Aracılığıyla paylaş

SUSE Linux Enterprise sanal makinesini Microsoft Entra Domain Services yönetilen etki alanına ekleme

  • Makale

Kullanıcıların tek bir kimlik bilgisi kümesi kullanarak Azure'daki sanal makinelerde (VM) oturum açmasına izin vermek için VM'leri Microsoft Entra Domain Services yönetilen etki alanına ekleyebilirsiniz. Bir VM'yi Etki Alanı Hizmetleri tarafından yönetilen bir etki alanına eklediğinizde, sunucularda oturum açmak ve sunucuları yönetmek için etki alanındaki kullanıcı hesapları ve kimlik bilgileri kullanılabilir. Yönetilen etki alanından grup üyelikleri de vm'de dosyalara veya hizmetlere erişimi denetlemenize olanak sağlamak için uygulanır.

Bu makalede, SUSE Linux Enterprise (SLE) VM'sini yönetilen bir etki alanına nasıl katacağınız gösterilmektedir.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

  • Etkin bir Azure aboneliği.
  • Aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
  • Yönetilen etki alanının bir parçası olan kullanıcı hesabı.
  • Active Directory'de çakışmalara neden olabilecek kesilmiş adları önlemek için en fazla 15 karakterden oluşan benzersiz Linux VM adları.

SLE Linux VM oluşturma ve buna bağlanma

Azure'da mevcut bir SLE Linux VM'niz varsa SSH kullanarak bu vm'ye bağlanın ve vm'yi yapılandırmaya başlamak için sonraki adıma geçin.

SLE Linux VM oluşturmanız gerekiyorsa veya bu makaleyle kullanmak üzere bir test VM'si oluşturmak istiyorsanız, aşağıdaki yöntemlerden birini kullanabilirsiniz:

VM'yi oluştururken, sanal makinenin yönetilen etki alanıyla iletişim kuradığından emin olmak için sanal ağ ayarlarına dikkat edin:

  • VM'yi Microsoft Entra Domain Services'ı etkinleştirdiğiniz aynı sanal ağa veya eşlenmiş bir sanal ağa dağıtın.
  • VM'yi Microsoft Entra Domain Services yönetilen etki alanınızdan farklı bir alt ağa dağıtın.

VM dağıtıldıktan sonra, SSH kullanarak VM'ye bağlanma adımlarını izleyin.

Konaklar dosyasını yapılandırma

VM ana bilgisayar adının yönetilen etki alanı için doğru yapılandırıldığından emin olmak için /etc/hosts dosyasını düzenleyin ve konak adını ayarlayın:

sudo vi /etc/hosts

Hosts dosyasında localhost adresini güncelleştirin. Aşağıdaki örnekte:

  • aaddscontoso.com, yönetilen etki alanınızın DNS etki alanı adıdır.
  • linux-q2gr , yönetilen etki alanına katıldığınız SLE VM'nizin ana bilgisayar adıdır.

Bu adları kendi değerlerinizle güncelleştirin:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq hosts dosyasını kaydedin ve çıkın.

SSSD kullanarak VM'yi yönetilen etki alanına ekleme

SSSD ve YaST Kullanıcı Oturum Açma Yönetimi modülünü kullanarak yönetilen etki alanına katılmak için aşağıdaki adımları tamamlayın:

  1. Kullanıcı Oturum Açma Yönetimi YaST modülünü yükleyin:

    sudo zypper install yast2-auth-client

  2. YaST'ı açın.

  3. DAHA sonra DNS otomatik bulma özelliğini başarıyla kullanmak için, yönetilen etki alanı IP adreslerini ( Active Directory sunucusu) istemcinizin ad sunucusu olarak yapılandırın.

    YaST'da Sistem > Ağı Ayarlar'ı seçin.

  4. Ana Bilgisayar Adı/DNS sekmesini seçin, ardından Ad Sunucusu 1 metin kutusuna yönetilen etki alanının IP adreslerini (ler) girin. Bu IP adresleri, yönetilen etki alanınızın Microsoft Entra yönetim merkezindeki Özellikler penceresinde (10.0.2.4 ve 10.0.2.5 gibi) gösterilir.

    Kendi yönetilen etki alanı IP adreslerinizi ekleyin ve tamam'ı seçin.

  5. YaST ana penceresinde Ağ Hizmetleri>Kullanıcı Oturum Açma Yönetimi'ni seçin.

    Modül, aşağıdaki örnek ekran görüntüsünde gösterildiği gibi bilgisayarınızın farklı ağ özelliklerini ve şu anda kullanımda olan kimlik doğrulama yöntemini gösteren bir genel bakışla açılır:

    YaST'da Kullanıcı Oturum Açma Yönetimi penceresinin örnek ekran görüntüsü

    Düzenlemeye başlamak için Ayarlar değiştir'i seçin.

VM'yi yönetilen etki alanına eklemek için aşağıdaki adımları tamamlayın:

  1. İletişim kutusunda Etki Alanı Ekle'yi seçin.

  2. aaddscontoso.com gibi doğru Etki alanı adını belirtin, ardından kimlik verileri ve kimlik doğrulaması için kullanılacak hizmetleri belirtin. Her ikisi için de Microsoft Active Directory'yi seçin.

    Etki alanını etkinleştir seçeneğinin belirlendiğinden emin olun.

  3. Hazır olduğunuzda Tamam'ı seçin.

  4. Aşağıdaki iletişim kutusunda varsayılan ayarları kabul edin ve tamam'ı seçin.

  5. VM gerektiğinde ek yazılım yükler, ardından yönetilen etki alanının kullanılabilir olup olmadığını denetler.

    Her şey doğruysa, VM'nin yönetilen etki alanını keşfettiğini ancak henüz kaydolmadığınızı belirtmek için aşağıdaki örnek iletişim kutusu gösterilir.

    YaST'da Active Directory kayıt penceresinin örnek ekran görüntüsü

  6. İletişim kutusunda, yönetilen etki alanının parçası olan bir kullanıcının Kullanıcı Adı ve Parolası'nı belirtin. Gerekirse, Microsoft Entra Id'deki bir gruba kullanıcı hesabı ekleyin.

    Geçerli etki alanının Samba için etkinleştirildiğinden emin olmak için, bu AD ile çalışmak için Overwrite Samba yapılandırmasını etkinleştirin.

  7. Kaydetmek için Tamam'ı seçin.

  8. Başarıyla kaydolduğunuz onaylamak için bir ileti gösterilir. Bitirmek için Tamam'ı seçin.

VM yönetilen etki alanına kaydedildikten sonra, aşağıdaki örnek ekran görüntüsünde gösterildiği gibi Etki Alanı Kullanıcı OturumUnu Yönet'i kullanarak istemciyi yapılandırın:

YaST'da Etki Alanı Kullanıcı Oturum Açmasını Yönet penceresinin örnek ekran görüntüsü

  1. Yönetilen etki alanı tarafından sağlanan verileri kullanarak oturum açma işlemlerine izin vermek için Etki Alanı Kullanıcısı Oturum Açmasına İzin Ver kutusunu işaretleyin.

  2. İsteğe bağlı olarak, Etki alanı veri kaynağını etkinleştir'in altında ortamınız için gereken ek veri kaynaklarını denetleyin. Bu seçenekler arasında hangi kullanıcıların sudo kullanmasına izin verildiği veya hangi ağ sürücülerinin kullanılabilir olduğu yer alır.

  3. Yönetilen etki alanındaki kullanıcıların VM'de giriş dizinlerine sahip olmasını sağlamak için Giriş Dizinleri Oluştur kutusunu işaretleyin.

  4. Yan çubuktan Hizmet Seçenekleri › Ad anahtarı'nı ve ardından Genişletilmiş Seçenekler'i seçin. Bu pencerede fallback_homedir veya override_homedir seçin ve ardından Ekle'yi seçin.

  5. Giriş dizini konumu için bir değer belirtin. Giriş dizinlerinin /home/USER_NAME biçimini izlemesini sağlamak için /home/%u kullanın. Olası değişkenler hakkında daha fazla bilgi için sssd.conf man sayfası (man 5 sssd.conf), override_homedir bölümüne bakın.

  6. Tamam'ı seçin.

  7. Değişiklikleri kaydetmek için Tamam’ı seçin. Ardından, şimdi görüntülenen değerlerin doğru olduğundan emin olun. İletişim kutusundan çıkmak için İptal'i seçin.

  8. SSSD ve Winbind'i aynı anda çalıştırmayı düşünüyorsanız (örneğin, SSSD aracılığıyla katılırken, ancak bir Samba dosya sunucusu çalıştırırken), Samba seçeneği kerberos yöntemi smb.conf dosyasında gizli diziler ve anahtar sekmesi olarak ayarlanmalıdır. SSSD seçeneği ad_update_samba_machine_account_password de sssd.conf dosyasında true olarak ayarlanmalıdır. Bu seçenekler sistem tuş sekmesinin eşitlenmemesini engeller.

Winbind kullanarak VM'yi yönetilen etki alanına ekleme

Winbind ve YaST'nin Windows Etki Alanı Üyeliği modülünü kullanarak yönetilen etki alanına katılmak için aşağıdaki adımları tamamlayın:

  1. YaST'de Ağ Hizmetleri > Windows Etki Alanı Üyeliği'ne tıklayın.

  2. Windows Etki Alanı Üyeliği ekranında Etki Alanı veya Çalışma Grubu'na katılmak için etki alanını girin. aaddscontoso.com gibi yönetilen etki alanı adını girin.

    YaST'da Windows Etki Alanı Üyeliği penceresinin örnek ekran görüntüsü

  3. Linux kimlik doğrulaması için SMB kaynağını kullanmak için Linux Kimlik Doğrulaması için SMB Bilgilerini Kullan seçeneğini işaretleyin.

  4. VM'de yönetilen etki alanı kullanıcıları için otomatik olarak yerel bir giriş dizini oluşturmak için Oturum Açmada Giriş Dizini Oluştur seçeneğini işaretleyin.

  5. Yönetilen etki alanı geçici olarak kullanılamasa bile etki alanı kullanıcılarınızın oturum açmasına izin vermek için Çevrimdışı Kimlik Doğrulaması seçeneğini işaretleyin.

  6. Samba kullanıcıları ve grupları için UID ve GID aralıklarını değiştirmek istiyorsanız Uzman Ayarlar'ı seçin.

  7. NTP Yapılandırması'nı seçerek yönetilen etki alanınız için Ağ Saat Protokolü (NTP) zaman eşitlemesini yapılandırın. Yönetilen etki alanının IP adreslerini girin. Bu IP adresleri, yönetilen etki alanınızın Microsoft Entra yönetim merkezindeki Özellikler penceresinde (10.0.2.4 ve 10.0.2.5 gibi) gösterilir.

  8. Tamam'ı seçin ve istendiğinde etki alanına katılımı onaylayın.

  9. Yönetilen etki alanındaki bir yöneticinin parolasını girin ve Tamam'ı seçin.

    SLE VM'sini yönetilen etki alanına kattığınızda kimlik doğrulaması iletişim kutusu isteminin örnek ekran görüntüsü

Yönetilen etki alanına katıldıktan sonra, masaüstünüzün veya konsolunuzun görüntü yöneticisini kullanarak iş istasyonunuzda oturum açabilirsiniz.

YaST komut satırı arabiriminden Winbind kullanarak VM'yi yönetilen etki alanına ekleme

winbind ve YaST komut satırı arabirimini kullanarak yönetilen etki alanına katılmak için:

  • Etki alanına katılın:

    sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>

Terminalden Winbind kullanarak VM'yi yönetilen etki alanına ekleme

winbind vesamba netkomutunu kullanarak yönetilen etki alanına katılmak için:

  1. Kerberos istemcisini ve samba-winbind'i yükleyin:

    sudo zypper in krb5-client samba-winbind

  2. Yapılandırma dosyalarını düzenleyin:

    • /etc/samba/smb.conf

      [global]
    workgroup = AADDSCONTOSO
    usershare allow guests = NO #disallow guests from sharing
    idmap config * : backend = tdb
    idmap config * : range = 1000000-1999999
    idmap config AADDSCONTOSO : backend = rid
    idmap config AADDSCONTOSO : range = 5000000-5999999
    kerberos method = secrets and keytab
    realm = AADDSCONTOSO.COM
    security = ADS
    template homedir = /home/%D/%U
    template shell = /bin/bash
    winbind offline logon = yes
    winbind refresh tickets = yes

    • /etc/krb5.conf

      [libdefaults]
    default_realm = AADDSCONTOSO.COM
    clockskew = 300
[realms]
    AADDSCONTOSO.COM = {
        kdc = PDC.AADDSCONTOSO.COM
        default_domain = AADDSCONTOSO.COM
        admin_server = PDC.AADDSCONTOSO.COM
    }
[domain_realm]
    .aaddscontoso.com = AADDSCONTOSO.COM
[appdefaults]
    pam = {
        ticket_lifetime = 1d
        renew_lifetime = 1d
        forwardable = true
        proxiable = false
        minimum_uid = 1
    }

    • /etc/security/pam_winbind.conf

      [global]
    cached_login = yes
    krb5_auth = yes
    krb5_ccache_type = FILE
    warn_pwd_expire = 14

    • /etc/nsswitch.conf

      passwd: compat winbind
group: compat winbind

  3. Microsoft Entra Id ve Linux'taki tarih ve saatin eşitlenmiş olup olmadığını denetleyin. Bunu, Microsoft Entra sunucusunu NTP hizmetine ekleyerek yapabilirsiniz:

    1. aşağıdaki satırı içine /etc/ntp.confekleyin:

      server aaddscontoso.com

    2. NTP hizmetini yeniden başlatın:

      sudo systemctl restart ntpd

  4. Etki alanına katılın:

    sudo net ads join -U Administrator%Mypassword

  5. Winbind'i Linux Eklenebilir Kimlik Doğrulama Modülleri'nde (PAM) oturum açma kaynağı olarak etkinleştirin:

    config pam-config --add --winbind

  6. Kullanıcıların oturum açabilmesi için giriş dizinlerinin otomatik olarak oluşturulmasını etkinleştirin:

    sudo pam-config -a --mkhomedir

  7. Winbind hizmetini başlatın ve etkinleştirin:

    sudo systemctl enable winbind
sudo systemctl start winbind

SSH için parola kimlik doğrulamasına izin ver

Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açabilir. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına eklediğinizde, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanması gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.

  1. sshd_conf dosyasını bir düzenleyiciyle açın:

    sudo vi /etc/ssh/sshd_config

  2. PasswordAuthentication satırını evet olarak güncelleştirin:

    PasswordAuthentication yes

    İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq sshd_conf dosyasını kaydedin ve çıkın.

  3. Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin vermek için SSH hizmetini yeniden başlatın:

    sudo systemctl restart sshd

'AAD DC Yönetici istrators' grubuna sudo ayrıcalıkları verme

AAD DC Yönetici istrators grubu üyelerine SLE VM'sinde yönetim ayrıcalıkları vermek için /etc/sudoers öğesine bir girdi ekleyin. Eklendikten sonra, AAD DC Yönetici istrators grubunun üyeleri SLE VM'sinde komutunu kullanabilirsudo.

  1. Sudoers dosyasını düzenlemek üzere açın:

    sudo visudo

  2. /etc/sudoers dosyasının sonuna aşağıdaki girdiyi ekleyin. AAD DC Yönetici istrators grubu adında boşluk içerir, bu nedenle grup adına ters eğik çizgi kaçış karakterini ekleyin. Aaddscontoso.com gibi kendi etki alanı adınızı ekleyin:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    İşiniz bittiğinde, düzenleyicinin komutunu kullanarak düzenleyiciyi kaydedin ve düzenleyiciden :wq çıkın.

Etki alanı hesabı kullanarak VM'de oturum açma

VM'nin yönetilen etki alanına başarıyla katıldığını doğrulamak için, etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatın. Bir giriş dizininin oluşturulduğunu ve etki alanından grup üyeliğinin uygulandığını onaylayın.

  1. Konsolunuzdan yeni bir SSH bağlantısı oluşturun. gibi komutunu kullanarak ssh -l yönetilen etki alanına ait bir etki alanı hesabı kullanın ve ardından vm'nizin adresini (linux-q2gr.aaddscontoso.com gibi) contosoadmin@aaddscontoso.com girin. Azure Cloud Shell kullanıyorsanız, iç DNS adı yerine VM'nin genel IP adresini kullanın.

    sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com

  2. VM'ye başarıyla bağlandığınızda giriş dizininin doğru şekilde başlatıldığını doğrulayın:

    sudo pwd

    Kullanıcı hesabıyla eşleşen kendi dizininizle /home dizininde olmanız gerekir.

  3. Şimdi grup üyeliklerinin doğru çözümlendiğini denetleyin:

    sudo id

    Yönetilen etki alanından grup üyeliklerinizi görmeniz gerekir.

  4. VM'de AAD DC Yönetici istrators grubunun bir üyesi olarak oturum açtıysanız, komutunu doğru şekilde kullanıp kullanmayabildiğinizi sudo denetleyin:

    sudo zypper update

Sonraki adımlar

VM'yi yönetilen etki alanına bağlarken veya bir etki alanı hesabıyla oturum açarken sorun yaşıyorsanız bkz . Etki alanına katılma sorunlarını giderme.