Junte uma máquina virtual Red Hat Enterprise Linux a um domínio gerenciado do Microsoft Entra Domain Services

Para permitir que os usuários entrem em máquinas virtuais (VMs) no Azure usando um único conjunto de credenciais, você pode unir VMs a um domínio gerenciado dos Serviços de Domínio Microsoft Entra. Quando associa uma VM a um domínio gerido pelos Serviços de Domínio, as contas de utilizador e as credenciais do domínio podem ser utilizadas para iniciar sessão e gerir servidores. As associações de grupo do domínio gerenciado também são aplicadas para permitir que você controle o acesso a arquivos ou serviços na VM.

Este artigo mostra como associar uma VM Red Hat Enterprise Linux (RHEL) a um domínio gerenciado.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um inquilino do Microsoft Entra ou associe uma subscrição do Azure à sua conta.
• Um domínio gerido pelos Serviços de Domínio do Microsoft Entra, ativado e configurado no seu locatário do Microsoft Entra.
  • Se necessário, o primeiro tutorial cria e configura um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
• Uma conta de usuário que faz parte do domínio gerenciado.
• Nomes exclusivos de VM Linux com no máximo 15 caracteres para evitar nomes truncados que possam causar conflitos no Ative Directory.

Crie e conecte-se a uma VM RHEL Linux

Se você tiver uma VM RHEL Linux existente no Azure, conecte-se a ela usando SSH e, em seguida, continue para a próxima etapa para comece a configurar a VM.

Se você precisar criar uma VM RHEL Linux ou quiser criar uma VM de teste para uso com este artigo, você pode usar um dos seguintes métodos:

• Centro de administração do Microsoft Entra
• Azure CLI
• Azure PowerShell

Ao criar a VM, preste atenção às configurações de rede virtual para garantir que a VM possa se comunicar com o domínio gerenciado:

• Implante a VM na mesma rede virtual ou em uma rede virtual emparelhada na qual você habilitou os Serviços de Domínio Microsoft Entra.
• Implante a VM em uma sub-rede diferente do domínio gerenciado dos Serviços de Domínio Microsoft Entra.

Depois que a VM for implantada, siga as etapas para se conectar à VM usando SSH.

Configurar o ficheiro hosts

Para certificar-se de que o nome do host da VM está configurado corretamente para o domínio gerenciado, edite o arquivo de /etc/hosts e defina o nome do host:

sudo vi /etc/hosts

No arquivo hosts, atualize o endereço localhost. No exemplo a seguir:

• aaddscontoso.com é o nome de domínio DNS do seu domínio gerenciado.
• rhel é o nome de host da sua máquina virtual RHEL que está a juntar ao domínio gerido.

Atualize estes nomes com os seus próprios valores:

127.0.0.1 rhel rhel.aaddscontoso.com

Quando terminar, guarde e saia do arquivo hosts usando o comando :wq do editor.

RHEL 6

Importante

Tenha em consideração que o Red Hat Enterprise Linux 6.X e o Oracle Linux 6.x já são EOL. O RHEL 6.10 tem suporte ELSdisponível, que terminou em 06/2024.

Instalar pacotes necessários

A VM precisa de alguns pacotes adicionais para unir a VM ao domínio gerenciado. Para instalar e configurar esses pacotes, atualize e instale as ferramentas de ingresso no domínio usando yum.

sudo yum install adcli sssd authconfig krb5-workstation

Associar VM ao domínio gerenciado

Agora que os pacotes necessários estão instalados na VM, associe a VM ao domínio gerenciado.

1. Use o comando adcli info para descobrir o domínio gerenciado. O exemplo a seguir descobre o domínio AADDSCONTOSO.COM. Especifique seu próprio nome de domínio gerenciado em TODAS as maiúsculas:

   sudo adcli info aaddscontoso.com
   

   Se o comando adcli info não conseguir localizar seu domínio gerenciado, revise as seguintes etapas de solução de problemas:

   • Certifique-se de que o domínio está acessível a partir da VM. Tente ping aaddscontoso.com para ver se uma resposta positiva é retornada.
   • Verifique se a VM está implantada na mesma rede virtual emparelhada na qual o domínio gerenciado está disponível.
   • Confirme se as configurações do servidor DNS para a rede virtual foram atualizadas para apontar para os controladores de domínio do domínio gerenciado.

2. Primeiro, ingresse no domínio usando o comando adcli join. Este comando também cria o keytab para autenticar a máquina. Use uma conta de usuário que faça parte do domínio gerenciado.

   sudo adcli join aaddscontoso.com -U contosoadmin
   

3. Agora configure o /ect/krb5.conf e crie os arquivos /etc/sssd/sssd.conf para usar o domínio aaddscontoso.com Ative Directory. Certifique-se de que AADDSCONTOSO.COM é substituído pelo seu próprio nome de domínio:

   Abra o arquivo /etc/krb5.conf com um editor:

   sudo vi /etc/krb5.conf
   

   Atualize o arquivo krb5.conf para corresponder ao seguinte exemplo:

   [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
   
   [libdefaults]
    default_realm = AADDSCONTOSO.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
   
   [realms]
    AADDSCONTOSO.COM = {
    kdc = AADDSCONTOSO.COM
    admin_server = AADDSCONTOSO.COM
    }
   
   [domain_realm]
    .AADDSCONTOSO.COM = AADDSCONTOSO.COM
    AADDSCONTOSO.COM = AADDSCONTOSO.COM
   

   Crie o arquivo /etc/sssd/sssd.conf:

   sudo vi /etc/sssd/sssd.conf
   

   Atualize o arquivo sssd.conf para corresponder ao seguinte exemplo:

   [sssd]
    services = nss, pam, ssh, autofs
    config_file_version = 2
    domains = AADDSCONTOSO.COM
   
   [domain/AADDSCONTOSO.COM]
   
    id_provider = ad
   

4. Verifique se as permissões de /etc/sssd/sssd.conf são 600 e pertencem ao usuário root.

   sudo chmod 600 /etc/sssd/sssd.conf
   sudo chown root:root /etc/sssd/sssd.conf
   

5. Use authconfig para instruir a VM sobre a integração do AD Linux:

   sudo authconfig --enablesssd --enablesssd auth --update
   

6. Inicie e ative o serviço sssd:

   sudo service sssd start
   sudo chkconfig sssd on
   

Se a VM não conseguir concluir com êxito o processo de ingresso no domínio, verifique se o grupo de segurança de rede da VM permite o tráfego Kerberos de saída na porta TCP + UDP 464 para a sub-rede de rede virtual do domínio gerenciado.

Agora, verifique se você pode consultar informações do AD do usuário usando getent

sudo getent passwd contosoadmin

Permitir autenticação de senha para SSH

Por padrão, os usuários só podem entrar em uma VM usando a autenticação baseada em chave pública SSH. A autenticação baseada em senha falha. Quando você associa a VM a um domínio gerenciado, essas contas de domínio precisam usar a autenticação baseada em senha. Atualize a configuração SSH para permitir a autenticação baseada em senha da seguinte maneira.

1. Abra o arquivo sshd_conf com um editor:

   sudo vi /etc/ssh/sshd_config
   

2. Atualize a linha para PasswordAuthentication para sim:

   PasswordAuthentication yes
   

   Quando terminar, salve e saia do arquivo sshd_conf usando o comando :wq do editor.

3. Para aplicar as alterações e permitir que os usuários façam login usando uma senha, reinicie o serviço SSH para sua versão de distribuição RHEL:

   sudo service sshd restart
   

RHEL 7/ RHEL 8/ RHEL 9

Instalar pacotes necessários

A VM precisa de alguns pacotes adicionais para unir a VM ao domínio gerenciado. Para instalar e configurar esses pacotes, atualize e instale as ferramentas de ingresso no domínio usando yum.

sudo yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

Associar VM ao domínio gerenciado

Agora que os pacotes necessários estão instalados na VM, associe a VM ao domínio gerenciado. Novamente, use as etapas apropriadas para sua versão de distribuição RHEL.

1. Use o comando realm discover para descobrir o domínio gerenciado. O exemplo a seguir descobre o domínio AADDSCONTOSO.COM. Especifique seu próprio nome de domínio gerenciado em TODAS as maiúsculas:

   sudo realm discover AADDSCONTOSO.COM
   

   Se o comando realm discover não conseguir localizar seu domínio gerenciado, revise as seguintes etapas de solução de problemas:

   • Certifique-se de que o domínio está acessível a partir da VM. Tente ping aaddscontoso.com para ver se uma resposta positiva é retornada.
   • Verifique se a VM está implantada na mesma rede virtual emparelhada na qual o domínio gerenciado está disponível.
   • Confirme se as configurações do servidor DNS para a rede virtual foram atualizadas para apontar para os controladores de domínio do domínio gerenciado.

2. Agora inicialize o Kerberos usando o comando kinit. Especifique um usuário que faça parte do domínio gerenciado. Se necessário, adicionar uma conta de utilizador a um grupo no Microsoft Entra ID.

   Novamente, o nome de domínio gerido deve ser inserido em TODAS AS LETRAS MAIÚSCULAS. No exemplo a seguir, a conta chamada contosoadmin@aaddscontoso.com é usada para inicializar Kerberos. Introduza a sua própria conta de utilizador que faz parte do domínio gerido:

   sudo kinit contosoadmin@AADDSCONTOSO.COM
   

3. Por fim, associe a VM ao domínio gerenciado usando o comando realm join. Use a mesma conta de usuário que faz parte do domínio gerenciado que você especificou no comando kinit anterior, como contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM'
   

Leva alguns minutos para unir a VM ao domínio gerenciado. A saída de exemplo a seguir mostra a VM ingressada com êxito no domínio gerenciado:

Successfully enrolled machine in realm

Permitir autenticação de senha para SSH

Por padrão, os usuários só podem entrar em uma VM usando a autenticação baseada em chave pública SSH. A autenticação baseada em senha falha. Quando você associa a VM a um domínio gerenciado, essas contas de domínio precisam usar a autenticação baseada em senha. Atualize a configuração SSH para permitir a autenticação baseada em senha da seguinte maneira.

1. Abra o arquivo sshd_conf com um editor:

   sudo vi /etc/ssh/sshd_config
   

2. Atualize a linha para PasswordAuthentication para sim:

   PasswordAuthentication yes
   

   Quando terminar, salve e saia do arquivo sshd_conf usando o comando :wq do editor.

3. Para aplicar as alterações e permitir que os usuários entrem usando uma senha, reinicie o serviço SSH.

   sudo systemctl restart sshd
   

Conceda privilégios sudo ao grupo 'Administradores de DC do AAD'

Para conceder privilégios administrativos aos membros do grupo Administradores de DC do AAD na VM RHEL, adiciona uma entrada ao /etc/sudoers. Depois de adicionados, os membros do grupo Administradores de DC do AAD podem usar o comando sudo na VM RHEL.

1. Abra o ficheiro sudoers para edição.

   sudo visudo
   

2. Adicione a seguinte entrada ao final do ficheiro /etc/sudoers. O grupo AAD DC Administrators contém espaços em branco no nome, portanto, inclua o carácter de escape de barra invertida no nome do grupo. Adicione seu próprio nome de domínio, como aaddscontoso.com:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   Quando terminar, salve e saia do editor usando o comando :wq do editor.

Entrar na VM usando uma conta de domínio

Para verificar se a VM ingressou com êxito no domínio gerenciado, inicie uma nova conexão SSH usando uma conta de usuário de domínio. Confirme se um diretório base foi criado e se a associação de grupo do domínio foi aplicada.

1. Crie uma nova conexão SSH a partir do seu console. Use uma conta de domínio que pertença ao domínio gerenciado usando o comando ssh -l, como contosoadmin@aaddscontoso.com e, em seguida, digite o endereço da sua VM, como rhel.aaddscontoso.com. Se você usar o Azure Cloud Shell, use o endereço IP público da VM em vez do nome DNS interno.

   ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
   

2. Quando você tiver se conectado com êxito à VM, verifique se o diretório base foi inicializado corretamente:

   pwd
   

   Você deve estar no diretório /home com seu próprio diretório que corresponda à conta de usuário.

3. Agora verifique se as associações de grupo estão sendo resolvidas corretamente:

   id
   

   Você deve ver suas associações de grupo do domínio gerenciado.

4. Se tiver iniciado sessão na VM como membro do grupo Administradores de AAD DC, verifique se consegue utilizar corretamente o comando sudo:

   sudo yum update
   

Próximos passos

Se você tiver problemas para conectar a VM ao domínio gerenciado ou entrar com uma conta de domínio, consulte Solução de problemas de ingresso no domínio.