Red Hat Enterprise Linux sanal makinesini Microsoft Entra Domain Services yönetilen etki alanına ekleme
Kullanıcıların tek bir kimlik bilgisi kümesi kullanarak Azure'daki sanal makinelerde (VM) oturum açmasına izin vermek için VM'leri Microsoft Entra Domain Services yönetilen etki alanına ekleyebilirsiniz. Bir VM'yi Etki Alanı Hizmetleri tarafından yönetilen bir etki alanına eklediğinizde, sunucularda oturum açmak ve sunucuları yönetmek için etki alanındaki kullanıcı hesapları ve kimlik bilgileri kullanılabilir. Yönetilen etki alanından grup üyelikleri de vm'de dosyalara veya hizmetlere erişimi denetlemenize olanak sağlamak için uygulanır.
Bu makalede, Red Hat Enterprise Linux (RHEL) VM'sini yönetilen bir etki alanına nasıl katacağınız gösterilmektedir.
Önkoşullar
Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:
- Etkin bir Azure aboneliği.
- Azure aboneliğiniz yoksa bir hesap oluşturun.
- Aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
- Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
- Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
- Gerekirse, ilk öğretici microsoft Entra Domain Services tarafından yönetilen bir etki alanı oluşturur ve yapılandırılır.
- Yönetilen etki alanının bir parçası olan kullanıcı hesabı.
- Active Directory'de çakışmalara neden olabilecek kesilmiş adları önlemek için en fazla 15 karakterden oluşan benzersiz Linux VM adları.
RHEL Linux VM oluşturma ve bağlanma
Azure'da mevcut bir RHEL Linux VM'niz varsa SSH kullanarak buna bağlanın, ardından VM'yi yapılandırmaya başlamak için sonraki adıma geçin.
RHEL Linux VM oluşturmanız gerekiyorsa veya bu makaleyle kullanmak üzere bir test VM'sini oluşturmak istiyorsanız, aşağıdaki yöntemlerden birini kullanabilirsiniz:
VM'yi oluştururken, sanal makinenin yönetilen etki alanıyla iletişim kuradığından emin olmak için sanal ağ ayarlarına dikkat edin:
- VM'yi Microsoft Entra Domain Services'ı etkinleştirdiğiniz aynı sanal ağa veya eşlenmiş bir sanal ağa dağıtın.
- VM'yi Microsoft Entra Domain Services yönetilen etki alanınızdan farklı bir alt ağa dağıtın.
VM dağıtıldıktan sonra, SSH kullanarak VM'ye bağlanma adımlarını izleyin.
Konaklar dosyasını yapılandırma
VM ana bilgisayar adının yönetilen etki alanı için doğru yapılandırıldığından emin olmak için /etc/hosts dosyasını düzenleyin ve konak adını ayarlayın:
sudo vi /etc/hosts
Hosts dosyasında localhost adresini güncelleştirin. Aşağıdaki örnekte:
- aaddscontoso.com, yönetilen etki alanınızın DNS etki alanı adıdır.
- rhel , yönetilen etki alanına katıldığınız RHEL VM'nizin ana bilgisayar adıdır.
Bu adları kendi değerlerinizle güncelleştirin:
127.0.0.1 rhel rhel.aaddscontoso.com
İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq
hosts dosyasını kaydedin ve çıkın.
Önemli
Red Hat Enterprise Linux 6.X ve Oracle Linux 6.x'in zaten EOL olduğunu göz önünde bulundurun. RHEL 6.10, 06/2024 tarihinde sona erecek els desteğine sahiptir.
Gerekli paketleri yükleme
VM'nin yönetilen etki alanına katılması için bazı ek paketler gerekir. Bu paketleri yüklemek ve yapılandırmak için kullanarak etki alanına katılma araçlarını yum
güncelleştirin ve yükleyin.
sudo yum install adcli sssd authconfig krb5-workstation
VM'yi yönetilen etki alanına ekleme
Gerekli paketler VM'de yüklü olduğuna göre, VM'yi yönetilen etki alanına ekleyin.
adcli info
Yönetilen etki alanını bulmak için komutunu kullanın. Aşağıdaki örnek, bölge ADDDSCONTOSO.COM bulur. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:sudo adcli info aaddscontoso.com
adcli info
Komut yönetilen etki alanınızı bulamazsa aşağıdaki sorun giderme adımlarını gözden geçirin:- Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülürse bunu deneyin
ping aaddscontoso.com
. - VM'nin aynı sanal ağa veya yönetilen etki alanının kullanılabilir olduğu eşlenmiş bir sanal ağa dağıtıldığını denetleyin.
- Sanal ağ için DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerine işaret eden şekilde güncelleştirildiğini onaylayın.
- Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülürse bunu deneyin
İlk olarak, komutunu kullanarak
adcli join
etki alanına katılın, bu komut makinenin kimliğini doğrulamak için anahtar sekmesini de oluşturur. Yönetilen etki alanının bir parçası olan bir kullanıcı hesabı kullanın.sudo adcli join aaddscontoso.com -U contosoadmin
Şimdi ve öğesini yapılandırarak
/ect/krb5.conf
/etc/sssd/sssd.conf
Active Directory etki alanını kullanacakaaddscontoso.com
dosyaları oluşturun. Bunun kendi etki alanı adınız ile değiştirildiğindenAADDSCONTOSO.COM
emin olun:/etc/krb5.conf
Dosyayı bir düzenleyiciyle açın:sudo vi /etc/krb5.conf
krb5.conf
Dosyayı aşağıdaki örnekle eşleşecek şekilde güncelleştirin:[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = AADDSCONTOSO.COM dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] AADDSCONTOSO.COM = { kdc = AADDSCONTOSO.COM admin_server = AADDSCONTOSO.COM } [domain_realm] .AADDSCONTOSO.COM = AADDSCONTOSO.COM AADDSCONTOSO.COM = AADDSCONTOSO.COM
/etc/sssd/sssd.conf
Dosyayı oluşturun:sudo vi /etc/sssd/sssd.conf
sssd.conf
Dosyayı aşağıdaki örnekle eşleşecek şekilde güncelleştirin:[sssd] services = nss, pam, ssh, autofs config_file_version = 2 domains = AADDSCONTOSO.COM [domain/AADDSCONTOSO.COM] id_provider = ad
İzinlerin 600 olduğundan ve kök kullanıcıya ait olduğundan emin
/etc/sssd/sssd.conf
olun:sudo chmod 600 /etc/sssd/sssd.conf sudo chown root:root /etc/sssd/sssd.conf
VM'ye AD Linux tümleştirmesi hakkında bilgi vermek için kullanın
authconfig
:sudo authconfig --enablesssd --enablesssd auth --update
sssd hizmetini başlatın ve etkinleştirin:
sudo service sssd start sudo chkconfig sssd on
VM'niz etki alanına katılma işlemini başarıyla tamamlayamazsa, VM'nin ağ güvenlik grubunun yönetilen etki alanınızın sanal ağ alt ağına TCP + UDP bağlantı noktası 464 üzerinden giden Kerberos trafiğine izin verdiğinden emin olun.
Şimdi kullanarak kullanıcı AD bilgilerini sorgulayabileceğinizi denetleyin getent
sudo getent passwd contosoadmin
SSH için parola kimlik doğrulamasına izin ver
Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açabilir. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına eklediğinizde, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanması gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.
sshd_conf dosyasını bir düzenleyiciyle açın:
sudo vi /etc/ssh/sshd_config
PasswordAuthentication satırını evet olarak güncelleştirin:
PasswordAuthentication yes
İşiniz bittiğinde, düzenleyicinin komutunu kullanarak
:wq
sshd_conf dosyasını kaydedin ve çıkın.Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin vermek için RHEL dağıtım sürümünüz için SSH hizmetini yeniden başlatın:
sudo service sshd restart
'AAD DC Yönetici istrators' grubuna sudo ayrıcalıkları verme
RHEL VM'sinde AAD DC Yönetici istrators grubu yönetim ayrıcalıkları vermek için , /etc/sudoers öğesine bir girdi eklersiniz. Eklendikten sonra, AAD DC Yönetici istrators grubunun üyeleri RHEL VM'sinde komutunu kullanabilirsudo
.
Sudoers dosyasını düzenlemek üzere açın:
sudo visudo
/etc/sudoers dosyasının sonuna aşağıdaki girdiyi ekleyin. AAD DC Yönetici istrators grubu adında boşluk içerir, bu nedenle grup adına ters eğik çizgi kaçış karakterini ekleyin. Aaddscontoso.com gibi kendi etki alanı adınızı ekleyin:
# Add 'AAD DC Administrators' group members as admins. %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
İşiniz bittiğinde, düzenleyicinin komutunu kullanarak düzenleyiciyi kaydedin ve düzenleyiciden
:wq
çıkın.
Etki alanı hesabı kullanarak VM'de oturum açma
VM'nin yönetilen etki alanına başarıyla katıldığını doğrulamak için, etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatın. Bir giriş dizininin oluşturulduğunu ve etki alanından grup üyeliğinin uygulandığını onaylayın.
Konsolunuzdan yeni bir SSH bağlantısı oluşturun. gibi komutunu kullanarak
ssh -l
yönetilen etki alanına ait bir etki alanı hesabı kullanın ve ardından vm'nizin adresini (rhel.aaddscontoso.com gibi)contosoadmin@aaddscontoso.com
girin. Azure Cloud Shell kullanıyorsanız, iç DNS adı yerine VM'nin genel IP adresini kullanın.ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
VM'ye başarıyla bağlandığınızda giriş dizininin doğru şekilde başlatıldığını doğrulayın:
pwd
Kullanıcı hesabıyla eşleşen kendi dizininizle /home dizininde olmanız gerekir.
Şimdi grup üyeliklerinin doğru çözümlendiğini denetleyin:
id
Yönetilen etki alanından grup üyeliklerinizi görmeniz gerekir.
VM'de AAD DC Yönetici istrators grubunun bir üyesi olarak oturum açtıysanız, komutunu doğru şekilde kullanıp kullanmayabildiğinizi
sudo
denetleyin:sudo yum update
Sonraki adımlar
VM'yi yönetilen etki alanına bağlarken veya bir etki alanı hesabıyla oturum açarken sorun yaşıyorsanız bkz . Etki alanına katılma sorunlarını giderme.