Delen via


Een virtuele Red Hat Enterprise Linux-machine toevoegen aan een door Microsoft Entra Domain Services beheerd domein

Als u wilt dat gebruikers zich met één set referenties kunnen aanmelden bij virtuele machines (VM's) in Azure, kunt u VM's toevoegen aan een door Microsoft Entra Domain Services beheerd domein. Wanneer u een VIRTUELE machine koppelt aan een beheerd domein van Domain Services, kunnen gebruikersaccounts en referenties van het domein worden gebruikt om zich aan te melden en servers te beheren. Groepslidmaatschappen van het beheerde domein worden ook toegepast, zodat u de toegang tot bestanden of services op de virtuele machine kunt beheren.

In dit artikel leest u hoe u een RHEL-VM (Red Hat Enterprise Linux) koppelt aan een beheerd domein.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources en machtigingen nodig:

  • Een actief Azure-abonnement.
  • Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
  • Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Een gebruikersaccount dat deel uitmaakt van het beheerde domein.
  • Unieke Linux-VM-namen van maximaal 15 tekens om afgekapte namen te voorkomen die conflicten in Active Directory kunnen veroorzaken.

Een RHEL Linux-VM maken en er verbinding mee maken

Als u een bestaande RHEL Linux-VM in Azure hebt, maakt u er verbinding mee met behulp van SSH en gaat u verder met de volgende stap om de VIRTUELE machine te configureren.

Als u een RHEL Linux-VM wilt maken of een test-VM wilt maken voor gebruik met dit artikel, kunt u een van de volgende methoden gebruiken:

Let bij het maken van de VIRTUELE machine op de instellingen van het virtuele netwerk om ervoor te zorgen dat de virtuele machine kan communiceren met het beheerde domein:

  • Implementeer de virtuele machine in hetzelfde of een gekoppeld virtueel netwerk waarin u Microsoft Entra Domain Services hebt ingeschakeld.
  • Implementeer de VM in een ander subnet dan uw door Microsoft Entra Domain Services beheerde domein.

Zodra de VM is geïmplementeerd, volgt u de stappen om verbinding te maken met de VIRTUELE machine met behulp van SSH.

Het hosts-bestand configureren

Als u ervoor wilt zorgen dat de hostnaam van de VIRTUELE machine juist is geconfigureerd voor het beheerde domein, bewerkt u het bestand /etc/hosts en stelt u de hostnaam in:

sudo vi /etc/hosts

Werk in het hosts-bestand het localhost-adres bij. In het volgende voorbeeld:

  • aaddscontoso.com is de DNS-domeinnaam van uw beheerde domein.
  • rhel is de hostnaam van uw RHEL-VM die u toevoegt aan het beheerde domein.

Werk deze namen bij met uw eigen waarden:

127.0.0.1 rhel rhel.aaddscontoso.com

Wanneer u klaar bent, slaat u het hosts-bestand op en sluit u het af met behulp van de :wq opdracht van de editor.

Belangrijk

Houd rekening met Red Hat Enterprise Linux 6.X en Oracle Linux 6.x is al EOL. RHEL 6.10 heeft els-ondersteuning beschikbaar, die eindigt op 06/2024.

De vereiste pakketten installeren

De VIRTUELE machine heeft extra pakketten nodig om de VIRTUELE machine aan het beheerde domein toe te voegen. Als u deze pakketten wilt installeren en configureren, moet u de hulpprogramma's voor domeindeelname bijwerken en installeren met behulp van yum.

sudo yum install adcli sssd authconfig krb5-workstation

VM toevoegen aan het beheerde domein

Nu de vereiste pakketten op de VIRTUELE machine zijn geïnstalleerd, voegt u de VM toe aan het beheerde domein.

  1. Gebruik de adcli info opdracht om het beheerde domein te detecteren. In het volgende voorbeeld wordt de realm ADDDSCONTOSO.COM gedetecteerd. Geef uw eigen beheerde domeinnaam op in HOOFDLETTERS:

    sudo adcli info aaddscontoso.com
    

    Als de adcli info opdracht uw beheerde domein niet kan vinden, raadpleegt u de volgende stappen voor probleemoplossing:

    • Zorg ervoor dat het domein bereikbaar is vanaf de VIRTUELE machine. Probeer ping aaddscontoso.com te zien of er een positief antwoord wordt geretourneerd.
    • Controleer of de virtuele machine is geïmplementeerd in hetzelfde of een gekoppeld virtueel netwerk waarin het beheerde domein beschikbaar is.
    • Controleer of de DNS-serverinstellingen voor het virtuele netwerk zijn bijgewerkt om te verwijzen naar de domeincontrollers van het beheerde domein.
  2. Voeg eerst het domein toe met behulp van de adcli join opdracht. Met deze opdracht wordt ook de keytab gemaakt om de computer te verifiëren. Gebruik een gebruikersaccount dat deel uitmaakt van het beheerde domein.

    sudo adcli join aaddscontoso.com -U contosoadmin
    
  3. Configureer nu de /ect/krb5.conf bestanden en maak deze /etc/sssd/sssd.conf voor het gebruik van het aaddscontoso.com Active Directory-domein. Zorg ervoor dat deze AADDSCONTOSO.COM wordt vervangen door uw eigen domeinnaam:

    Open het /etc/krb5.conf bestand met een editor:

    sudo vi /etc/krb5.conf
    

    Werk het bestand bij zodat het krb5.conf overeenkomt met het volgende voorbeeld:

    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log
    
    [libdefaults]
     default_realm = AADDSCONTOSO.COM
     dns_lookup_realm = true
     dns_lookup_kdc = true
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
    
    [realms]
     AADDSCONTOSO.COM = {
     kdc = AADDSCONTOSO.COM
     admin_server = AADDSCONTOSO.COM
     }
    
    [domain_realm]
     .AADDSCONTOSO.COM = AADDSCONTOSO.COM
     AADDSCONTOSO.COM = AADDSCONTOSO.COM
    

    Maak het /etc/sssd/sssd.conf bestand:

    sudo vi /etc/sssd/sssd.conf
    

    Werk het bestand bij zodat het sssd.conf overeenkomt met het volgende voorbeeld:

    [sssd]
     services = nss, pam, ssh, autofs
     config_file_version = 2
     domains = AADDSCONTOSO.COM
    
    [domain/AADDSCONTOSO.COM]
    
     id_provider = ad
    
  4. Zorg ervoor dat /etc/sssd/sssd.conf machtigingen 600 zijn en eigendom zijn van de hoofdgebruiker:

    sudo chmod 600 /etc/sssd/sssd.conf
    sudo chown root:root /etc/sssd/sssd.conf
    
  5. Gebruik authconfig deze opdracht om de VIRTUELE machine te instrueren over de AD Linux-integratie:

    sudo authconfig --enablesssd --enablesssd auth --update
    
  6. Start en schakel de sssd-service in:

    sudo service sssd start
    sudo chkconfig sssd on
    

Als uw VM het proces voor domeindeelname niet kan voltooien, moet u ervoor zorgen dat de netwerkbeveiligingsgroep van de virtuele machine uitgaand Kerberos-verkeer op TCP + UDP-poort 464 toestaat naar het subnet van het virtuele netwerk voor uw beheerde domein.

Controleer nu of u ad-gegevens van gebruikers kunt opvragen met behulp van getent

sudo getent passwd contosoadmin

Wachtwoordverificatie voor SSH toestaan

Standaard kunnen gebruikers zich alleen aanmelden bij een virtuele machine met behulp van verificatie op basis van openbare SSH-sleutels. Verificatie op basis van een wachtwoord mislukt. Wanneer u de VIRTUELE machine aan een beheerd domein koppelt, moeten deze domeinaccounts verificatie op basis van wachtwoorden gebruiken. Werk de SSH-configuratie als volgt bij om verificatie op basis van een wachtwoord toe te staan.

  1. Open het sshd_conf bestand met een editor:

    sudo vi /etc/ssh/sshd_config
    
  2. Werk de regel voor PasswordAuthentication bij naar ja:

    PasswordAuthentication yes
    

    Wanneer u klaar bent, slaat u het sshd_conf bestand op en sluit u het af met behulp van de :wq opdracht van de editor.

  3. Als u de wijzigingen wilt toepassen en gebruikers zich wilt laten aanmelden met een wachtwoord, start u de SSH-service opnieuw voor uw RHEL-distributieversie:

    sudo service sshd restart
    

De groep sudo-bevoegdheden 'AAD DC Beheer istrators' verlenen

Als u leden van de AAD DC-Beheer beheerders beheerdersbevoegdheden wilt verlenen op de RHEL-VM, voegt u een vermelding toe aan de /etc/sudoers. Zodra deze is toegevoegd, kunnen leden van de groep AAD DC Beheer istrators de sudo opdracht op de RHEL-VM gebruiken.

  1. Open het sudoers-bestand voor bewerken:

    sudo visudo
    
  2. Voeg de volgende vermelding toe aan het einde van het bestand /etc/sudoers . De groep AAD DC Beheer istrators bevat spaties in de naam, dus neem het escapeteken backslash op in de groepsnaam. Voeg uw eigen domeinnaam toe, zoals aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
    

    Sla de editor op en sluit deze af met behulp van de :wq opdracht van de editor.

Aanmelden bij de VIRTUELE machine met behulp van een domeinaccount

Als u wilt controleren of de VIRTUELE machine is gekoppeld aan het beheerde domein, start u een nieuwe SSH-verbinding met behulp van een domeingebruikersaccount. Controleer of er een basismap is gemaakt en of het groepslidmaatschap van het domein is toegepast.

  1. Maak een nieuwe SSH-verbinding vanuit uw console. Gebruik een domeinaccount dat deel uitmaakt van het beheerde domein met behulp van de ssh -l opdracht, zoals contosoadmin@aaddscontoso.com het adres van uw virtuele machine, zoals rhel.aaddscontoso.com. Als u Azure Cloud Shell gebruikt, gebruikt u het openbare IP-adres van de VIRTUELE machine in plaats van de interne DNS-naam.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
    
  2. Wanneer u verbinding hebt gemaakt met de virtuele machine, controleert u of de basismap correct is geïnitialiseerd:

    pwd
    

    U moet zich in de /home directory bevinden met uw eigen directory die overeenkomt met het gebruikersaccount.

  3. Controleer nu of de groepslidmaatschappen correct worden omgezet:

    id
    

    Als het goed is, ziet u uw groepslidmaatschappen uit het beheerde domein.

  4. Als u zich als lid van de groep AAD DC Beheer istrators hebt aangemeld bij de virtuele machine, controleert u of u de sudo opdracht correct kunt gebruiken:

    sudo yum update
    

Volgende stappen

Zie Problemen met domeindeelname oplossen als u problemen ondervindt met het verbinden van de virtuele machine met het beheerde domein of aanmelden met een domeinaccount.