Sdílet prostřednictvím

Připojení virtuálního počítače Red Hat Enterprise Linux ke spravované doméně služby Microsoft Entra Domain Services

  • Článek

Pokud chcete uživatelům umožnit přihlášení k virtuálním počítačům v Azure pomocí jedné sady přihlašovacích údajů, můžete virtuální počítače připojit ke spravované doméně Microsoft Entra Domain Services. Když připojíte virtuální počítač ke spravované doméně služby Domain Services, dají se k přihlášení a správě serverů použít uživatelské účty a přihlašovací údaje z domény. Členství ve skupinách ze spravované domény se také použije, abyste mohli řídit přístup k souborům nebo službám na virtuálním počítači.

V tomto článku se dozvíte, jak se připojit k virtuálnímu počítači s Red Hat Enterprise Linuxem (RHEL) ke spravované doméně.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

Vytvoření a připojení k virtuálnímu počítači RHEL s Linuxem

Pokud máte v Azure existující virtuální počítač RHEL s Linuxem, připojte se k němu pomocí SSH a pak pokračujte dalším krokem a začněte konfigurovat virtuální počítač.

Pokud potřebujete vytvořit virtuální počítač RHEL s Linuxem nebo chcete vytvořit testovací virtuální počítač pro použití s tímto článkem, můžete použít jednu z následujících metod:

Při vytváření virtuálního počítače věnujte pozornost nastavení virtuální sítě, abyste měli jistotu, že virtuální počítač může komunikovat se spravovanou doménou:

  • Nasaďte virtuální počítač do stejné nebo partnerské virtuální sítě, ve které jste povolili službu Microsoft Entra Domain Services.
  • Nasaďte virtuální počítač do jiné podsítě, než je spravovaná doména Microsoft Entra Domain Services.

Po nasazení virtuálního počítače se pomocí SSH připojte k virtuálnímu počítači podle pokynů.

Nakonfigurujte soubor hostitelů

Pokud chcete zajistit, aby byl název hostitele virtuálního počítače správně nakonfigurovaný pro spravovanou doménu, upravte /etc/hosts soubor a nastavte název hostitele:

sudo vi /etc/hosts

V souboru hosts aktualizujte adresu localhost. V následujícím příkladu:

  • aaddscontoso.com je název domény DNS vaší spravované domény.
  • rhel je název hostitele vašeho virtuálního počítače RHEL, ke kterému se připojujete ke spravované doméně.

Aktualizujte tyto názvy vlastními hodnotami:

127.0.0.1 rhel rhel.aaddscontoso.com

Jakmile dokončíte, uložte a ukončete soubor hosts příkazem :wq editoru.

Důležitý

Mějte na paměti, že Red Hat Enterprise Linux 6.X a Oracle Linux 6.x jsou již na konci životnosti. RHEL 6.10 má k dispozici ELS podporu, která skončila 06/2024.

Instalace požadovaných balíčků

Virtuální počítač potřebuje k připojení virtuálního počítače ke spravované doméně několik dalších balíčků. Chcete-li nainstalovat a nakonfigurovat tyto balíčky, aktualizujte a nainstalujte nástroje pro připojení k doméně pomocí nástroje yum.

sudo yum install adcli sssd authconfig krb5-workstation

Připojení virtuálního počítače ke spravované doméně

Teď, když jsou na virtuálním počítači nainstalované požadované balíčky, připojte virtuální počítač ke spravované doméně.

  1. Ke zjištění spravované domény použijte příkaz adcli info. Následující příklad objeví sféru ADDDSCONTOSO.COM. Zadejte vlastní spravovaný název domény ve všech velkých písmenech:

    sudo adcli info aaddscontoso.com

    Pokud příkaz adcli info nemůže najít spravovanou doménu, projděte si následující kroky pro řešení potíží:

    • Ujistěte se, že je doména dostupná z virtuálního počítače. Zkuste ping aaddscontoso.com zjistit, jestli se vrátí kladná odpověď.
    • Zkontrolujte, jestli je virtuální počítač nasazený do stejné nebo partnerské virtuální sítě, ve které je spravovaná doména dostupná.
    • Ověřte, že jsou nastavení serveru DNS pro virtuální síť aktualizována tak, aby ukazovala na řadiče domény spravované domény.

  2. Nejprve připojte doménu pomocí příkazu adcli join. Tento příkaz také vytvoří tabulátor klíčů pro ověření počítače. Použijte uživatelský účet, který je součástí spravované domény.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Teď nakonfigurujte /ect/krb5.conf a vytvořte soubory /etc/sssd/sssd.conf tak, aby používaly doménu aaddscontoso.com Active Directory. Ujistěte se, že AADDSCONTOSO.COM nahradíte vlastním názvem domény:

    Otevřete soubor /etc/krb5.conf v editoru:

    sudo vi /etc/krb5.conf

    Aktualizujte soubor krb5.conf tak, aby odpovídal následující ukázce:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Vytvořte soubor /etc/sssd/sssd.conf:

    sudo vi /etc/sssd/sssd.conf

    Aktualizujte soubor sssd.conf tak, aby odpovídal následující ukázce:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Ujistěte se, že oprávnění /etc/sssd/sssd.conf je nastavena na 600 a je vlastněn uživatelem root.

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Pomocí authconfig instruujte virtuální počítač o integraci AD s Linuxem:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Spusťte a povolte službu sssd:

    sudo service sssd start
sudo chkconfig sssd on

Pokud váš virtuální počítač nemůže úspěšně dokončit proces připojení k doméně, ujistěte se, že skupina zabezpečení sítě virtuálního počítače umožňuje odchozí provoz Kerberos na portu TCP + UDP 464 do podsítě virtuální sítě pro vaši spravovanou doménu.

Teď zkontrolujte, jestli se pomocí getent můžete dotazovat na informace AD uživatele.

sudo getent passwd contosoadmin

Povolit ověřování heslem pro SSH

Ve výchozím nastavení se uživatelé můžou k virtuálnímu počítači přihlásit jenom pomocí ověřování založeného na veřejném klíči SSH. Ověřování založené na heslech selže. Když připojíte virtuální počítač ke spravované doméně, musí tyto účty domény používat ověřování založené na heslech. Aktualizujte konfiguraci SSH tak, aby povolte ověřování založené na heslech následujícím způsobem.

  1. Otevřete soubor sshd_conf v editoru:

    sudo vi /etc/ssh/sshd_config

  2. Aktualizujte řádek pro PasswordAuthentication na ano:

    PasswordAuthentication yes

    Po dokončení uložte a ukončete soubor sshd_conf pomocí příkazu :wq editoru.

  3. Pokud chcete použít změny a umožnit uživatelům přihlásit se pomocí hesla, restartujte službu SSH pro vaši verzi distribuce RHEL:

    sudo service sshd restart

Udělení sudo oprávnění skupině AAD DC Administrators

Pokud chcete členům AAD DC Administrators udělit oprávnění správce skupiny na virtuálním počítači RHEL, přidáte položku do /etc/sudoers. Po přidání můžou členové skupiny AAD DC Administrators použít příkaz sudo na virtuálním počítači RHEL.

  1. Otevřete soubor sudoers pro úpravy:

    sudo visudo

  2. Na konec souboru /etc/sudoers přidejte následující položku. Skupina AAD DC Administrators obsahuje v názvu prázdné znaky, proto do názvu skupiny vložte znak escapového zpětného lomítka. Přidejte vlastní název domény, například aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Po dokončení uložte a ukončete editor pomocí příkazu :wq editoru.

Přihlášení k virtuálnímu počítači pomocí účtu domény

Pokud chcete ověřit, že se virtuální počítač úspěšně připojil ke spravované doméně, spusťte nové připojení SSH pomocí uživatelského účtu domény. Ověřte, že se vytvoří domovský adresář a že se použije členství ve skupině z domény.

  1. Vytvořte nové připojení SSH z konzoly. Pomocí příkazu ssh -l použijte účet domény, který patří do spravované domény, například contosoadmin@aaddscontoso.com, a zadejte adresu virtuálního počítače, například rhel.aaddscontoso.com. Pokud používáte Azure Cloud Shell, použijte místo interního názvu DNS veřejnou IP adresu virtuálního počítače.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Po úspěšném připojení k virtuálnímu počítači ověřte, že se domovský adresář inicializoval správně:

    pwd

    Měli byste být v adresáři /home s vlastním adresářem, který odpovídá uživatelskému účtu.

  3. Teď zkontrolujte, jestli se členství ve skupinách správně vyřešilo:

    id

    Měli byste vidět členství ve skupině ze spravované domény.

  4. Pokud jste se k virtuálnímu počítači přihlásili jako člen skupiny AAD DC Administrators, zkontrolujte, že můžete správně použít příkaz sudo:

    sudo yum update

Další kroky

Pokud máte problémy s připojením virtuálního počítače ke spravované doméně nebo přihlášením pomocí účtu domény, přečtěte si téma Řešení potíží s připojením k doméně.