подлинности идентификатора Microsoft Entra ID. Дополнительные сведения о подключениях типа "точка — сеть" см. в разделе "Сведения о подключениях типа "точка — сеть".

Действия, описанные в этой статье, применяются к проверке подлинности идентификатора Microsoft Entra с помощью зарегистрированного в Майкрософт VPN-приложения Azure с соответствующими значениями идентификатора приложения и аудитории. Эта статья не относится к более старым, вручную зарегистрированным VPN-приложением Azure для вашего клиента. Дополнительные сведения см. в разделе "Сведения о VPN типа "точка — сеть" — проверка подлинности идентификатора Microsoft Entra.

Хотя возможно, что VPN-клиент Azure для Linux может работать в других дистрибутивах и выпусках Linux, VPN-клиент Azure для Linux поддерживается только в следующих выпусках:

Ubuntu 20.04
Ubuntu 22.04

Необходимые компоненты

Выполните действия по настройке сервера типа "точка — сеть". Сведения о настройке VPN-шлюза P2S для проверки подлинности идентификатора Microsoft Entra.

Рабочий процесс

После завершения настройки сервера VPN-шлюз P2S Azure выполните следующие действия.

Скачайте и установите VPN-клиент Azure для Linux.
Импортируйте параметры профиля клиента в VPN-клиент.
Создать подключение.

Скачивание и установка VPN-клиента Azure

Чтобы скачать и установить последнюю версию VPN-клиента Azure для Linux, выполните следующие действия.

Примечание.

Добавьте только список репозитория в Ubuntu версии 20.04 или 22.04. Дополнительные сведения см. в репозитории программного обеспечения Linux для продуктов Майкрософт.

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

Извлечение пакета конфигурации профиля VPN-клиента

Чтобы настроить профиль VPN-клиента Azure, скачайте пакет конфигурации профиля VPN-клиента из шлюза Azure P2S. Этот пакет содержит необходимые параметры для настройки VPN-клиента.

Если вы использовали шаги настройки сервера P2S, как упоминалось в разделе предварительных требований, вы уже создали и скачали пакет конфигурации профиля VPN-клиента, содержащий необходимые файлы конфигурации профиля VPN. Если вам нужно создать файлы конфигурации, ознакомьтесь с пакетом конфигурации профиля VPN-клиента.

Если конфигурация шлюза P2S ранее была настроена для использования старых, зарегистрированных вручную версий идентификатора приложения, конфигурация P2S не поддерживает VPN-клиент Linux. См. сведения об идентификаторе приложения, зарегистрированном корпорацией Майкрософт для VPN-клиента Azure.

Найдите и извлеките ZIP-файл, содержащий пакет конфигурации профиля VPN-клиента. Zip-файл содержит папку AzureVPN . В папке AzureVPN вы увидите файл azurevpnconfig_aad.xml или файл azurevpnconfig.xml в зависимости от того, включает ли конфигурация P2S несколько типов проверки подлинности. Файл .xml содержит параметры, используемые для настройки профиля VPN-клиента.

Изменение файлов конфигурации профиля

Если конфигурация P2S использует настраиваемую аудиторию с идентификатором приложения, зарегистрированным Корпорацией Майкрософт, при попытке подключения может появиться сообщение AADSTS650057 об ошибке. Повторная проверка подлинности обычно устраняет проблему. Это происходит из-за того, что профиль VPN-клиента нуждается как в пользовательском идентификаторе аудитории, так и в идентификаторе приложения Майкрософт. Чтобы предотвратить это, измените конфигурацию профиля .xml файл, чтобы включить как пользовательский идентификатор приложения, так и идентификатор приложения Майкрософт.

Примечание.

Этот шаг необходим для конфигураций шлюза P2S, использующих настраиваемое значение аудитории, и зарегистрированное приложение связано с идентификатором vpn-клиента Microsoft Azure. Если это не относится к конфигурации шлюза P2S, этот шаг можно пропустить.

Чтобы изменить конфигурацию VPN-клиента Azure, .xml файл, откройте файл с помощью текстового редактора, например Блокнота.
Затем добавьте значение для applicationid и сохраните изменения. В следующем примере показано значение идентификатора приложения для c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

Пример
```
<aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>
```

Импорт параметров конфигурации профиля клиента

В этом разделе описана настройка VPN-клиента Azure для Linux.

На странице VPN-клиента Azure выберите Импорт.
Выберите "Импорт профиля " и перейдите к xml-файлу профиля. Выберите файл . Выбрав файл, нажмите кнопку "ОК".
Просмотрите сведения о профиле подключения. Измените значение сведений о сертификате, чтобы отобразить значение по умолчанию DigiCert_Global_Root G2.pem или DigiCert_Global_Root_CA.pem. Не оставляйте пустым.
Если профиль VPN-клиента содержит несколько проверки подлинности клиента, для проверки подлинности клиента тип проверки подлинности выберите параметр для идентификатора Microsoft Entra.
В поле "Клиент" укажите URL-адрес клиента Microsoft Entra. Убедитесь, что URL-адрес клиента не имеет (обратную косую \ черту) в конце. Косая черта допустима.

Идентификатор клиента имеет следующую структуру: https://login.microsoftonline.com/{Entra TenantID}
В поле "Аудитория" укажите идентификатор приложения (идентификатор приложения).

Идентификатор приложения для общедоступной версии Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 Мы также поддерживаем пользовательский идентификатор приложения для этого поля.
В поле издателя укажите URL-адрес службы безопасных маркеров. Добавьте косую черту в конец значения издателя. В противном случае подключение может завершиться ошибкой.

Пример: https://sts.windows.net/{AzureAD TenantID}/
После заполнения полей нажмите кнопку "Сохранить".
В области VPN-подключений выберите сохраненный профиль подключения. Затем в раскрывающемся списке нажмите кнопку "Подключить".
Веб-браузер автоматически отображается. Заполните учетные данные имени пользователя и пароля для проверки подлинности идентификатора Microsoft Entra, а затем подключитесь.
Если подключение выполнено успешно, клиент отображает зеленый значок, а в окне "Журналы состояния" отображается состояние = подключено.
После подключения состояние изменяется на Подключено. Чтобы отключиться от сеанса, в раскрывающемся списке выберите "Отключить".

Удаление профиля VPN-клиента

В VPN-клиенте Azure выберите подключение, которое требуется удалить. Затем в раскрывающемся списке нажмите кнопку "Удалить".
При удалении VPN-подключения нажмите кнопку "ОК".

Проверка журналов

Для диагностики проблем можно использовать журналы VPN-клиента Azure.

В VPN-клиенте Azure перейдите в раздел "Параметры". В правой области выберите "Показать каталог журналов".
Чтобы получить доступ к файлу журнала, перейдите в папку /var/log/azurevpnclient и найдите файл AzureVPNClient.log .

Следующие шаги

Дополнительные сведения о VPN-шлюз см. в VPN-шлюз часто задаваемых вопросов.
Дополнительные сведения о подключениях типа "точка — сеть" см. в разделе "Сведения о подключениях типа "точка — сеть".

Бөлісу құралы: