Partilhar via


Junte uma máquina virtual Red Hat Enterprise Linux a um domínio gerenciado do Microsoft Entra Domain Services

Para permitir que os usuários entrem em máquinas virtuais (VMs) no Azure usando um único conjunto de credenciais, você pode unir VMs a um domínio gerenciado dos Serviços de Domínio Microsoft Entra. Quando associa uma VM a um domínio gerido pelos Serviços de Domínio, as contas de utilizador e as credenciais do domínio podem ser utilizadas para iniciar sessão e gerir servidores. As associações de grupo do domínio gerenciado também são aplicadas para permitir que você controle o acesso a arquivos ou serviços na VM.

Este artigo mostra como associar uma VM Red Hat Enterprise Linux (RHEL) a um domínio gerenciado.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

Crie e conecte-se a uma VM RHEL Linux

Se você tiver uma VM RHEL Linux existente no Azure, conecte-se a ela usando SSH e, em seguida, continue para a próxima etapa para comece a configurar a VM.

Se você precisar criar uma VM RHEL Linux ou quiser criar uma VM de teste para uso com este artigo, você pode usar um dos seguintes métodos:

Ao criar a VM, preste atenção às configurações de rede virtual para garantir que a VM possa se comunicar com o domínio gerenciado:

  • Implante a VM na mesma rede virtual ou em uma rede virtual emparelhada na qual você habilitou os Serviços de Domínio Microsoft Entra.
  • Implante a VM em uma sub-rede diferente do domínio gerenciado dos Serviços de Domínio Microsoft Entra.

Depois que a VM for implantada, siga as etapas para se conectar à VM usando SSH.

Configurar o ficheiro hosts

Para certificar-se de que o nome do host da VM está configurado corretamente para o domínio gerenciado, edite o arquivo de /etc/hosts e defina o nome do host:

sudo vi /etc/hosts

No arquivo hosts, atualize o endereço localhost. No exemplo a seguir:

  • aaddscontoso.com é o nome de domínio DNS do seu domínio gerenciado.
  • rhel é o nome de host da sua máquina virtual RHEL que está a juntar ao domínio gerido.

Atualize estes nomes com os seus próprios valores:

127.0.0.1 rhel rhel.aaddscontoso.com

Quando terminar, guarde e saia do arquivo hosts usando o comando :wq do editor.

Importante

Tenha em consideração que o Red Hat Enterprise Linux 6.X e o Oracle Linux 6.x já são EOL. O RHEL 6.10 tem suporte ELSdisponível, que terminou em 06/2024.

Instalar pacotes necessários

A VM precisa de alguns pacotes adicionais para unir a VM ao domínio gerenciado. Para instalar e configurar esses pacotes, atualize e instale as ferramentas de ingresso no domínio usando yum.

sudo yum install adcli sssd authconfig krb5-workstation

Associar VM ao domínio gerenciado

Agora que os pacotes necessários estão instalados na VM, associe a VM ao domínio gerenciado.

  1. Use o comando adcli info para descobrir o domínio gerenciado. O exemplo a seguir descobre o domínio AADDSCONTOSO.COM. Especifique seu próprio nome de domínio gerenciado em TODAS as maiúsculas:

    sudo adcli info aaddscontoso.com
    

    Se o comando adcli info não conseguir localizar seu domínio gerenciado, revise as seguintes etapas de solução de problemas:

    • Certifique-se de que o domínio está acessível a partir da VM. Tente ping aaddscontoso.com para ver se uma resposta positiva é retornada.
    • Verifique se a VM está implantada na mesma rede virtual emparelhada na qual o domínio gerenciado está disponível.
    • Confirme se as configurações do servidor DNS para a rede virtual foram atualizadas para apontar para os controladores de domínio do domínio gerenciado.
  2. Primeiro, ingresse no domínio usando o comando adcli join. Este comando também cria o keytab para autenticar a máquina. Use uma conta de usuário que faça parte do domínio gerenciado.

    sudo adcli join aaddscontoso.com -U contosoadmin
    
  3. Agora configure o /ect/krb5.conf e crie os arquivos /etc/sssd/sssd.conf para usar o domínio aaddscontoso.com Ative Directory. Certifique-se de que AADDSCONTOSO.COM é substituído pelo seu próprio nome de domínio:

    Abra o arquivo /etc/krb5.conf com um editor:

    sudo vi /etc/krb5.conf
    

    Atualize o arquivo krb5.conf para corresponder ao seguinte exemplo:

    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log
    
    [libdefaults]
     default_realm = AADDSCONTOSO.COM
     dns_lookup_realm = true
     dns_lookup_kdc = true
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
    
    [realms]
     AADDSCONTOSO.COM = {
     kdc = AADDSCONTOSO.COM
     admin_server = AADDSCONTOSO.COM
     }
    
    [domain_realm]
     .AADDSCONTOSO.COM = AADDSCONTOSO.COM
     AADDSCONTOSO.COM = AADDSCONTOSO.COM
    

    Crie o arquivo /etc/sssd/sssd.conf:

    sudo vi /etc/sssd/sssd.conf
    

    Atualize o arquivo sssd.conf para corresponder ao seguinte exemplo:

    [sssd]
     services = nss, pam, ssh, autofs
     config_file_version = 2
     domains = AADDSCONTOSO.COM
    
    [domain/AADDSCONTOSO.COM]
    
     id_provider = ad
    
  4. Verifique se as permissões de /etc/sssd/sssd.conf são 600 e pertencem ao usuário root.

    sudo chmod 600 /etc/sssd/sssd.conf
    sudo chown root:root /etc/sssd/sssd.conf
    
  5. Use authconfig para instruir a VM sobre a integração do AD Linux:

    sudo authconfig --enablesssd --enablesssd auth --update
    
  6. Inicie e ative o serviço sssd:

    sudo service sssd start
    sudo chkconfig sssd on
    

Se a VM não conseguir concluir com êxito o processo de ingresso no domínio, verifique se o grupo de segurança de rede da VM permite o tráfego Kerberos de saída na porta TCP + UDP 464 para a sub-rede de rede virtual do domínio gerenciado.

Agora, verifique se você pode consultar informações do AD do usuário usando getent

sudo getent passwd contosoadmin

Permitir autenticação de senha para SSH

Por padrão, os usuários só podem entrar em uma VM usando a autenticação baseada em chave pública SSH. A autenticação baseada em senha falha. Quando você associa a VM a um domínio gerenciado, essas contas de domínio precisam usar a autenticação baseada em senha. Atualize a configuração SSH para permitir a autenticação baseada em senha da seguinte maneira.

  1. Abra o arquivo sshd_conf com um editor:

    sudo vi /etc/ssh/sshd_config
    
  2. Atualize a linha para PasswordAuthentication para sim:

    PasswordAuthentication yes
    

    Quando terminar, salve e saia do arquivo sshd_conf usando o comando :wq do editor.

  3. Para aplicar as alterações e permitir que os usuários façam login usando uma senha, reinicie o serviço SSH para sua versão de distribuição RHEL:

    sudo service sshd restart
    

Conceda privilégios sudo ao grupo 'Administradores de DC do AAD'

Para conceder privilégios administrativos aos membros do grupo Administradores de DC do AAD na VM RHEL, adiciona uma entrada ao /etc/sudoers. Depois de adicionados, os membros do grupo Administradores de DC do AAD podem usar o comando sudo na VM RHEL.

  1. Abra o ficheiro sudoers para edição.

    sudo visudo
    
  2. Adicione a seguinte entrada ao final do ficheiro /etc/sudoers. O grupo AAD DC Administrators contém espaços em branco no nome, portanto, inclua o carácter de escape de barra invertida no nome do grupo. Adicione seu próprio nome de domínio, como aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
    

    Quando terminar, salve e saia do editor usando o comando :wq do editor.

Entrar na VM usando uma conta de domínio

Para verificar se a VM ingressou com êxito no domínio gerenciado, inicie uma nova conexão SSH usando uma conta de usuário de domínio. Confirme se um diretório base foi criado e se a associação de grupo do domínio foi aplicada.

  1. Crie uma nova conexão SSH a partir do seu console. Use uma conta de domínio que pertença ao domínio gerenciado usando o comando ssh -l, como contosoadmin@aaddscontoso.com e, em seguida, digite o endereço da sua VM, como rhel.aaddscontoso.com. Se você usar o Azure Cloud Shell, use o endereço IP público da VM em vez do nome DNS interno.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
    
  2. Quando você tiver se conectado com êxito à VM, verifique se o diretório base foi inicializado corretamente:

    pwd
    

    Você deve estar no diretório /home com seu próprio diretório que corresponda à conta de usuário.

  3. Agora verifique se as associações de grupo estão sendo resolvidas corretamente:

    id
    

    Você deve ver suas associações de grupo do domínio gerenciado.

  4. Se tiver iniciado sessão na VM como membro do grupo Administradores de AAD DC, verifique se consegue utilizar corretamente o comando sudo:

    sudo yum update
    

Próximos passos

Se você tiver problemas para conectar a VM ao domínio gerenciado ou entrar com uma conta de domínio, consulte Solução de problemas de ingresso no domínio.