Ubuntu Linux sanal makinesini Microsoft Entra Domain Services yönetilen etki alanına ekleme

Kullanıcıların tek bir kimlik bilgisi kümesi kullanarak Azure'daki sanal makinelerde (VM) oturum açmasına izin vermek için VM'leri Microsoft Entra Domain Services yönetilen etki alanına ekleyebilirsiniz. Bir VM'yi Etki Alanı Hizmetleri tarafından yönetilen bir etki alanına eklediğinizde, sunucularda oturum açmak ve sunucuları yönetmek için etki alanındaki kullanıcı hesapları ve kimlik bilgileri kullanılabilir. Yönetilen etki alanından grup üyelikleri de vm'de dosyalara veya hizmetlere erişimi denetlemenize olanak sağlamak için uygulanır.

Bu makalede, bir Ubuntu Linux VM'sini yönetilen bir etki alanına nasıl katacağınız gösterilmektedir.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
• Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
  • Gerekirse, ilk öğretici microsoft Entra Domain Services tarafından yönetilen bir etki alanı oluşturur ve yapılandırılır.
• Yönetilen etki alanının bir parçası olan kullanıcı hesabı. Kullanıcının SAMAccountName özniteliğinin otomatik olarak üretilmediğinden emin olun. Microsoft Entra kiracısında birden çok kullanıcı hesabı aynı mailNickname özniteliğine sahipse, her kullanıcının SAMAccountName özniteliği otomatik olarak oluşturulur. Daha fazla bilgi için bkz . Microsoft Entra Domain Services yönetilen etki alanında nesneler ve kimlik bilgileri nasıl eşitlenir?
• Active Directory'de çakışmalara neden olabilecek kesilmiş adları önlemek için en fazla 15 karakterden oluşan benzersiz Linux VM adları.

Ubuntu Linux VM oluşturma ve sanal makineye bağlanma

Azure'da mevcut bir Ubuntu Linux VM'niz varsa SSH kullanarak buna bağlanın, ardından VM'yi yapılandırmaya başlamak için sonraki adıma geçin.

Ubuntu Linux VM oluşturmanız gerekiyorsa veya bu makaleyle kullanmak üzere bir test VM'sini oluşturmak istiyorsanız, aşağıdaki yöntemlerden birini kullanabilirsiniz:

• Microsoft Entra yönetim merkezi
• Azure CLI
• Azure PowerShell

VM'yi oluştururken, sanal makinenin yönetilen etki alanıyla iletişim kuradığından emin olmak için sanal ağ ayarlarına dikkat edin:

• VM'yi Microsoft Entra Domain Services'ı etkinleştirdiğiniz aynı sanal ağa veya eşlenmiş bir sanal ağa dağıtın.
• VM'yi Microsoft Entra Domain Services yönetilen etki alanınızdan farklı bir alt ağa dağıtın.

VM dağıtıldıktan sonra, SSH kullanarak VM'ye bağlanma adımlarını izleyin.

Konaklar dosyasını yapılandırma

VM ana bilgisayar adının yönetilen etki alanı için doğru yapılandırıldığından emin olmak için /etc/hosts dosyasını düzenleyin ve konak adını ayarlayın:

sudo vi /etc/hosts

Hosts dosyasında localhost adresini güncelleştirin. Aşağıdaki örnekte:

• aaddscontoso.com, yönetilen etki alanınızın DNS etki alanı adıdır.
• ubuntu , yönetilen etki alanına katıldığınız Ubuntu VM'nizin ana bilgisayar adıdır.

Bu adları kendi değerlerinizle güncelleştirin:

127.0.0.1 ubuntu.aaddscontoso.com ubuntu

İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq hosts dosyasını kaydedin ve çıkın.

Gerekli paketleri yükleme

VM'nin yönetilen etki alanına katılması için bazı ek paketler gerekir. Bu paketleri yüklemek ve yapılandırmak için, kullanarak etki alanına katılma araçlarını güncelleştirin ve yükleyin apt-get

Kerberos yüklemesi sırasında, krb5-user paketi ALL UPPERCASE'de bölge adını ister. Örneğin, yönetilen etki alanınızın adı aaddscontoso.com ise bölge olarak AADDSCONTOSO.COM girin. Yükleme, ve bölümlerini /etc/krb5.conf yapılandırma dosyasına yazar[realm].[domain_realm] Bölge olarak ALL UPPERCASE değerini belirttiğinizden emin olun:

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Ağ Zaman Protokolü'ne (NTP) Yapılandırma

Etki alanı iletişiminin düzgün çalışması için Ubuntu VM'nizin tarih ve saati yönetilen etki alanıyla eşitlenmelidir. Yönetilen etki alanınızın NTP ana bilgisayar adını /etc/ntp.conf dosyasına ekleyin.

1. ntp.conf dosyasını bir düzenleyiciyle açın:

   sudo vi /etc/ntp.conf
   

2. ntp.conf dosyasında, yönetilen etki alanınızın DNS adını eklemek için bir satır oluşturun. Aşağıdaki örnekte, aaddscontoso.com için bir giriş eklenir. Kendi DNS adınızı kullanın:

   server aaddscontoso.com
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq ntp.conf dosyasını kaydedin ve çıkın.

3. VM'nin yönetilen etki alanıyla eşitlendiğinden emin olmak için aşağıdaki adımlar gereklidir:

   • NTP sunucusunu durdurma
   • Yönetilen etki alanından tarih ve saati güncelleştirme
   • NTP hizmetini başlatma

   Bu adımları tamamlamak için aşağıdaki komutları çalıştırın. Komutuyla ntpdate kendi DNS adınızı kullanın:

   sudo systemctl stop ntp
   sudo ntpdate aaddscontoso.com
   sudo systemctl start ntp
   

VM'yi yönetilen etki alanına ekleme

Gerekli paketler VM'ye yüklendiğine ve NTP'nin yapılandırıldığına göre, VM'yi yönetilen etki alanına ekleyin.

1. realm discover Yönetilen etki alanını bulmak için komutunu kullanın. Aşağıdaki örnek, bölge AADDSCONTOSO.COM bulur. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:

   sudo realm discover AADDSCONTOSO.COM
   

   realm discover Komut yönetilen etki alanınızı bulamazsa aşağıdaki sorun giderme adımlarını gözden geçirin:

   • Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülürse bunu deneyin ping aaddscontoso.com .
   • VM'nin aynı sanal ağa veya yönetilen etki alanının kullanılabilir olduğu eşlenmiş bir sanal ağa dağıtıldığını denetleyin.
   • Sanal ağ için DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerine işaret eden şekilde güncelleştirildiğini onaylayın.

2. Şimdi komutunu kullanarak Kerberos'ı kinit başlatın. Yönetilen etki alanının parçası olan bir kullanıcı belirtin. Gerekirse, Microsoft Entra Id'deki bir gruba kullanıcı hesabı ekleyin.

   Yönetilen etki alanı adı da ALL UPPERCASE olarak girilmelidir. Aşağıdaki örnekte, adlı contosoadmin@aaddscontoso.com hesap Kerberos'un başlatılması için kullanılır. Yönetilen etki alanının bir parçası olan kendi kullanıcı hesabınızı girin:

   sudo kinit -V contosoadmin@AADDSCONTOSO.COM
   

3. Son olarak komutunu kullanarak VM'yi yönetilen etki alanına ekleyin realm join . Önceki kinit komutta belirttiğiniz yönetilen etki alanının bir parçası olan aynı kullanıcı hesabını kullanın, örneğin contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/
   

VM'nin yönetilen etki alanına katılması birkaç dakika sürer. Aşağıdaki örnek çıktı, VM'nin yönetilen etki alanına başarıyla katıldığını gösterir:

Successfully enrolled machine in realm

VM'niz etki alanına katılma işlemini başarıyla tamamlayamazsa, VM'nin ağ güvenlik grubunun yönetilen etki alanınızın sanal ağ alt ağına TCP + UDP bağlantı noktası 464 üzerinden giden Kerberos trafiğine izin verdiğinden emin olun.

Belirtilmeyen GSS hatası hatası aldıysanız. İkincil kod daha fazla bilgi sağlayabilir (Sunucu Kerberos veritabanında bulunamadı), /etc/krb5.conf dosyasını açın ve bölümüne aşağıdaki kodu [libdefaults] ekleyin ve yeniden deneyin:

rdns=false

SSSD yapılandırmasını güncelleştirme

Önceki bir adımda yüklenen paketlerden biri, System Security Services Daemon (SSSD) içindi. Kullanıcı etki alanı kimlik bilgilerini kullanarak vm'de oturum açmaya çalıştığında, SSSD isteği bir kimlik doğrulama sağlayıcısına aktarır. Bu senaryoda, SSSD isteğin kimliğini doğrulamak için Etki Alanı Hizmetleri'ni kullanır.

1. sssd.conf dosyasını bir düzenleyiciyle açın:

   sudo vi /etc/sssd/sssd.conf
   

2. use_fully_qualified_names satırını aşağıdaki gibi açıklama satırı yapın:

   # use_fully_qualified_names = True
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq sssd.conf dosyasını kaydedin ve çıkın.

3. Değişikliği uygulamak için SSSD hizmetini yeniden başlatın:

   sudo systemctl restart sssd
   

Kullanıcı hesabı ve grup ayarlarını yapılandırma

VM yönetilen etki alanına katıldığında ve kimlik doğrulaması için yapılandırıldığında tamamlanması gereken birkaç kullanıcı yapılandırma seçeneği vardır. Bu yapılandırma değişiklikleri parola tabanlı kimlik doğrulamasına izin verme ve etki alanı kullanıcıları ilk kez oturum açarken yerel VM'de otomatik olarak giriş dizinleri oluşturmayı içerir.

SSH için parola kimlik doğrulamasına izin ver

Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açabilir. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına eklediğinizde, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanması gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.

1. sshd_conf dosyasını bir düzenleyiciyle açın:

   sudo vi /etc/ssh/sshd_config
   

2. PasswordAuthentication satırını evet olarak güncelleştirin:

   PasswordAuthentication yes
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq sshd_conf dosyasını kaydedin ve çıkın.

3. Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin vermek için SSH hizmetini yeniden başlatın:

   sudo systemctl restart ssh
   

Otomatik giriş dizini oluşturmayı yapılandırma

Bir kullanıcı ilk kez oturum açtığında giriş dizininin otomatik olarak oluşturulmasını etkinleştirmek için aşağıdaki adımları tamamlayın:

1. /etc/pam.d/common-session Dosyayı bir düzenleyicide açın:

   sudo vi /etc/pam.d/common-session
   

2. Bu dosyada aşağıdaki satırı satırının session optional pam_sss.soaltına ekleyin:

   session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
   

   İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq ortak oturum dosyasını kaydedin ve çıkın.

'AAD DC Yönetici istrators' grubuna sudo ayrıcalıkları verme

Ubuntu VM'sinde AAD DC Yönetici istrators grubu yönetim ayrıcalıkları vermek için , /etc/sudoers öğesine bir girdi eklersiniz. Eklendikten sonra, AAD DC Yönetici istrators grubunun üyeleri Ubuntu VM'sinde komutunu kullanabilirsudo.

1. Sudoers dosyasını düzenlemek üzere açın:

   sudo visudo
   

2. /etc/sudoers dosyasının sonuna aşağıdaki girdiyi ekleyin:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
   

   İşiniz bittiğinde, komutunu kullanarak düzenleyiciyi kaydedin ve bu düzenleyiciden Ctrl-X çıkın.

Etki alanı hesabı kullanarak VM'de oturum açma

VM'nin yönetilen etki alanına başarıyla katıldığını doğrulamak için, etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatın. Bir giriş dizininin oluşturulduğunu ve etki alanından grup üyeliğinin uygulandığını onaylayın.

1. Konsolunuzdan yeni bir SSH bağlantısı oluşturun. gibi komutunu kullanarak ssh -l yönetilen etki alanına ait bir etki alanı hesabı kullanın ve ardından vm'nizin adresini (ubuntu.aaddscontoso.com gibi) contosoadmin@aaddscontoso.com girin. Azure Cloud Shell kullanıyorsanız, iç DNS adı yerine VM'nin genel IP adresini kullanın.

   sudo ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com
   

2. VM'ye başarıyla bağlandığınızda giriş dizininin doğru şekilde başlatıldığını doğrulayın:

   sudo pwd
   

   Kullanıcı hesabıyla eşleşen kendi dizininizle /home dizininde olmanız gerekir.

3. Şimdi grup üyeliklerinin doğru çözümlendiğini denetleyin:

   sudo id
   

   Yönetilen etki alanından grup üyeliklerinizi görmeniz gerekir.

4. VM'de AAD DC Yönetici istrators grubunun bir üyesi olarak oturum açtıysanız, komutunu doğru şekilde kullanıp kullanmayabildiğinizi sudo denetleyin:

   sudo apt-get update
   

Sonraki adımlar

VM'yi yönetilen etki alanına bağlarken veya bir etki alanı hesabıyla oturum açarken sorun yaşıyorsanız bkz . Etki alanına katılma sorunlarını giderme.