Een virtuele Red Hat Enterprise Linux-machine toevoegen aan een door Microsoft Entra Domain Services beheerd domein

Als u wilt dat gebruikers zich met één set referenties kunnen aanmelden bij virtuele machines (VM's) in Azure, kunt u VM's toevoegen aan een door Microsoft Entra Domain Services beheerd domein. Wanneer u een VIRTUELE machine koppelt aan een beheerd domein van Domain Services, kunnen gebruikersaccounts en referenties van het domein worden gebruikt om zich aan te melden en servers te beheren. Groepslidmaatschappen van het beheerde domein worden ook toegepast, zodat u de toegang tot bestanden of services op de virtuele machine kunt beheren.

In dit artikel leest u hoe u een RHEL-VM (Red Hat Enterprise Linux) koppelt aan een beheerd domein.

Voorwaarden

U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:

Een RHEL Linux-VM maken en er verbinding mee maken

Als u een bestaande RHEL Linux-VM in Azure hebt, maakt u er verbinding mee met behulp van SSH en gaat u verder met de volgende stap om de VM-te configureren.

Als u een RHEL Linux-VM wilt maken of een test-VM wilt maken voor gebruik met dit artikel, kunt u een van de volgende methoden gebruiken:

Let bij het maken van de VIRTUELE machine op de instellingen van het virtuele netwerk om ervoor te zorgen dat de virtuele machine kan communiceren met het beheerde domein:

  • Implementeer de virtuele machine in hetzelfde of een gekoppeld virtueel netwerk waarin u Microsoft Entra Domain Services hebt ingeschakeld.
  • Implementeer de VM in een ander subnet dan uw door Microsoft Entra Domain Services beheerde domein.

Zodra de VM is geïmplementeerd, volgt u de stappen om verbinding te maken met de VIRTUELE machine met behulp van SSH.

Het hosts-bestand configureren

Als u ervoor wilt zorgen dat de hostnaam van de VIRTUELE machine juist is geconfigureerd voor het beheerde domein, bewerkt u de /etc/hosts bestand en stelt u de hostnaam in:

Bash
sudo vi /etc/hosts

Werk in het hosts bestand het localhost--adres bij. In het volgende voorbeeld:

  • aaddscontoso.com is de DNS-domeinnaam van uw beheerde domein.
  • rhel- is de hostnaam van uw RHEL-VM die u aan het beheerde domein toevoegt.

Werk deze namen bij met uw eigen waarden:

config
127.0.0.1 rhel rhel.aaddscontoso.com

Wanneer u klaar bent, slaat u het hosts bestand op en sluit u het af met behulp van de opdracht :wq van de editor.

Belangrijk

Houd rekening met het feit dat Red Hat Enterprise Linux 6.X en Oracle Linux 6.x al het einde van hun levenscyclus hebben bereikt. RHEL 6.10 heeft ELS-ondersteuningbeschikbaar, die op 06/2024is beëindigd.

Vereiste pakketten installeren

De virtuele machine heeft enkele extra pakketten nodig om deze aan het beheerde domein toe te voegen. Als u deze pakketten wilt installeren en configureren, moet u de hulpprogramma's voor domeindeelname bijwerken en installeren met behulp van yum.

Bash
sudo yum install adcli sssd authconfig krb5-workstation

VM toevoegen aan het beheerde domein

Nu de vereiste pakketten op de VIRTUELE machine zijn geïnstalleerd, voegt u de VM toe aan het beheerde domein.

  1. Gebruik de opdracht adcli info om het beheerde domein te detecteren. In het volgende voorbeeld wordt de realm ADDDSCONTOSO.COMontdekt. Geef uw eigen beheerde domeinnaam op in HOOFDLETTERS:

    Bash
    sudo adcli info aaddscontoso.com
    

    Als de opdracht adcli info uw beheerde domein niet kan vinden, raadpleegt u de volgende stappen voor probleemoplossing:

    • Zorg ervoor dat het domein bereikbaar is vanaf de VIRTUELE machine. Probeer ping aaddscontoso.com om te zien of er een positief antwoord wordt geretourneerd.
    • Controleer of de virtuele machine is geïmplementeerd in hetzelfde of een gekoppeld virtueel netwerk waarin het beheerde domein beschikbaar is.
    • Controleer of de DNS-serverinstellingen voor het virtuele netwerk zijn bijgewerkt zodat deze verwijzen naar de domeincontrollers van het beheerde domein.
  2. Voeg eerst het domein toe met behulp van de opdracht adcli join. Met deze opdracht wordt ook de keytab gemaakt om de machine te verifiëren. Gebruik een gebruikersaccount dat deel uitmaakt van het beheerde domein.

    Bash
    sudo adcli join aaddscontoso.com -U contosoadmin
    
  3. Configureer nu de /ect/krb5.conf en maak de /etc/sssd/sssd.conf-bestanden om het aaddscontoso.com Active Directory-domein te gebruiken. Zorg ervoor dat AADDSCONTOSO.COM wordt vervangen door uw eigen domeinnaam:

    Open het /etc/krb5.conf-bestand met een editor:

    Bash
    sudo vi /etc/krb5.conf
    

    Werk het krb5.conf-bestand bij zodat het overeenkomt met het volgende voorbeeld:

    config
    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log
    
    [libdefaults]
     default_realm = AADDSCONTOSO.COM
     dns_lookup_realm = true
     dns_lookup_kdc = true
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
    
    [realms]
     AADDSCONTOSO.COM = {
     kdc = AADDSCONTOSO.COM
     admin_server = AADDSCONTOSO.COM
     }
    
    [domain_realm]
     .AADDSCONTOSO.COM = AADDSCONTOSO.COM
     AADDSCONTOSO.COM = AADDSCONTOSO.COM
    

    Maak het /etc/sssd/sssd.conf-bestand:

    Bash
    sudo vi /etc/sssd/sssd.conf
    

    Werk het sssd.conf-bestand bij zodat het overeenkomt met het volgende voorbeeld:

    config
    [sssd]
     services = nss, pam, ssh, autofs
     config_file_version = 2
     domains = AADDSCONTOSO.COM
    
    [domain/AADDSCONTOSO.COM]
    
     id_provider = ad
    
  4. Zorg ervoor dat /etc/sssd/sssd.conf machtigingen 600 zijn en eigendom zijn van de hoofdgebruiker:

    Bash
    sudo chmod 600 /etc/sssd/sssd.conf
    sudo chown root:root /etc/sssd/sssd.conf
    
  5. Gebruik authconfig om de VIRTUELE machine te instrueren over de AD Linux-integratie:

    Bash
    sudo authconfig --enablesssd --enablesssd auth --update
    
  6. Start en schakel de sssd-service in:

    Bash
    sudo service sssd start
    sudo chkconfig sssd on
    

Als uw VM het proces voor domeindeelname niet kan voltooien, moet u ervoor zorgen dat de netwerkbeveiligingsgroep van de virtuele machine uitgaand Kerberos-verkeer op TCP + UDP-poort 464 toestaat naar het subnet van het virtuele netwerk voor uw beheerde domein.

Controleer nu of u ad-gegevens van gebruikers kunt opvragen met behulp van getent

Bash
sudo getent passwd contosoadmin

Wachtwoordverificatie voor SSH toestaan

Standaard kunnen gebruikers zich alleen aanmelden bij een virtuele machine met behulp van verificatie op basis van openbare SSH-sleutels. Verificatie op basis van een wachtwoord mislukt. Wanneer u de VIRTUELE machine aan een beheerd domein koppelt, moeten deze domeinaccounts verificatie op basis van wachtwoorden gebruiken. Werk de SSH-configuratie als volgt bij om verificatie op basis van een wachtwoord toe te staan.

  1. Open het sshd_conf-bestand met een editor:

    Bash
    sudo vi /etc/ssh/sshd_config
    
  2. Werk de regel voor PasswordAuthentication bij naar ja:

    config
    PasswordAuthentication yes
    

    Wanneer u klaar bent, slaat u het sshd_conf bestand op en sluit u het af met behulp van de opdracht :wq van de editor.

  3. Als u de wijzigingen wilt toepassen en gebruikers zich wilt laten aanmelden met een wachtwoord, start u de SSH-service opnieuw voor uw RHEL-distributieversie:

    Bash
    sudo service sshd restart
    

'AAD DC-beheerders' sudo-rechten verlenen

Als u leden van de AAD DC-beheerders groepsbeheerdersbevoegdheden wilt verlenen op de RHEL-VM, voegt u een vermelding toe aan de /etc/sudoers. Zodra de groep is toegevoegd, kunnen leden van de AAD DC-beheerders groep de opdracht sudo op de RHEL-VM gebruiken.

  1. Open het sudoers-bestand om het te bewerken:

    Bash
    sudo visudo
    
  2. Voeg de volgende vermelding toe aan het einde van /etc/sudoers bestand. De groep AAD DC Administrators bevat spaties in de naam, dus neem het backslash-escapeteken op in de groepsnaam. Voeg uw eigen domeinnaam toe, zoals aaddscontoso.com:

    config
    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
    

    Wanneer u klaar bent, slaat u de editor op en sluit u deze af met behulp van de opdracht :wq van de editor.

Aanmelden bij de VIRTUELE machine met behulp van een domeinaccount

Als u wilt controleren of de VIRTUELE machine is gekoppeld aan het beheerde domein, start u een nieuwe SSH-verbinding met behulp van een domeingebruikersaccount. Controleer of er een thuisdirectory is gecreëerd en of het groepslidmaatschap van het domein is toegepast.

  1. Maak een nieuwe SSH-verbinding vanuit uw console. Gebruik een domeinaccount dat deel uitmaakt van het beheerde domein met behulp van de opdracht ssh -l, zoals contosoadmin@aaddscontoso.com en voer vervolgens het adres van uw virtuele machine in, zoals rhel.aaddscontoso.com. Als u Azure Cloud Shell gebruikt, gebruikt u het openbare IP-adres van de VIRTUELE machine in plaats van de interne DNS-naam.

    Bash
    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
    
  2. Wanneer u verbinding hebt gemaakt met de virtuele machine, controleert u of de basismap correct is geïnitialiseerd:

    Bash
    pwd
    

    U moet zich in de /home map bevinden met uw eigen directory die overeenkomt met het gebruikersaccount.

  3. Controleer nu of de groepslidmaatschappen correct worden verwerkt.

    Bash
    id
    

    U zou uw groepslidmaatschappen uit het beheerde domein moeten zien.

  4. Als u zich hebt aangemeld bij de VIRTUELE machine als lid van de AAD DC-beheerders groep, controleert u of u de sudo opdracht correct kunt gebruiken:

    Bash
    sudo yum update
    

Volgende stappen

Zie Problemen met domeindeelname oplossenals u problemen ondervindt met het verbinden van de virtuele machine met het beheerde domein of met het aanmelden met een domeinaccount.