Red Hat Enterprise Linux sanal makinesini Azure Active Directory Domain Services yönetilen etki alanına ekleme

Kullanıcıların tek bir kimlik bilgisi kümesi kullanarak Azure'daki sanal makinelerde (VM) oturum açmasına izin vermek için VM'leri Azure Active Directory Domain Services (Azure AD DS) yönetilen etki alanına ekleyebilirsiniz. Vm'yi Azure AD DS tarafından yönetilen bir etki alanına eklediğinizde, oturum açmak ve sunucuları yönetmek için etki alanındaki kullanıcı hesapları ve kimlik bilgileri kullanılabilir. Yönetilen etki alanından grup üyelikleri, VM'de dosyalara veya hizmetlere erişimi denetlemenize olanak sağlamak için de uygulanır.

Bu makalede, Red Hat Enterprise Linux (RHEL) VM'sini yönetilen bir etki alanına nasıl katacağınız gösterilmektedir.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğinizle ilişkilendirilmiş bir Azure Active Directory kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Gerekirse bir Azure Active Directory kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
• azure Active Directory Domain Services yönetilen etki alanı etkinleştirildi ve Azure AD kiracınızda yapılandırıldı.
  • Gerekirse, ilk öğretici bir Azure Active Directory Domain Services yönetilen etki alanı oluşturur ve yapılandırılır.
• Yönetilen etki alanının bir parçası olan kullanıcı hesabı.
• Active Directory'de çakışmalara neden olabilecek kesilmiş adlardan kaçınmak için en fazla 15 karakterden oluşan benzersiz Linux VM adları.

RHEL Linux VM oluşturma ve bağlanma

Azure'da var olan bir RHEL Linux VM'niz varsa SSH kullanarak bağlanın ve vm'yi yapılandırmaya başlamak için sonraki adıma geçin.

RHEL Linux VM oluşturmanız gerekiyorsa veya bu makaleyle kullanmak üzere bir test VM'sini oluşturmak istiyorsanız, aşağıdaki yöntemlerden birini kullanabilirsiniz:

• Azure portalı
• Azure CLI
• Azure PowerShell

VM'yi oluştururken, sanal makinenin yönetilen etki alanıyla iletişim kuradığından emin olmak için sanal ağ ayarlarına dikkat edin:

• VM'yi etki alanı hizmetleri Azure AD etkinleştirdiğiniz aynı sanal ağa veya eşlenmiş bir sanal ağa dağıtın.
• VM'yi Azure AD Domain Services tarafından yönetilen etki alanınızdan farklı bir alt ağa dağıtın.

VM dağıtıldıktan sonra SSH kullanarak VM'ye bağlanma adımlarını izleyin.

Hosts dosyasını yapılandırma

VM ana bilgisayar adının yönetilen etki alanı için doğru yapılandırıldığından emin olmak için /etc/hosts dosyasını düzenleyin ve konak adını ayarlayın:

sudo vi /etc/hosts

Hosts dosyasında localhost adresini güncelleştirin. Aşağıdaki örnekte:

• aaddscontoso.com , yönetilen etki alanınızın DNS etki alanı adıdır.
• rhel , yönetilen etki alanına katıldığınız RHEL VM'nizin ana bilgisayar adıdır.

Bu adları kendi değerlerinizle güncelleştirin:

127.0.0.1 rhel rhel.aaddscontoso.com

İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wqhosts dosyasını kaydedin ve çıkın.

Gerekli paketleri yükleme

VM'nin yönetilen etki alanına katılması için bazı ek paketler gerekir. Bu paketleri yüklemek ve yapılandırmak için kullanarak etki alanına katılma araçlarını yumgüncelleştirin ve yükleyin. RHEL 7.x ile RHEL 6.x arasında bazı farklar vardır, bu nedenle bu makalenin kalan bölümlerinde distro sürümünüz için uygun komutları kullanın.

RHEL 7

sudo yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

RHEL 6

sudo yum install adcli sssd authconfig krb5-workstation

VM'yi yönetilen etki alanına ekleme

Gerekli paketler VM'de yüklü olduğuna göre, VM'yi yönetilen etki alanına ekleyin. RhEL distro sürümünüz için uygun adımları tekrar kullanın.

RHEL 7

1. realm discover Yönetilen etki alanını bulmak için komutunu kullanın. Aşağıdaki örnek, bölge AADDSCONTOSO.COM bulur. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:

   sudo realm discover AADDSCONTOSO.COM
   

   realm discover Komut yönetilen etki alanınızı bulamazsa aşağıdaki sorun giderme adımlarını gözden geçirin:

   • Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülip döndürülmediğini görmeye çalışın ping aaddscontoso.com .
   • VM'nin aynı sanal ağa veya yönetilen etki alanının kullanılabilir olduğu eşlenmiş bir sanal ağa dağıtıldığını denetleyin.
   • Sanal ağ için DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerini işaret etmek üzere güncelleştirildiğini onaylayın.

2. Şimdi komutunu kullanarak Kerberos'ı kinit başlatın. Yönetilen etki alanının bir parçası olan bir kullanıcı belirtin. Gerekirse, Azure AD'da bir gruba kullanıcı hesabı ekleyin.

   Yine, yönetilen etki alanı adının ALL UPPERCASE olarak girilmesi gerekir. Aşağıdaki örnekte, Adlı hesap contosoadmin@aaddscontoso.com Kerberos'u başlatmak için kullanılır. Yönetilen etki alanının bir parçası olan kendi kullanıcı hesabınızı girin:

   kinit contosoadmin@AADDSCONTOSO.COM
   

3. Son olarak komutunu kullanarak VM'yi yönetilen etki alanına ekleyin realm join . Önceki kinit komutta belirttiğiniz yönetilen etki alanının bir parçası olan aynı kullanıcı hesabını kullanın, örneğin contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM'
   

VM'nin yönetilen etki alanına katılması birkaç dakika sürer. Aşağıdaki örnek çıktı, VM'nin yönetilen etki alanına başarıyla katıldığını gösterir:

Successfully enrolled machine in realm

RHEL 6

1. adcli info Yönetilen etki alanını bulmak için komutunu kullanın. Aşağıdaki örnek, bölge ADDDSCONTOSO.COM bulur. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:

   sudo adcli info aaddscontoso.com
   

   adcli info Komut yönetilen etki alanınızı bulamazsa aşağıdaki sorun giderme adımlarını gözden geçirin:

   • Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülip döndürülmediğini görmeye çalışın ping aaddscontoso.com .
   • VM'nin aynı sanal ağa veya yönetilen etki alanının kullanılabilir olduğu eşlenmiş bir sanal ağa dağıtıldığını denetleyin.
   • Sanal ağ için DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerini işaret etmek üzere güncelleştirildiğini onaylayın.

2. İlk olarak, komutunu kullanarak adcli join etki alanına katılın, bu komut makinenin kimliğini doğrulamak için anahtar sekmesini de oluşturur. Yönetilen etki alanının bir parçası olan bir kullanıcı hesabı kullanın.

   sudo adcli join aaddscontoso.com -U contosoadmin
   

3. Şimdi active /etc/sssd/sssd.conf Directory etki alanını kullanmak aaddscontoso.com için ve dosyalarını yapılandırın/ect/krb5.conf. Bunun kendi etki alanı adınızla değiştirildiğinden emin AADDSCONTOSO.COM olun:

   /ect/krb5.conf Dosyayı bir düzenleyiciyle açın:

   sudo vi /etc/krb5.conf
   

   krb5.conf Dosyayı aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
   
   [libdefaults]
    default_realm = AADDSCONTOSO.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
   
   [realms]
    AADDSCONTOSO.COM = {
    kdc = AADDSCONTOSO.COM
    admin_server = AADDSCONTOSO.COM
    }
   
   [domain_realm]
    .AADDSCONTOSO.COM = AADDSCONTOSO.COM
    AADDSCONTOSO.COM = AADDSCONTOSO.COM
   

   /etc/sssd/sssd.conf Dosyayı oluşturun:

   sudo vi /etc/sssd/sssd.conf
   

   sssd.conf Dosyayı aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   [sssd]
    services = nss, pam, ssh, autofs
    config_file_version = 2
    domains = AADDSCONTOSO.COM
   
   [domain/AADDSCONTOSO.COM]
   
    id_provider = ad
   

4. İzinlerin 600 olduğundan ve kök kullanıcıya ait olduğundan emin /etc/sssd/sssd.conf olun:

   sudo chmod 600 /etc/sssd/sssd.conf
   sudo chown root:root /etc/sssd/sssd.conf
   

5. SANAL makineye AD Linux tümleştirmesi hakkında bilgi vermek için kullanın authconfig :

   sudo authconfig --enablesssd --enablesssdauth --update
   

6. sssd hizmetini başlatın ve etkinleştirin:

   sudo service sssd start
   sudo chkconfig sssd on
   

VM'niz etki alanına katılma işlemini başarıyla tamamlayamazsa, VM'nin ağ güvenlik grubunun tcp + UDP bağlantı noktası 464 üzerinden yönetilen etki alanınız için sanal ağ alt ağına giden Kerberos trafiğine izin verdiğinden emin olun.

Şimdi kullanarak kullanıcı AD bilgilerini sorgulayabileceğinizi denetleyin getent

sudo getent passwd contosoadmin

SSH için parola kimlik doğrulamasına izin ver

Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açabilir. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına eklediğinizde, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanması gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.

1. sshd_conf dosyasını bir düzenleyiciyle açın:

   sudo vi /etc/ssh/sshd_config
   

2. PasswordAuthentication satırını evet olarak güncelleştirin:

   PasswordAuthentication yes
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wqsshd_conf dosyasını kaydedin ve çıkın.

3. Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin vermek için RHEL distro sürümünüz için SSH hizmetini yeniden başlatın:

   RHEL 7

   sudo systemctl restart sshd
   

   RHEL 6

   sudo service sshd restart
   

'AAD DC Administrators' grubuna sudo ayrıcalıkları verme

RHEL VM'sinde AAD DC Administrators grubu yönetim ayrıcalıkları vermek için /etc/sudoers öğesine bir girdi eklersiniz. Eklendikten sonra , AAD DC Administrators grubunun üyeleri RHEL VM'sinde komutunu kullanabilir sudo .

1. Sudoers dosyasını düzenlemek için açın:

   sudo visudo
   

2. /etc/sudoers dosyasının sonuna aşağıdaki girdiyi ekleyin. AAD DC Administrators grubu adında boşluk içerdiğinden, grup adına ters eğik çizgi kaçış karakterini ekleyin. Aaddscontoso.com gibi kendi etki alanı adınızı ekleyin:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak düzenleyiciyi :wq kaydedin ve düzenleyiciden çıkın.

Etki alanı hesabı kullanarak VM'de oturum açma

VM'nin yönetilen etki alanına başarıyla katıldığını doğrulamak için bir etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatın. Bir giriş dizini oluşturulduğunu ve etki alanından grup üyeliğinin uygulandığını onaylayın.

1. Konsolunuzdan yeni bir SSH bağlantısı oluşturun. gibi komutunu kullanarak ssh -l yönetilen etki alanına ait bir etki alanı hesabı kullanın ve ardından rhel.aaddscontoso.com gibi sanal makinenizin adresini girin.contosoadmin@aaddscontoso.com Azure Cloud Shell kullanıyorsanız, iç DNS adı yerine VM'nin genel IP adresini kullanın.

   ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com
   

2. VM'ye başarıyla bağlandığınızda giriş dizininin doğru başlatıldığını doğrulayın:

   pwd
   

   Kullanıcı hesabıyla eşleşen kendi dizininizle /home dizininde olmanız gerekir.

3. Şimdi grup üyeliklerinin doğru çözümlendiğini denetleyin:

   id
   

   Yönetilen etki alanından grup üyeliklerinizi görmeniz gerekir.

4. VM'de AAD DC Administrators grubunun bir üyesi olarak oturum açtıysanız komutunu doğru şekilde kullanıp kullanamadığını sudo denetleyin:

   sudo yum update
   

Sonraki adımlar

VM'yi yönetilen etki alanına bağlarken veya bir etki alanı hesabıyla oturum açarken sorun yaşıyorsanız bkz. Etki alanına katılma sorunlarını giderme.