Een virtuele SUSE Linux Enterprise-machine toevoegen aan een door Azure Active Directory Domain Services beheerd domein

Als u wilt dat gebruikers zich met één set referenties kunnen aanmelden bij virtuele machines (VM's) in Azure, kunt u VM's toevoegen aan een door Azure Active Directory Domain Services beheerd domein (Azure AD DS). Wanneer u een virtuele machine koppelt aan een Azure AD door DS beheerd domein, kunnen gebruikersaccounts en referenties van het domein worden gebruikt om u aan te melden en servers te beheren. Groepslidmaatschappen van het beheerde domein worden ook toegepast zodat u de toegang tot bestanden of services op de VIRTUELE machine kunt beheren.

In dit artikel wordt beschreven hoe u een SUSE Linux Enterprise-VM (SLE) koppelt aan een beheerd domein.

Vereisten

Om deze zelfstudie te voltooien, hebt u de volgende resources en machtigingen nodig:

• Een actief Azure-abonnement.
  • Als u nog geen Azure-abonnement hebt, maakt u een account.
• Een Azure Active Directory-tenant die aan uw abonnement is gekoppeld, gesynchroniseerd met een on-premises map of een cloudmap.
  • Maak zo nodig een Azure Active Directory-tenant of koppel een Azure-abonnement aan uw account.
• Een door Azure Active Directory Domain Services beheerd domein dat in uw Azure AD-tenant is ingeschakeld en geconfigureerd.
  • Bekijk zo nodig de eerste zelfstudie voor het maken en configureren van een door Azure Active Directory Domain Services beheerd domein.
• Een gebruikersaccount dat deel uitmaakt van het beheerde domein.
• Unieke namen van virtuele Linux-machines met een maximum van 15 tekens om afgekapte namen te voorkomen die conflicten in Active Directory kunnen veroorzaken.

Een SLE Linux-VM maken en er verbinding mee maken

Als u een bestaande SLE Linux-VM in Azure hebt, maakt u er verbinding mee met behulp van SSH en gaat u verder met de volgende stap om de VM te configureren.

Als u een SLE Linux-VM wilt maken of een test-VM wilt maken voor gebruik met dit artikel, kunt u een van de volgende methoden gebruiken:

• Azure-portal
• Azure-CLI
• Azure PowerShell

Let bij het maken van de VM op de instellingen van het virtuele netwerk om ervoor te zorgen dat de VM kan communiceren met het beheerde domein:

• Implementeer de VM in hetzelfde, of een gekoppeld virtueel netwerk waarin u Azure AD Domain Services hebt ingeschakeld.
• Implementeer de VM in een ander subnet dan uw Azure AD domain services beheerd domein.

Zodra de VM is geïmplementeerd, volgt u de stappen om verbinding te maken met de VM met behulp van SSH.

Het hosts-bestand configureren

Als u ervoor wilt zorgen dat de hostnaam van de VM correct is geconfigureerd voor het beheerde domein, bewerkt u het bestand /etc/hosts en stelt u de hostnaam in:

sudo vi /etc/hosts

Werk in het hosts-bestand het localhost-adres bij. In het volgende voorbeeld:

• aaddscontoso.com is de DNS-domeinnaam van uw beheerde domein.
• linux-q2gr is de hostnaam van uw SLE-VM die u toevoegt aan het beheerde domein.

Werk deze namen bij met uw eigen waarden:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Wanneer u klaar bent, slaat u het hosts-bestand op en sluit u het af met behulp van de :wq opdracht van de editor.

Vm toevoegen aan het beheerde domein met behulp van SSSD

Voer de volgende stappen uit om lid te worden van het beheerde domein met behulp van SSSD en de module Gebruikersaanmeldingsbeheer van YaST:

1. Installeer de YaST-module User Logon Management :

   sudo zypper install yast2-auth-client
   

2. Open YaST.

3. Als u automatisch opsporen van DNS later wilt gebruiken, configureert u de IP-adressen van het beheerde domein (de Active Directory-server) als de naamserver voor uw client.

   Selecteer systeemnetwerkinstellingen >in YaST.

4. Selecteer het tabblad Hostnaam/DNS en voer vervolgens het IP-adres(sen) van het beheerde domein in het tekstvak Name Server 1 in. Deze IP-adressen worden weergegeven in het venster Eigenschappen in de Azure Portal voor uw beheerde domein, zoals 10.0.2.4 en 10.0.2.5.

   Voeg de IP-adressen van uw eigen beheerde domein toe en selecteer OK.

5. Kies in het hoofdvenster van YaST de optieGebruikersaanmeldingsbeheer voor netwerkservices>.

   De module wordt geopend met een overzicht met verschillende netwerkeigenschappen van uw computer en de verificatiemethode die momenteel wordt gebruikt, zoals wordt weergegeven in de volgende voorbeeldschermopname:

   

   Als u wilt beginnen met bewerken, selecteert u Instellingen wijzigen.

Voer de volgende stappen uit om de VM toe te voegen aan het beheerde domein:

1. Selecteer Domein toevoegen in het dialoogvenster.

2. Geef de juiste domeinnaam op, zoals aaddscontoso.com en geef vervolgens de services op die moeten worden gebruikt voor identiteitsgegevens en verificatie. Selecteer Microsoft Active Directory voor beide.

   Zorg ervoor dat de optie Voor Het domein inschakelen is geselecteerd.

3. Selecteer OK wanneer u klaar bent.

4. Accepteer de standaardinstellingen in het volgende dialoogvenster en selecteer vervolgens OK.

5. De VM installeert indien nodig extra software en controleert vervolgens of het beheerde domein beschikbaar is.

   Als alles klopt, wordt het volgende voorbeelddialoogvenster weergegeven om aan te geven dat de VM het beheerde domein heeft gedetecteerd, maar dat u nog niet bent ingeschreven.

   

6. Geef in het dialoogvenster de gebruikersnaam en het wachtwoord op van een gebruiker die deel uitmaakt van het beheerde domein. Voeg indien nodig een gebruikersaccount toe aan een groep in Azure AD.

   Als u ervoor wilt zorgen dat het huidige domein is ingeschakeld voor Samba, activeert u Samba-configuratie overschrijven om met deze AD te werken.

7. Selecteer OK om u in te schrijven.

8. Er wordt een bericht weergegeven om te bevestigen dat u bent ingeschreven. Selecteer OK om te voltooien.

Nadat de VM is ingeschreven in het beheerde domein, configureert u de client met behulp van Aanmelding van domeingebruiker beheren, zoals wordt weergegeven in de volgende voorbeeldschermopname:

1. Als u aanmeldingen wilt toestaan met behulp van gegevens die worden geleverd door het beheerde domein, schakelt u het selectievakje voor Aanmelding van domeingebruiker toestaan in.

2. Onder Domeingegevensbron inschakelen kunt u desgewenst aanvullende gegevensbronnen voor uw omgeving controleren. Deze opties omvatten welke gebruikers sudo mogen gebruiken of welke netwerkstations beschikbaar zijn.

3. Als u wilt toestaan dat gebruikers in het beheerde domein basismappen op de VM hebben, schakelt u het selectievakje voor Startmappen maken in.

4. Selecteer in de zijbalk Serviceopties › Naamschakelaar en vervolgens Uitgebreide opties. Selecteer in dat venster fallback_homedir of override_homedir en selecteer vervolgens Toevoegen.

5. Geef een waarde op voor de locatie van de basismap. Als u wilt dat basismappen de indeling /home/USER_NAME hebben, gebruikt u /home/%u. Zie de pagina sssd.conf man (man 5 sssd.conf), sectie override_homedir voor meer informatie over mogelijke variabelen.

6. Selecteer OK.

7. Selecteer OK om de wijzigingen op te slaan. Controleer vervolgens of de waarden die nu worden weergegeven, juist zijn. Als u het dialoogvenster wilt verlaten, selecteert u Annuleren.

8. Als u van plan bent om SSSD en Winbind gelijktijdig uit te voeren (bijvoorbeeld wanneer u deelneemt via SSSD, maar vervolgens een Samba-bestandsserver uitvoert), moet de kerberos-methode Samba-optie worden ingesteld op geheimen en keytab in smb.conf. De optie SSSD ad_update_samba_machine_account_password moet ook worden ingesteld op true in sssd.conf. Deze opties voorkomen dat het systeemsleuteltabblad niet meer wordt gesynchroniseerd.

Vm toevoegen aan het beheerde domein met behulp van Winbind

Voer de volgende stappen uit om lid te worden van het beheerde domein met behulp van winbind en de windows-domeinlidmaatschapsmodule van YaST:

1. Selecteer in YaST Network Services > Windows Domain Membership.

2. Voer het domein in waaraan u wilt deelnemen bij Domein of Werkgroep in het scherm Windows-domeinlidmaatschap . Voer de naam van het beheerde domein in, zoals aaddscontoso.com.

   

3. Als u de SMB-bron wilt gebruiken voor Linux-verificatie, schakelt u de optie SMB-gegevens gebruiken voor Linux-verificatie in.

4. Als u automatisch een lokale basismap wilt maken voor gebruikers van beheerde domeinen op de VM, schakelt u de optie Basismap maken bij aanmelding in.

5. Schakel de optie voor Offlineverificatie in om uw domeingebruikers toe te staan zich aan te melden, zelfs als het beheerde domein tijdelijk niet beschikbaar is.

6. Als u de UID- en GID-bereiken voor de Samba-gebruikers en -groepen wilt wijzigen, selecteert u Expertinstellingen.

7. Configureer NTP-tijdsynchronisatie (Network Time Protocol) voor uw beheerde domein door NTP-configuratie te selecteren. Voer de IP-adressen van het beheerde domein in. Deze IP-adressen worden weergegeven in het venster Eigenschappen in de Azure Portal voor uw beheerde domein, zoals 10.0.2.4 en 10.0.2.5.

8. Selecteer OK en bevestig de domeindeelname wanneer u hierom wordt gevraagd.

9. Geef het wachtwoord op voor een beheerder in het beheerde domein en selecteer OK.

   

Nadat u lid bent geworden van het beheerde domein, kunt u zich bij het beheerde domein aanmelden vanaf uw werkstation met behulp van de weergavebeheer van uw bureaublad of de console.

Vm toevoegen aan het beheerde domein met behulp van Winbind vanuit de YaST-opdrachtregelinterface

Het beheerde domein toevoegen met behulp van winbind en de YaST-opdrachtregelinterface:

• Lid worden van het domein:

  sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
  

Vm toevoegen aan het beheerde domein met behulp van Winbind vanuit de terminal

Ga als volgende te werk om lid te worden van het beheerde domein met behulp van winbind en de samba net opdracht:

1. Kerberos-client en samba-winbind installeren:

   sudo zypper in krb5-client samba-winbind
   

2. Bewerk de configuratiebestanden:

   • /etc/samba/smb.conf

     [global]
         workgroup = AADDSCONTOSO
         usershare allow guests = NO #disallow guests from sharing
         idmap config * : backend = tdb
         idmap config * : range = 1000000-1999999
         idmap config AADDSCONTOSO : backend = rid
         idmap config AADDSCONTOSO : range = 5000000-5999999
         kerberos method = secrets and keytab
         realm = AADDSCONTOSO.COM
         security = ADS
         template homedir = /home/%D/%U
         template shell = /bin/bash
         winbind offline logon = yes
         winbind refresh tickets = yes
     

   • /etc/krb5.conf

     [libdefaults]
         default_realm = AADDSCONTOSO.COM
         clockskew = 300
     [realms]
         AADDSCONTOSO.COM = {
             kdc = PDC.AADDSCONTOSO.COM
             default_domain = AADDSCONTOSO.COM
             admin_server = PDC.AADDSCONTOSO.COM
         }
     [domain_realm]
         .aaddscontoso.com = AADDSCONTOSO.COM
     [appdefaults]
         pam = {
             ticket_lifetime = 1d
             renew_lifetime = 1d
             forwardable = true
             proxiable = false
             minimum_uid = 1
         }
     

   • /etc/security/pam_winbind.conf

     [global]
         cached_login = yes
         krb5_auth = yes
         krb5_ccache_type = FILE
         warn_pwd_expire = 14
     

   • /etc/nsswitch.conf

     passwd: compat winbind
     group: compat winbind
     

3. Controleer of de datum en tijd in Azure AD en Linux zijn gesynchroniseerd. U kunt dit doen door de Azure AD-server toe te voegen aan de NTP-service:

   1. Voeg de volgende regel toe aan /etc/ntp.conf:

      server aaddscontoso.com
      

   2. Start de NTP-service opnieuw op:

      sudo systemctl restart ntpd
      

4. Lid worden van het domein:

   sudo net ads join -U Administrator%Mypassword
   

5. Schakel winbind in als een aanmeldingsbron in de Linux Pluggable Authentication Modules (PAM):

   pam-config --add --winbind
   

6. Schakel het automatisch maken van basismappen in, zodat gebruikers zich kunnen aanmelden:

   pam-config -a --mkhomedir
   

7. Start en schakel de winbind-service in:

   sudo systemctl enable winbind
   sudo systemctl start winbind
   

Wachtwoordverificatie voor SSH toestaan

Standaard kunnen gebruikers zich alleen aanmelden bij een virtuele machine met behulp van verificatie op basis van een openbare SSH-sleutel. Verificatie op basis van een wachtwoord mislukt. Wanneer u de VM aan een beheerd domein koppelt, moeten deze domeinaccounts verificatie op basis van een wachtwoord gebruiken. Werk de SSH-configuratie als volgt bij om verificatie op basis van een wachtwoord toe te staan.

1. Open het sshd_conf-bestand met een editor:

   sudo vi /etc/ssh/sshd_config
   

2. Werk de regel voor PasswordAuthentication bij naar ja:

   PasswordAuthentication yes
   

   Wanneer u klaar bent, slaat u het sshd_conf-bestand op en sluit u het af met behulp van de :wq opdracht van de editor.

3. Als u de wijzigingen wilt toepassen en gebruikers zich wilt laten aanmelden met een wachtwoord, start u de SSH-service opnieuw op:

   sudo systemctl restart sshd
   

Sudo-bevoegdheden verlenen aan de groep 'AAD DC Administrators'

Als u leden van de groep AAD DC-beheerders beheerdersbevoegdheden wilt verlenen op de SLE-VM, voegt u een vermelding toe aan de /etc/sudoers. Na het toevoegen kunnen leden van de groep AAD DC-beheerders de sudo opdracht op de SLE-VM gebruiken.

1. Open het sudoers-bestand om het te bewerken:

   sudo visudo
   

2. Voeg de volgende vermelding toe aan het einde van het bestand /etc/sudoers . De groep AAD DC-beheerders bevat witruimte in de naam, dus neem het escape-teken backslash op in de groepsnaam. Voeg uw eigen domeinnaam toe, zoals aaddscontoso.com:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   Wanneer u klaar bent, slaat u de editor op en sluit u deze af met behulp van de :wq opdracht van de editor.

Aanmelden bij de VM met een domeinaccount

Als u wilt controleren of de VM is toegevoegd aan het beheerde domein, start u een nieuwe SSH-verbinding met behulp van een domeingebruikersaccount. Controleer of er een basismap is gemaakt en of het groepslidmaatschap van het domein is toegepast.

1. Maak een nieuwe SSH-verbinding vanuit uw console. Gebruik een domeinaccount dat deel uitmaakt van het beheerde domein met behulp van de ssh -l opdracht, zoals contosoadmin@aaddscontoso.com en voer vervolgens het adres van uw VIRTUELE machine in, zoals linux-q2gr.aaddscontoso.com. Als u de Azure Cloud Shell gebruikt, gebruikt u het openbare IP-adres van de virtuele machine in plaats van de interne DNS-naam.

   ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
   

2. Wanneer u verbinding hebt gemaakt met de VM, controleert u of de basismap juist is geïnitialiseerd:

   pwd
   

   U moet zich in de map /home bevinden met uw eigen map die overeenkomt met het gebruikersaccount.

3. Controleer nu of de groepslidmaatschappen correct worden opgelost:

   id
   

   U ziet nu uw groepslidmaatschappen uit het beheerde domein.

4. Als u zich bij de VM hebt aangemeld als lid van de groep AAD DC-beheerders , controleert u of u de sudo opdracht correct kunt gebruiken:

   sudo zypper update
   

Volgende stappen

Als u problemen ondervindt bij het verbinden van de VM met het beheerde domein of het aanmelden met een domeinaccount, raadpleegt u Problemen met domeindeelname oplossen.