Поделиться через


Настройка VPN-клиента Azure — проверка подлинности идентификатора Microsoft Entra — Linux (предварительная версия)

Эта статья поможет настроить VPN-клиент Azure на компьютере Linux (Ubuntu) для подключения к виртуальной сети с помощью VPN-подключения VPN-шлюз типа "точка — сеть" (P2S) и проверки подлинности идентификатора Microsoft Entra ID. Дополнительные сведения о подключениях типа "точка — сеть" см. в разделе "Сведения о подключениях типа "точка — сеть".

Действия, описанные в этой статье, применяются к проверке подлинности идентификатора Microsoft Entra с помощью зарегистрированного в Майкрософт VPN-приложения Azure с соответствующими значениями идентификатора приложения и аудитории. Эта статья не относится к более старым, вручную зарегистрированным VPN-приложением Azure для вашего клиента. Дополнительные сведения см. в разделе "Сведения о VPN типа "точка — сеть" — проверка подлинности идентификатора Microsoft Entra.

Хотя возможно, что VPN-клиент Azure для Linux может работать в других дистрибутивах и выпусках Linux, VPN-клиент Azure для Linux поддерживается только в следующих выпусках:

  • Ubuntu 20.04
  • Ubuntu 22.04

Необходимые компоненты

Выполните действия по настройке сервера типа "точка — сеть". Сведения о настройке VPN-шлюза P2S для проверки подлинности идентификатора Microsoft Entra.

Рабочий процесс

После завершения настройки сервера VPN-шлюз P2S Azure выполните следующие действия.

  1. Скачайте и установите VPN-клиент Azure для Linux.
  2. Импортируйте параметры профиля клиента в VPN-клиент.
  3. Создать подключение.

Скачивание и установка VPN-клиента Azure

Чтобы скачать и установить последнюю версию VPN-клиента Azure для Linux, выполните следующие действия.

Примечание.

Добавьте только список репозитория в Ubuntu версии 20.04 или 22.04. Дополнительные сведения см. в репозитории программного обеспечения Linux для продуктов Майкрософт.

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

Извлечение пакета конфигурации профиля VPN-клиента

Чтобы настроить профиль VPN-клиента Azure, скачайте пакет конфигурации профиля VPN-клиента из шлюза Azure P2S. Этот пакет содержит необходимые параметры для настройки VPN-клиента.

Если вы использовали шаги настройки сервера P2S, как упоминалось в разделе предварительных требований, вы уже создали и скачали пакет конфигурации профиля VPN-клиента, содержащий необходимые файлы конфигурации профиля VPN. Если вам нужно создать файлы конфигурации, ознакомьтесь с пакетом конфигурации профиля VPN-клиента.

Если конфигурация шлюза P2S ранее была настроена для использования старых, зарегистрированных вручную версий идентификатора приложения, конфигурация P2S не поддерживает VPN-клиент Linux. См. сведения об идентификаторе приложения, зарегистрированном корпорацией Майкрософт для VPN-клиента Azure.

Найдите и извлеките ZIP-файл, содержащий пакет конфигурации профиля VPN-клиента. Zip-файл содержит папку AzureVPN . В папке AzureVPN вы увидите файл azurevpnconfig_aad.xml или файл azurevpnconfig.xml в зависимости от того, включает ли конфигурация P2S несколько типов проверки подлинности. Файл .xml содержит параметры, используемые для настройки профиля VPN-клиента.

Изменение файлов конфигурации профиля

Если конфигурация P2S использует настраиваемую аудиторию с идентификатором приложения, зарегистрированным Корпорацией Майкрософт, при попытке подключения может появиться сообщение AADSTS650057 об ошибке. Повторная проверка подлинности обычно устраняет проблему. Это происходит из-за того, что профиль VPN-клиента нуждается как в пользовательском идентификаторе аудитории, так и в идентификаторе приложения Майкрософт. Чтобы предотвратить это, измените конфигурацию профиля .xml файл, чтобы включить как пользовательский идентификатор приложения, так и идентификатор приложения Майкрософт.

Примечание.

Этот шаг необходим для конфигураций шлюза P2S, использующих настраиваемое значение аудитории, и зарегистрированное приложение связано с идентификатором vpn-клиента Microsoft Azure. Если это не относится к конфигурации шлюза P2S, этот шаг можно пропустить.

  1. Чтобы изменить конфигурацию VPN-клиента Azure, .xml файл, откройте файл с помощью текстового редактора, например Блокнота.

  2. Затем добавьте значение для applicationid и сохраните изменения. В следующем примере показано значение идентификатора приложения для c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

    Пример

    <aad>
       <audience>{customAudienceID}</audience>
       <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
       <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
       <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
    </aad>
    

Импорт параметров конфигурации профиля клиента

В этом разделе описана настройка VPN-клиента Azure для Linux.

  1. На странице VPN-клиента Azure выберите Импорт.

    Снимок экрана: выбор импорта VPN-клиента Azure.

  2. Выберите "Импорт профиля " и перейдите к xml-файлу профиля. Выберите файл . Выбрав файл, нажмите кнопку "ОК".

    Снимок экрана: VPN-клиент Azure, показывающий импортированный файл.

  3. Просмотрите сведения о профиле подключения. Измените значение сведений о сертификате, чтобы отобразить значение по умолчанию DigiCert_Global_Root G2.pem или DigiCert_Global_Root_CA.pem. Не оставляйте пустым.

  4. Если профиль VPN-клиента содержит несколько проверки подлинности клиента, для проверки подлинности клиента тип проверки подлинности выберите параметр для идентификатора Microsoft Entra.

    Снимок экрана: поля проверки сервера и проверки подлинности клиента.

  5. В поле "Клиент" укажите URL-адрес клиента Microsoft Entra. Убедитесь, что URL-адрес клиента не имеет (обратную косую \ черту) в конце. Косая черта допустима.

    Идентификатор клиента имеет следующую структуру: https://login.microsoftonline.com/{Entra TenantID}

  6. В поле "Аудитория" укажите идентификатор приложения (идентификатор приложения).

    Идентификатор приложения для общедоступной версии Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 Мы также поддерживаем пользовательский идентификатор приложения для этого поля.

  7. В поле издателя укажите URL-адрес службы безопасных маркеров. Добавьте косую черту в конец значения издателя. В противном случае подключение может завершиться ошибкой.

    Пример: https://sts.windows.net/{AzureAD TenantID}/

  8. После заполнения полей нажмите кнопку "Сохранить".

  9. В области VPN-подключений выберите сохраненный профиль подключения. Затем в раскрывающемся списке нажмите кнопку "Подключить".

    Снимок экрана: профиль подключения и область для поиска подключения в раскрывающемся списке.

  10. Веб-браузер автоматически отображается. Заполните учетные данные имени пользователя и пароля для проверки подлинности идентификатора Microsoft Entra, а затем подключитесь.

    Снимок экрана: страница входа учетных данных проверки подлинности.

  11. Если подключение выполнено успешно, клиент отображает зеленый значок, а в окне "Журналы состояния" отображается состояние = подключено.

    Снимок экрана: vpn-клиент с окном журналов состояния с подключенным.

  12. После подключения состояние изменяется на Подключено. Чтобы отключиться от сеанса, в раскрывающемся списке выберите "Отключить".

Удаление профиля VPN-клиента

  1. В VPN-клиенте Azure выберите подключение, которое требуется удалить. Затем в раскрывающемся списке нажмите кнопку "Удалить".

    Снимок экрана: vpn-клиент с раскрывающимся списком с тремя параметрами: подключение, настройка, удаление.

  2. При удалении VPN-подключения нажмите кнопку "ОК".

    Снимок экрана: vpn-клиент с открываемой всплывающей окном

Проверка журналов

Для диагностики проблем можно использовать журналы VPN-клиента Azure.

  1. В VPN-клиенте Azure перейдите в раздел "Параметры". В правой области выберите "Показать каталог журналов".

    Снимок экрана: vpn-клиент с параметром

  2. Чтобы получить доступ к файлу журнала, перейдите в папку /var/log/azurevpnclient и найдите файл AzureVPNClient.log .

    Снимок экрана: расположение файла журнала VPN-клиента Azure.

Следующие шаги

  • Дополнительные сведения о VPN-шлюз см. в VPN-шлюз часто задаваемых вопросов.

  • Дополнительные сведения о подключениях типа "точка — сеть" см. в разделе "Сведения о подключениях типа "точка — сеть".