Red Hat Enterprise Linux sanal makinesini Microsoft Entra Domain Services yönetilen etki alanına ekleme

Kullanıcıların tek bir kimlik bilgisi kümesi kullanarak Azure'daki sanal makinelerde (VM) oturum açmasına izin vermek için VM'leri Microsoft Entra Domain Services yönetilen etki alanına ekleyebilirsiniz. Bir VM'yi Etki Alanı Hizmetleri tarafından yönetilen bir etki alanına eklediğinizde, sunucularda oturum açmak ve sunucuları yönetmek için etki alanındaki kullanıcı hesapları ve kimlik bilgileri kullanılabilir. Yönetilen etki alanından grup üyelikleri de vm'de dosyalara veya hizmetlere erişimi denetlemenize olanak sağlamak için uygulanır.

Bu makalede, Red Hat Enterprise Linux (RHEL) VM'sini yönetilen bir etki alanına nasıl katacağınız gösterilmektedir.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
• Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
  • Gerekirse, ilk öğretici microsoft Entra Domain Services tarafından yönetilen bir etki alanı oluşturur ve yapılandırılır.
• Yönetilen etki alanının bir parçası olan kullanıcı hesabı.
• Active Directory'de çakışmalara neden olabilecek kesilmiş adları önlemek için en fazla 15 karakterden oluşan benzersiz Linux VM adları.

RHEL Linux VM oluşturma ve bağlanma

Azure'da mevcut bir RHEL Linux VM'niz varsa SSH kullanarak buna bağlanın, ardından VM'yi yapılandırmaya başlamak için sonraki adıma geçin.

RHEL Linux VM oluşturmanız gerekiyorsa veya bu makaleyle kullanmak üzere bir test VM'sini oluşturmak istiyorsanız, aşağıdaki yöntemlerden birini kullanabilirsiniz:

• Microsoft Entra yönetim merkezi
• Azure CLI
• Azure PowerShell

VM'yi oluştururken, sanal makinenin yönetilen etki alanıyla iletişim kuradığından emin olmak için sanal ağ ayarlarına dikkat edin:

• VM'yi Microsoft Entra Domain Services'ı etkinleştirdiğiniz aynı sanal ağa veya eşlenmiş bir sanal ağa dağıtın.
• VM'yi Microsoft Entra Domain Services yönetilen etki alanınızdan farklı bir alt ağa dağıtın.

VM dağıtıldıktan sonra, SSH kullanarak VM'ye bağlanma adımlarını izleyin.

Konaklar dosyasını yapılandırma

VM ana bilgisayar adının yönetilen etki alanı için doğru yapılandırıldığından emin olmak için /etc/hosts dosyasını düzenleyin ve konak adını ayarlayın:

sudo vi /etc/hosts

Hosts dosyasında localhost adresini güncelleştirin. Aşağıdaki örnekte:

• aaddscontoso.com, yönetilen etki alanınızın DNS etki alanı adıdır.
• rhel , yönetilen etki alanına katıldığınız RHEL VM'nizin ana bilgisayar adıdır.

Bu adları kendi değerlerinizle güncelleştirin:

127.0.0.1 rhel rhel.aaddscontoso.com

İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq hosts dosyasını kaydedin ve çıkın.

RHEL 6

Önemli

Red Hat Enterprise Linux 6.X ve Oracle Linux 6.x'in zaten EOL olduğunu göz önünde bulundurun. RHEL 6.10, 06/2024 tarihinde sona erecek els desteğine sahiptir.

Gerekli paketleri yükleme

VM'nin yönetilen etki alanına katılması için bazı ek paketler gerekir. Bu paketleri yüklemek ve yapılandırmak için kullanarak etki alanına katılma araçlarını yumgüncelleştirin ve yükleyin.

sudo yum install adcli sssd authconfig krb5-workstation

VM'yi yönetilen etki alanına ekleme

Gerekli paketler VM'de yüklü olduğuna göre, VM'yi yönetilen etki alanına ekleyin.

1. adcli info Yönetilen etki alanını bulmak için komutunu kullanın. Aşağıdaki örnek, bölge ADDDSCONTOSO.COM bulur. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:

   sudo adcli info aaddscontoso.com
   

   adcli info Komut yönetilen etki alanınızı bulamazsa aşağıdaki sorun giderme adımlarını gözden geçirin:

   • Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülürse bunu deneyin ping aaddscontoso.com .
   • VM'nin aynı sanal ağa veya yönetilen etki alanının kullanılabilir olduğu eşlenmiş bir sanal ağa dağıtıldığını denetleyin.
   • Sanal ağ için DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerine işaret eden şekilde güncelleştirildiğini onaylayın.

2. İlk olarak, komutunu kullanarak adcli join etki alanına katılın, bu komut makinenin kimliğini doğrulamak için anahtar sekmesini de oluşturur. Yönetilen etki alanının bir parçası olan bir kullanıcı hesabı kullanın.

   sudo adcli join aaddscontoso.com -U contosoadmin
   

3. Şimdi ve öğesini yapılandırarak /ect/krb5.conf/etc/sssd/sssd.conf Active Directory etki alanını kullanacak aaddscontoso.com dosyaları oluşturun. Bunun kendi etki alanı adınız ile değiştirildiğinden AADDSCONTOSO.COM emin olun:

   /etc/krb5.conf Dosyayı bir düzenleyiciyle açın:

   sudo vi /etc/krb5.conf
   

   krb5.conf Dosyayı aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
   
   [libdefaults]
    default_realm = AADDSCONTOSO.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
   
   [realms]
    AADDSCONTOSO.COM = {
    kdc = AADDSCONTOSO.COM
    admin_server = AADDSCONTOSO.COM
    }
   
   [domain_realm]
    .AADDSCONTOSO.COM = AADDSCONTOSO.COM
    AADDSCONTOSO.COM = AADDSCONTOSO.COM
   

   /etc/sssd/sssd.conf Dosyayı oluşturun:

   sudo vi /etc/sssd/sssd.conf
   

   sssd.conf Dosyayı aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   [sssd]
    services = nss, pam, ssh, autofs
    config_file_version = 2
    domains = AADDSCONTOSO.COM
   
   [domain/AADDSCONTOSO.COM]
   
    id_provider = ad
   

4. İzinlerin 600 olduğundan ve kök kullanıcıya ait olduğundan emin /etc/sssd/sssd.conf olun:

   sudo chmod 600 /etc/sssd/sssd.conf
   sudo chown root:root /etc/sssd/sssd.conf
   

5. VM'ye AD Linux tümleştirmesi hakkında bilgi vermek için kullanın authconfig :

   sudo authconfig --enablesssd --enablesssd auth --update
   

6. sssd hizmetini başlatın ve etkinleştirin:

   sudo service sssd start
   sudo chkconfig sssd on
   

VM'niz etki alanına katılma işlemini başarıyla tamamlayamazsa, VM'nin ağ güvenlik grubunun yönetilen etki alanınızın sanal ağ alt ağına TCP + UDP bağlantı noktası 464 üzerinden giden Kerberos trafiğine izin verdiğinden emin olun.

Şimdi kullanarak kullanıcı AD bilgilerini sorgulayabileceğinizi denetleyin getent

sudo getent passwd contosoadmin

SSH için parola kimlik doğrulamasına izin ver

Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açabilir. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına eklediğinizde, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanması gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.

1. sshd_conf dosyasını bir düzenleyiciyle açın:

   sudo vi /etc/ssh/sshd_config
   

2. PasswordAuthentication satırını evet olarak güncelleştirin:

   PasswordAuthentication yes
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq sshd_conf dosyasını kaydedin ve çıkın.

3. Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin vermek için RHEL dağıtım sürümünüz için SSH hizmetini yeniden başlatın:

   sudo service sshd restart
   

RHEL 7

Gerekli paketleri yükleme

VM'nin yönetilen etki alanına katılması için bazı ek paketler gerekir. Bu paketleri yüklemek ve yapılandırmak için kullanarak etki alanına katılma araçlarını yumgüncelleştirin ve yükleyin.

sudo yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

VM'yi yönetilen etki alanına ekleme

Gerekli paketler VM'de yüklü olduğuna göre, VM'yi yönetilen etki alanına ekleyin. RhEL dağıtım sürümünüz için uygun adımları kullanın.

1. realm discover Yönetilen etki alanını bulmak için komutunu kullanın. Aşağıdaki örnek, bölge AADDSCONTOSO.COM bulur. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:

   sudo realm discover AADDSCONTOSO.COM
   

   realm discover Komut yönetilen etki alanınızı bulamazsa aşağıdaki sorun giderme adımlarını gözden geçirin:

   • Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülürse bunu deneyin ping aaddscontoso.com .
   • VM'nin aynı sanal ağa veya yönetilen etki alanının kullanılabilir olduğu eşlenmiş bir sanal ağa dağıtıldığını denetleyin.
   • Sanal ağ için DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerine işaret eden şekilde güncelleştirildiğini onaylayın.

2. Şimdi komutunu kullanarak Kerberos'ı kinit başlatın. Yönetilen etki alanının parçası olan bir kullanıcı belirtin. Gerekirse, Microsoft Entra Id'deki bir gruba kullanıcı hesabı ekleyin.

   Yönetilen etki alanı adı da ALL UPPERCASE olarak girilmelidir. Aşağıdaki örnekte, adlı contosoadmin@aaddscontoso.com hesap Kerberos'un başlatılması için kullanılır. Yönetilen etki alanının bir parçası olan kendi kullanıcı hesabınızı girin:

   sudo kinit contosoadmin@AADDSCONTOSO.COM
   

3. Son olarak komutunu kullanarak VM'yi yönetilen etki alanına ekleyin realm join . Önceki kinit komutta belirttiğiniz yönetilen etki alanının bir parçası olan aynı kullanıcı hesabını kullanın, örneğin contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM'
   

VM'nin yönetilen etki alanına katılması birkaç dakika sürer. Aşağıdaki örnek çıktı, VM'nin yönetilen etki alanına başarıyla katıldığını gösterir:

Successfully enrolled machine in realm

SSH için parola kimlik doğrulamasına izin ver

Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açabilir. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına eklediğinizde, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanması gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.

1. sshd_conf dosyasını bir düzenleyiciyle açın:

   sudo vi /etc/ssh/sshd_config
   

2. PasswordAuthentication satırını evet olarak güncelleştirin:

   PasswordAuthentication yes
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq sshd_conf dosyasını kaydedin ve çıkın.

3. Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin vermek için SSH hizmetini yeniden başlatın.

   sudo systemctl restart sshd
   

'AAD DC Yönetici istrators' grubuna sudo ayrıcalıkları verme

RHEL VM'sinde AAD DC Yönetici istrators grubu yönetim ayrıcalıkları vermek için , /etc/sudoers öğesine bir girdi eklersiniz. Eklendikten sonra, AAD DC Yönetici istrators grubunun üyeleri RHEL VM'sinde komutunu kullanabilirsudo.

1. Sudoers dosyasını düzenlemek üzere açın:

   sudo visudo
   

2. /etc/sudoers dosyasının sonuna aşağıdaki girdiyi ekleyin. AAD DC Yönetici istrators grubu adında boşluk içerir, bu nedenle grup adına ters eğik çizgi kaçış karakterini ekleyin. Aaddscontoso.com gibi kendi etki alanı adınızı ekleyin:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak düzenleyiciyi kaydedin ve düzenleyiciden :wq çıkın.

Etki alanı hesabı kullanarak VM'de oturum açma

VM'nin yönetilen etki alanına başarıyla katıldığını doğrulamak için, etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatın. Bir giriş dizininin oluşturulduğunu ve etki alanından grup üyeliğinin uygulandığını onaylayın.

1. Konsolunuzdan yeni bir SSH bağlantısı oluşturun. gibi komutunu kullanarak ssh -l yönetilen etki alanına ait bir etki alanı hesabı kullanın ve ardından vm'nizin adresini (rhel.aaddscontoso.com gibi) contosoadmin@aaddscontoso.com girin. Azure Cloud Shell kullanıyorsanız, iç DNS adı yerine VM'nin genel IP adresini kullanın.

   ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
   

2. VM'ye başarıyla bağlandığınızda giriş dizininin doğru şekilde başlatıldığını doğrulayın:

   pwd
   

   Kullanıcı hesabıyla eşleşen kendi dizininizle /home dizininde olmanız gerekir.

3. Şimdi grup üyeliklerinin doğru çözümlendiğini denetleyin:

   id
   

   Yönetilen etki alanından grup üyeliklerinizi görmeniz gerekir.

4. VM'de AAD DC Yönetici istrators grubunun bir üyesi olarak oturum açtıysanız, komutunu doğru şekilde kullanıp kullanmayabildiğinizi sudo denetleyin:

   sudo yum update
   

Sonraki adımlar

VM'yi yönetilen etki alanına bağlarken veya bir etki alanı hesabıyla oturum açarken sorun yaşıyorsanız bkz . Etki alanına katılma sorunlarını giderme.