Een virtuele Red Hat Enterprise Linux-machine toevoegen aan een door Microsoft Entra Domain Services beheerd domein
Artikel
Als u wilt dat gebruikers zich met één set referenties kunnen aanmelden bij virtuele machines (VM's) in Azure, kunt u VM's toevoegen aan een door Microsoft Entra Domain Services beheerd domein. Wanneer u een VIRTUELE machine koppelt aan een beheerd domein van Domain Services, kunnen gebruikersaccounts en referenties van het domein worden gebruikt om zich aan te melden en servers te beheren. Groepslidmaatschappen van het beheerde domein worden ook toegepast, zodat u de toegang tot bestanden of services op de virtuele machine kunt beheren.
In dit artikel leest u hoe u een RHEL-VM (Red Hat Enterprise Linux) koppelt aan een beheerd domein.
Voorwaarden
U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:
Een gebruikersaccount dat deel uitmaakt van het beheerde domein.
Unieke Linux-VM-namen van maximaal 15 tekens om afgekapte namen te voorkomen die conflicten in Active Directory kunnen veroorzaken.
Een RHEL Linux-VM maken en er verbinding mee maken
Als u een bestaande RHEL Linux-VM in Azure hebt, maakt u er verbinding mee met behulp van SSH en gaat u verder met de volgende stap om de VM-te configureren.
Als u een RHEL Linux-VM wilt maken of een test-VM wilt maken voor gebruik met dit artikel, kunt u een van de volgende methoden gebruiken:
Let bij het maken van de VIRTUELE machine op de instellingen van het virtuele netwerk om ervoor te zorgen dat de virtuele machine kan communiceren met het beheerde domein:
Implementeer de virtuele machine in hetzelfde of een gekoppeld virtueel netwerk waarin u Microsoft Entra Domain Services hebt ingeschakeld.
Implementeer de VM in een ander subnet dan uw door Microsoft Entra Domain Services beheerde domein.
Zodra de VM is geïmplementeerd, volgt u de stappen om verbinding te maken met de VIRTUELE machine met behulp van SSH.
Het hosts-bestand configureren
Als u ervoor wilt zorgen dat de hostnaam van de VIRTUELE machine juist is geconfigureerd voor het beheerde domein, bewerkt u de /etc/hosts bestand en stelt u de hostnaam in:
Bash
sudo vi /etc/hosts
Werk in het hosts bestand het localhost--adres bij. In het volgende voorbeeld:
aaddscontoso.com is de DNS-domeinnaam van uw beheerde domein.
rhel- is de hostnaam van uw RHEL-VM die u aan het beheerde domein toevoegt.
Werk deze namen bij met uw eigen waarden:
config
127.0.0.1 rhel rhel.aaddscontoso.com
Wanneer u klaar bent, slaat u het hosts bestand op en sluit u het af met behulp van de opdracht :wq van de editor.
Houd rekening met het feit dat Red Hat Enterprise Linux 6.X en Oracle Linux 6.x al het einde van hun levenscyclus hebben bereikt.
RHEL 6.10 heeft ELS-ondersteuningbeschikbaar, die op 06/2024is beëindigd.
Vereiste pakketten installeren
De virtuele machine heeft enkele extra pakketten nodig om deze aan het beheerde domein toe te voegen. Als u deze pakketten wilt installeren en configureren, moet u de hulpprogramma's voor domeindeelname bijwerken en installeren met behulp van yum.
Nu de vereiste pakketten op de VIRTUELE machine zijn geïnstalleerd, voegt u de VM toe aan het beheerde domein.
Gebruik de opdracht adcli info om het beheerde domein te detecteren. In het volgende voorbeeld wordt de realm ADDDSCONTOSO.COMontdekt. Geef uw eigen beheerde domeinnaam op in HOOFDLETTERS:
Bash
sudo adcli info aaddscontoso.com
Als de opdracht adcli info uw beheerde domein niet kan vinden, raadpleegt u de volgende stappen voor probleemoplossing:
Zorg ervoor dat het domein bereikbaar is vanaf de VIRTUELE machine. Probeer ping aaddscontoso.com om te zien of er een positief antwoord wordt geretourneerd.
Controleer of de virtuele machine is geïmplementeerd in hetzelfde of een gekoppeld virtueel netwerk waarin het beheerde domein beschikbaar is.
Controleer of de DNS-serverinstellingen voor het virtuele netwerk zijn bijgewerkt zodat deze verwijzen naar de domeincontrollers van het beheerde domein.
Voeg eerst het domein toe met behulp van de opdracht adcli join. Met deze opdracht wordt ook de keytab gemaakt om de machine te verifiëren. Gebruik een gebruikersaccount dat deel uitmaakt van het beheerde domein.
Bash
sudo adcli join aaddscontoso.com -U contosoadmin
Configureer nu de /ect/krb5.conf en maak de /etc/sssd/sssd.conf-bestanden om het aaddscontoso.com Active Directory-domein te gebruiken.
Zorg ervoor dat AADDSCONTOSO.COM wordt vervangen door uw eigen domeinnaam:
Open het /etc/krb5.conf-bestand met een editor:
Bash
sudo vi /etc/krb5.conf
Werk het krb5.conf-bestand bij zodat het overeenkomt met het volgende voorbeeld:
Als uw VM het proces voor domeindeelname niet kan voltooien, moet u ervoor zorgen dat de netwerkbeveiligingsgroep van de virtuele machine uitgaand Kerberos-verkeer op TCP + UDP-poort 464 toestaat naar het subnet van het virtuele netwerk voor uw beheerde domein.
Controleer nu of u ad-gegevens van gebruikers kunt opvragen met behulp van getent
Bash
sudo getent passwd contosoadmin
Wachtwoordverificatie voor SSH toestaan
Standaard kunnen gebruikers zich alleen aanmelden bij een virtuele machine met behulp van verificatie op basis van openbare SSH-sleutels. Verificatie op basis van een wachtwoord mislukt. Wanneer u de VIRTUELE machine aan een beheerd domein koppelt, moeten deze domeinaccounts verificatie op basis van wachtwoorden gebruiken. Werk de SSH-configuratie als volgt bij om verificatie op basis van een wachtwoord toe te staan.
Open het sshd_conf-bestand met een editor:
Bash
sudo vi /etc/ssh/sshd_config
Werk de regel voor PasswordAuthentication bij naar ja:
config
PasswordAuthentication yes
Wanneer u klaar bent, slaat u het sshd_conf bestand op en sluit u het af met behulp van de opdracht :wq van de editor.
Als u de wijzigingen wilt toepassen en gebruikers zich wilt laten aanmelden met een wachtwoord, start u de SSH-service opnieuw voor uw RHEL-distributieversie:
Bash
sudo service sshd restart
Vereiste pakketten installeren
De VM heeft extra pakketten nodig om de VM aan het beheerde domein te koppelen. Als u deze pakketten wilt installeren en configureren, moet u de hulpprogramma's voor domeindeelname bijwerken en installeren met behulp van yum.
Nu de vereiste pakketten op de VIRTUELE machine zijn geïnstalleerd, voegt u de VM toe aan het beheerde domein. Gebruik opnieuw de juiste stappen voor uw RHEL-distributieversie.
Gebruik de opdracht realm discover om het beheerde domein te detecteren. In het volgende voorbeeld ontdekt men de domein AADDSCONTOSO.COM. Geef uw eigen beheerde domeinnaam op in HOOFDLETTERS:
Bash
sudo realm discover AADDSCONTOSO.COM
Als de opdracht realm discover uw beheerde domein niet kan vinden, raadpleegt u de volgende stappen voor probleemoplossing:
Zorg ervoor dat het domein bereikbaar is vanaf de VIRTUELE machine. Probeer ping aaddscontoso.com om te zien of er een positief antwoord wordt geretourneerd.
Controleer of de virtuele machine is geïmplementeerd in hetzelfde of een gekoppeld virtueel netwerk waarin het beheerde domein beschikbaar is.
Controleer of de DNS-serverinstellingen voor het virtuele netwerk zijn bijgewerkt zodat deze verwijzen naar de domeincontrollers van het beheerde domein.
Ook moet de naam van het beheerde domein in HOOFDLETTERS worden ingevoerd. In het volgende voorbeeld wordt het account met de naam contosoadmin@aaddscontoso.com gebruikt om Kerberos te initialiseren. Voer uw eigen gebruikersaccount in dat deel uitmaakt van het beheerde domein:
Bash
sudo kinit contosoadmin@AADDSCONTOSO.COM
Ten slotte voegt u de VIRTUELE machine toe aan het beheerde domein met behulp van de opdracht realm join. Gebruik hetzelfde gebruikersaccount dat deel uitmaakt van het beheerde domein dat u in de vorige kinit opdracht hebt opgegeven, zoals contosoadmin@AADDSCONTOSO.COM:
Het duurt even voordat de VIRTUELE machine is gekoppeld aan het beheerde domein. In de volgende voorbeelduitvoer ziet u dat de VM is gekoppeld aan het beheerde domein:
Output
Successfully enrolled machine in realm
Wachtwoordverificatie voor SSH toestaan
Standaard kunnen gebruikers zich alleen aanmelden bij een virtuele machine met behulp van verificatie op basis van openbare SSH-sleutels. Verificatie op basis van een wachtwoord mislukt. Wanneer u de VIRTUELE machine aan een beheerd domein koppelt, moeten deze domeinaccounts verificatie op basis van wachtwoorden gebruiken. Werk de SSH-configuratie als volgt bij om verificatie op basis van een wachtwoord toe te staan.
Open het sshd_conf-bestand met een editor:
Bash
sudo vi /etc/ssh/sshd_config
Werk de regel voor PasswordAuthentication bij naar ja:
Bash
PasswordAuthentication yes
Wanneer u klaar bent, slaat u het sshd_conf bestand op en sluit u het af met behulp van de opdracht :wq van de editor.
Als u de wijzigingen wilt toepassen en gebruikers zich wilt laten aanmelden met een wachtwoord, start u de SSH-service opnieuw.
Bash
sudo systemctl restart sshd
'AAD DC-beheerders' sudo-rechten verlenen
Als u leden van de AAD DC-beheerders groepsbeheerdersbevoegdheden wilt verlenen op de RHEL-VM, voegt u een vermelding toe aan de /etc/sudoers. Zodra de groep is toegevoegd, kunnen leden van de AAD DC-beheerders groep de opdracht sudo op de RHEL-VM gebruiken.
Open het sudoers-bestand om het te bewerken:
Bash
sudo visudo
Voeg de volgende vermelding toe aan het einde van /etc/sudoers bestand. De groep AAD DC Administrators bevat spaties in de naam, dus neem het backslash-escapeteken op in de groepsnaam. Voeg uw eigen domeinnaam toe, zoals aaddscontoso.com:
config
# Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
Wanneer u klaar bent, slaat u de editor op en sluit u deze af met behulp van de opdracht :wq van de editor.
Aanmelden bij de VIRTUELE machine met behulp van een domeinaccount
Als u wilt controleren of de VIRTUELE machine is gekoppeld aan het beheerde domein, start u een nieuwe SSH-verbinding met behulp van een domeingebruikersaccount. Controleer of er een thuisdirectory is gecreëerd en of het groepslidmaatschap van het domein is toegepast.
Maak een nieuwe SSH-verbinding vanuit uw console. Gebruik een domeinaccount dat deel uitmaakt van het beheerde domein met behulp van de opdracht ssh -l, zoals contosoadmin@aaddscontoso.com en voer vervolgens het adres van uw virtuele machine in, zoals rhel.aaddscontoso.com. Als u Azure Cloud Shell gebruikt, gebruikt u het openbare IP-adres van de VIRTUELE machine in plaats van de interne DNS-naam.
Wanneer u verbinding hebt gemaakt met de virtuele machine, controleert u of de basismap correct is geïnitialiseerd:
Bash
pwd
U moet zich in de /home map bevinden met uw eigen directory die overeenkomt met het gebruikersaccount.
Controleer nu of de groepslidmaatschappen correct worden verwerkt.
Bash
id
U zou uw groepslidmaatschappen uit het beheerde domein moeten zien.
Als u zich hebt aangemeld bij de VIRTUELE machine als lid van de AAD DC-beheerders groep, controleert u of u de sudo opdracht correct kunt gebruiken:
Bash
sudo yum update
Volgende stappen
Zie Problemen met domeindeelname oplossenals u problemen ondervindt met het verbinden van de virtuele machine met het beheerde domein of met het aanmelden met een domeinaccount.
This module introduces the management of users and groups using Active Directory, and compares the differences between Active Directory Services and Microsoft Entra ID.
Demonstreer de functies van Microsoft Entra ID om identiteitsoplossingen te moderniseren, hybride oplossingen te implementeren en identiteitsbeheer te implementeren.
Meer informatie over het configureren en koppelen van een virtuele SUSE Linux Enterprise-machine aan een door Microsoft Entra Domain Services beheerd domein.