Ubuntu Linux sanal makinesini Microsoft Entra Domain Services yönetilen etki alanına ekleme
Kullanıcıların tek bir kimlik bilgisi kümesi kullanarak Azure'daki sanal makinelerde (VM) oturum açmasına izin vermek için VM'leri Microsoft Entra Domain Services yönetilen etki alanına ekleyebilirsiniz. Bir VM'yi Etki Alanı Hizmetleri tarafından yönetilen bir etki alanına eklediğinizde, sunucularda oturum açmak ve sunucuları yönetmek için etki alanındaki kullanıcı hesapları ve kimlik bilgileri kullanılabilir. Yönetilen etki alanından grup üyelikleri de vm'de dosyalara veya hizmetlere erişimi denetlemenize olanak sağlamak için uygulanır.
Bu makalede, bir Ubuntu Linux VM'sini yönetilen bir etki alanına nasıl katacağınız gösterilmektedir.
Önkoşullar
Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:
- Etkin bir Azure aboneliği.
- Azure aboneliğiniz yoksa bir hesap oluşturun.
- Aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
- Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
- Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
- Gerekirse, ilk öğretici microsoft Entra Domain Services tarafından yönetilen bir etki alanı oluşturur ve yapılandırılır.
- Yönetilen etki alanının bir parçası olan kullanıcı hesabı. Kullanıcının SAMAccountName özniteliğinin otomatik olarak üretilmediğinden emin olun. Microsoft Entra kiracısında birden çok kullanıcı hesabı aynı mailNickname özniteliğine sahipse, her kullanıcının SAMAccountName özniteliği otomatik olarak oluşturulur. Daha fazla bilgi için bkz . Microsoft Entra Domain Services yönetilen etki alanında nesneler ve kimlik bilgileri nasıl eşitlenir?
- Active Directory'de çakışmalara neden olabilecek kesilmiş adları önlemek için en fazla 15 karakterden oluşan benzersiz Linux VM adları.
Ubuntu Linux VM oluşturma ve sanal makineye bağlanma
Azure'da mevcut bir Ubuntu Linux VM'niz varsa SSH kullanarak buna bağlanın, ardından VM'yi yapılandırmaya başlamak için sonraki adıma geçin.
Ubuntu Linux VM oluşturmanız gerekiyorsa veya bu makaleyle kullanmak üzere bir test VM'sini oluşturmak istiyorsanız, aşağıdaki yöntemlerden birini kullanabilirsiniz:
VM'yi oluştururken, sanal makinenin yönetilen etki alanıyla iletişim kuradığından emin olmak için sanal ağ ayarlarına dikkat edin:
- VM'yi Microsoft Entra Domain Services'ı etkinleştirdiğiniz aynı sanal ağa veya eşlenmiş bir sanal ağa dağıtın.
- VM'yi Microsoft Entra Domain Services yönetilen etki alanınızdan farklı bir alt ağa dağıtın.
VM dağıtıldıktan sonra, SSH kullanarak VM'ye bağlanma adımlarını izleyin.
Konaklar dosyasını yapılandırma
VM ana bilgisayar adının yönetilen etki alanı için doğru yapılandırıldığından emin olmak için /etc/hosts dosyasını düzenleyin ve konak adını ayarlayın:
sudo vi /etc/hosts
Hosts dosyasında localhost adresini güncelleştirin. Aşağıdaki örnekte:
- aaddscontoso.com, yönetilen etki alanınızın DNS etki alanı adıdır.
- ubuntu , yönetilen etki alanına katıldığınız Ubuntu VM'nizin ana bilgisayar adıdır.
Bu adları kendi değerlerinizle güncelleştirin:
127.0.0.1 ubuntu.aaddscontoso.com ubuntu
İşiniz bittiğinde, düzenleyicinin komutunu kullanarak :wq
hosts dosyasını kaydedin ve çıkın.
Gerekli paketleri yükleme
VM'nin yönetilen etki alanına katılması için bazı ek paketler gerekir. Bu paketleri yüklemek ve yapılandırmak için, kullanarak etki alanına katılma araçlarını güncelleştirin ve yükleyin apt-get
Kerberos yüklemesi sırasında, krb5-user paketi ALL UPPERCASE'de bölge adını ister. Örneğin, yönetilen etki alanınızın adı aaddscontoso.com ise bölge olarak AADDSCONTOSO.COM girin. Yükleme, ve bölümlerini /etc/krb5.conf yapılandırma dosyasına yazar[realm]
.[domain_realm]
Bölge olarak ALL UPPERCASE değerini belirttiğinizden emin olun:
sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli
Ağ Zaman Protokolü'ne (NTP) Yapılandırma
Etki alanı iletişiminin düzgün çalışması için Ubuntu VM'nizin tarih ve saati yönetilen etki alanıyla eşitlenmelidir. Yönetilen etki alanınızın NTP ana bilgisayar adını /etc/ntp.conf dosyasına ekleyin.
ntp.conf dosyasını bir düzenleyiciyle açın:
sudo vi /etc/ntp.conf
ntp.conf dosyasında, yönetilen etki alanınızın DNS adını eklemek için bir satır oluşturun. Aşağıdaki örnekte, aaddscontoso.com için bir giriş eklenir. Kendi DNS adınızı kullanın:
server aaddscontoso.com
İşiniz bittiğinde, düzenleyicinin komutunu kullanarak
:wq
ntp.conf dosyasını kaydedin ve çıkın.VM'nin yönetilen etki alanıyla eşitlendiğinden emin olmak için aşağıdaki adımlar gereklidir:
- NTP sunucusunu durdurma
- Yönetilen etki alanından tarih ve saati güncelleştirme
- NTP hizmetini başlatma
Bu adımları tamamlamak için aşağıdaki komutları çalıştırın. Komutuyla
ntpdate
kendi DNS adınızı kullanın:sudo systemctl stop ntp sudo ntpdate aaddscontoso.com sudo systemctl start ntp
VM'yi yönetilen etki alanına ekleme
Gerekli paketler VM'ye yüklendiğine ve NTP'nin yapılandırıldığına göre, VM'yi yönetilen etki alanına ekleyin.
realm discover
Yönetilen etki alanını bulmak için komutunu kullanın. Aşağıdaki örnek, bölge AADDSCONTOSO.COM bulur. ALL UPPERCASE içinde kendi yönetilen etki alanı adınızı belirtin:sudo realm discover AADDSCONTOSO.COM
realm discover
Komut yönetilen etki alanınızı bulamazsa aşağıdaki sorun giderme adımlarını gözden geçirin:- Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülürse bunu deneyin
ping aaddscontoso.com
. - VM'nin aynı sanal ağa veya yönetilen etki alanının kullanılabilir olduğu eşlenmiş bir sanal ağa dağıtıldığını denetleyin.
- Sanal ağ için DNS sunucusu ayarlarının yönetilen etki alanının etki alanı denetleyicilerine işaret eden şekilde güncelleştirildiğini onaylayın.
- Etki alanına VM'den erişilebilir olduğundan emin olun. Olumlu bir yanıt döndürülürse bunu deneyin
Şimdi komutunu kullanarak Kerberos'ı
kinit
başlatın. Yönetilen etki alanının parçası olan bir kullanıcı belirtin. Gerekirse, Microsoft Entra Id'deki bir gruba kullanıcı hesabı ekleyin.Yönetilen etki alanı adı da ALL UPPERCASE olarak girilmelidir. Aşağıdaki örnekte, adlı
contosoadmin@aaddscontoso.com
hesap Kerberos'un başlatılması için kullanılır. Yönetilen etki alanının bir parçası olan kendi kullanıcı hesabınızı girin:sudo kinit -V contosoadmin@AADDSCONTOSO.COM
Son olarak komutunu kullanarak VM'yi yönetilen etki alanına ekleyin
realm join
. Öncekikinit
komutta belirttiğiniz yönetilen etki alanının bir parçası olan aynı kullanıcı hesabını kullanın, örneğincontosoadmin@AADDSCONTOSO.COM
:sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/
VM'nin yönetilen etki alanına katılması birkaç dakika sürer. Aşağıdaki örnek çıktı, VM'nin yönetilen etki alanına başarıyla katıldığını gösterir:
Successfully enrolled machine in realm
VM'niz etki alanına katılma işlemini başarıyla tamamlayamazsa, VM'nin ağ güvenlik grubunun yönetilen etki alanınızın sanal ağ alt ağına TCP + UDP bağlantı noktası 464 üzerinden giden Kerberos trafiğine izin verdiğinden emin olun.
Belirtilmeyen GSS hatası hatası aldıysanız. İkincil kod daha fazla bilgi sağlayabilir (Sunucu Kerberos veritabanında bulunamadı), /etc/krb5.conf dosyasını açın ve bölümüne aşağıdaki kodu [libdefaults]
ekleyin ve yeniden deneyin:
rdns=false
SSSD yapılandırmasını güncelleştirme
Önceki bir adımda yüklenen paketlerden biri, System Security Services Daemon (SSSD) içindi. Kullanıcı etki alanı kimlik bilgilerini kullanarak vm'de oturum açmaya çalıştığında, SSSD isteği bir kimlik doğrulama sağlayıcısına aktarır. Bu senaryoda, SSSD isteğin kimliğini doğrulamak için Etki Alanı Hizmetleri'ni kullanır.
sssd.conf dosyasını bir düzenleyiciyle açın:
sudo vi /etc/sssd/sssd.conf
use_fully_qualified_names satırını aşağıdaki gibi açıklama satırı yapın:
# use_fully_qualified_names = True
İşiniz bittiğinde, düzenleyicinin komutunu kullanarak
:wq
sssd.conf dosyasını kaydedin ve çıkın.Değişikliği uygulamak için SSSD hizmetini yeniden başlatın:
sudo systemctl restart sssd
Kullanıcı hesabı ve grup ayarlarını yapılandırma
VM yönetilen etki alanına katıldığında ve kimlik doğrulaması için yapılandırıldığında tamamlanması gereken birkaç kullanıcı yapılandırma seçeneği vardır. Bu yapılandırma değişiklikleri parola tabanlı kimlik doğrulamasına izin verme ve etki alanı kullanıcıları ilk kez oturum açarken yerel VM'de otomatik olarak giriş dizinleri oluşturmayı içerir.
SSH için parola kimlik doğrulamasına izin ver
Varsayılan olarak, kullanıcılar vm'de yalnızca SSH ortak anahtar tabanlı kimlik doğrulaması kullanarak oturum açabilir. Parola tabanlı kimlik doğrulaması başarısız oluyor. VM'yi yönetilen bir etki alanına eklediğinizde, bu etki alanı hesaplarının parola tabanlı kimlik doğrulaması kullanması gerekir. Parola tabanlı kimlik doğrulamasına izin vermek için SSH yapılandırmasını aşağıdaki gibi güncelleştirin.
sshd_conf dosyasını bir düzenleyiciyle açın:
sudo vi /etc/ssh/sshd_config
PasswordAuthentication satırını evet olarak güncelleştirin:
PasswordAuthentication yes
İşiniz bittiğinde, düzenleyicinin komutunu kullanarak
:wq
sshd_conf dosyasını kaydedin ve çıkın.Değişiklikleri uygulamak ve kullanıcıların parola kullanarak oturum açmasına izin vermek için SSH hizmetini yeniden başlatın:
sudo systemctl restart ssh
Otomatik giriş dizini oluşturmayı yapılandırma
Bir kullanıcı ilk kez oturum açtığında giriş dizininin otomatik olarak oluşturulmasını etkinleştirmek için aşağıdaki adımları tamamlayın:
/etc/pam.d/common-session
Dosyayı bir düzenleyicide açın:sudo vi /etc/pam.d/common-session
Bu dosyada aşağıdaki satırı satırının
session optional pam_sss.so
altına ekleyin:session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
İşiniz bittiğinde, düzenleyicinin komutunu kullanarak
:wq
ortak oturum dosyasını kaydedin ve çıkın.
'AAD DC Yönetici istrators' grubuna sudo ayrıcalıkları verme
Ubuntu VM'sinde AAD DC Yönetici istrators grubu yönetim ayrıcalıkları vermek için , /etc/sudoers öğesine bir girdi eklersiniz. Eklendikten sonra, AAD DC Yönetici istrators grubunun üyeleri Ubuntu VM'sinde komutunu kullanabilirsudo
.
Sudoers dosyasını düzenlemek üzere açın:
sudo visudo
/etc/sudoers dosyasının sonuna aşağıdaki girdiyi ekleyin:
# Add 'AAD DC Administrators' group members as admins. %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
İşiniz bittiğinde, komutunu kullanarak düzenleyiciyi kaydedin ve bu düzenleyiciden
Ctrl-X
çıkın.
Etki alanı hesabı kullanarak VM'de oturum açma
VM'nin yönetilen etki alanına başarıyla katıldığını doğrulamak için, etki alanı kullanıcı hesabı kullanarak yeni bir SSH bağlantısı başlatın. Bir giriş dizininin oluşturulduğunu ve etki alanından grup üyeliğinin uygulandığını onaylayın.
Konsolunuzdan yeni bir SSH bağlantısı oluşturun. gibi komutunu kullanarak
ssh -l
yönetilen etki alanına ait bir etki alanı hesabı kullanın ve ardından vm'nizin adresini (ubuntu.aaddscontoso.com gibi)contosoadmin@aaddscontoso.com
girin. Azure Cloud Shell kullanıyorsanız, iç DNS adı yerine VM'nin genel IP adresini kullanın.sudo ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com
VM'ye başarıyla bağlandığınızda giriş dizininin doğru şekilde başlatıldığını doğrulayın:
sudo pwd
Kullanıcı hesabıyla eşleşen kendi dizininizle /home dizininde olmanız gerekir.
Şimdi grup üyeliklerinin doğru çözümlendiğini denetleyin:
sudo id
Yönetilen etki alanından grup üyeliklerinizi görmeniz gerekir.
VM'de AAD DC Yönetici istrators grubunun bir üyesi olarak oturum açtıysanız, komutunu doğru şekilde kullanıp kullanmayabildiğinizi
sudo
denetleyin:sudo apt-get update
Sonraki adımlar
VM'yi yönetilen etki alanına bağlarken veya bir etki alanı hesabıyla oturum açarken sorun yaşıyorsanız bkz . Etki alanına katılma sorunlarını giderme.