Bagikan melalui

Menggabungkan komputer virtual Red Hat Enterprise Linux ke domain terkelola Microsoft Entra Domain Services

  • Artikel

Untuk memungkinkan pengguna masuk ke komputer virtual (VM) di Azure menggunakan satu set kredensial, Anda dapat menggabungkan VM ke domain terkelola Microsoft Entra Domain Services. Saat Anda menggabungkan VM ke domain terkelola Domain Services, akun pengguna dan kredensial dari domain dapat digunakan untuk masuk dan mengelola server. Keanggotaan grup dari domain terkelola juga diterapkan untuk memungkinkan Anda mengontrol akses ke file atau layanan di VM.

Artikel ini menunjukkan kepada Anda cara menggabungkan VM Red Hat Enterprise Linux (RHEL) ke domain terkelola.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

Membuat dan menyambungkan ke RHEL Linux VM

Jika Anda memiliki RHEL Linux VM yang ada di Azure, sambungkan menggunakan SSH, lanjutkan ke langkah berikutnya untuk mulai mengonfigurasi VM.

Jika Anda perlu membuat RHEL Linux VM, atau ingin membuat VM pengujian untuk digunakan dengan artikel ini, Anda dapat menggunakan salah satu metode berikut:

  • pusat admin Microsoft Entra
  • Azure CLI
  • Azure PowerShell

Saat Anda membuat VM, perhatikan pengaturan jaringan virtual untuk memastikan bahwa VM dapat berkomunikasi dengan domain terkelola:

  • Sebarkan VM ke jaringan virtual yang sama, atau yang di-peering di mana Anda telah mengaktifkan Microsoft Entra Domain Services.
  • Sebarkan VM ke subnet yang berbeda dari domain terkelola Microsoft Entra Domain Services Anda.

Setelah VM disebarkan, ikuti langkah-langkah untuk menyambungkan ke VM menggunakan SSH.

Mengonfigurasi file host

Untuk memastikan bahwa nama host VM dikonfigurasi dengan benar untuk domain terkelola, edit file /etc/hosts dan atur nama host:

sudo vi /etc/hosts

Dalam file host , perbarui alamat localhost . Dalam contoh berikut:

  • aaddscontoso.com adalah nama domain DNS domain terkelola Anda.
  • rhel adalah nama host VM RHEL yang Anda gabungkan ke domain terkelola.

Perbarui nama-nama ini dengan nilai Anda sendiri:

127.0.0.1 rhel rhel.aaddscontoso.com

Setelah selesai, simpan dan keluar dari file hosts menggunakan perintah :wq editor.

Penting

Perlu dipertimbangkan bahwa Red Hat Enterprise Linux 6.X dan Oracle Linux 6.x sudah mencapai akhir masa pakai. RHEL 6.10 telah tersedia dukungan ELS, yang berakhir pada 06/2024.

Menginstal paket yang diperlukan

VM memerlukan beberapa paket tambahan untuk menghubungkan VM ke domain terkelola. Untuk menginstal dan mengonfigurasi paket ini, perbarui dan instal alat penggabung domain menggunakan yum.

sudo yum install adcli sssd authconfig krb5-workstation

Menggabungkan VM ke domain terkelola

Sekarang setelah paket yang diperlukan diinstal pada VM, gabungkan VM ke domain terkelola.

  1. Gunakan perintah adcli info untuk menemukan domain terkelola. Contoh berikut mendeteksi realm ADDDSCONTOSO.COM. Tentukan nama domain terkelola Anda sendiri di SEMUA HURUF BESAR:

    sudo adcli info aaddscontoso.com

    Jika perintah adcli info tidak dapat menemukan domain terkelola Anda, tinjau langkah-langkah pemecahan masalah berikut:

    • Pastikan domain dapat dijangkau dari VM. Coba ping aaddscontoso.com untuk melihat apakah balasan positif dikembalikan.
    • Periksa apakah VM ditempatkan di jaringan virtual yang sama, atau di jaringan virtual yang terhubung tempat domain terkelola tersedia.
    • Konfirmasikan bahwa pengaturan server DNS untuk jaringan virtual diperbarui untuk mengarahkan ke pengontrol domain domain terkelola.

  2. Pertama, gabungkan domain menggunakan perintah adcli join. Perintah ini juga membuat keytab untuk mengautentikasi komputer. Gunakan akun pengguna yang merupakan bagian dari domain terkelola.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Sekarang konfigurasikan /ect/krb5.conf dan buat file /etc/sssd/sssd.conf untuk menggunakan domain aaddscontoso.com Active Directory. Pastikan AADDSCONTOSO.COM digantikan oleh nama domain Anda sendiri:

    Buka file /etc/krb5.conf dengan editor:

    sudo vi /etc/krb5.conf

    Perbarui file krb5.conf agar sesuai dengan sampel berikut:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Buat file /etc/sssd/sssd.conf:

    sudo vi /etc/sssd/sssd.conf

    Perbarui file sssd.conf agar sesuai dengan sampel berikut:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Pastikan izin /etc/sssd/sssd.conf adalah 600 dan dimiliki oleh pengguna root:

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Gunakan authconfig untuk menginstruksikan VM tentang integrasi AD Linux:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Mulai dan aktifkan layanan sssd:

    sudo service sssd start
sudo chkconfig sssd on

Jika VM Anda tidak berhasil menyelesaikan proses gabungan domain, pastikan bahwa grup keamanan jaringan VM mengizinkan lalu lintas Kerberos keluar pada port TCP + UDP 464 ke subnet jaringan virtual untuk domain terkelola Anda.

Sekarang periksa apakah Anda dapat mengkueri informasi AD pengguna menggunakan getent

sudo getent passwd contosoadmin

Perbolehkan autentikasi kata sandi untuk SSH

Secara default, pengguna hanya dapat masuk ke VM menggunakan autentikasi berbasis kunci publik SSH. Autentikasi berbasis kata sandi gagal. Saat Anda bergabung dengan VM ke domain terkelola, akun domain tersebut perlu menggunakan autentikasi berbasis kata sandi. Perbarui konfigurasi SSH untuk mengizinkan autentikasi berbasis kata sandi sebagai berikut.

  1. Buka file sshd_conf dengan editor:

    sudo vi /etc/ssh/sshd_config

  2. Perbarui baris untuk PasswordAuthentication menjadi yes:

    PasswordAuthentication yes

    Setelah selesai, simpan dan keluar dari file sshd_conf menggunakan perintah :wq editor.

  3. Untuk menerapkan perubahan dan memungkinkan pengguna masuk menggunakan kata sandi, mulai ulang layanan SSH untuk versi distro RHEL Anda:

    sudo service sshd restart

Berikan hak istimewa sudo kepada grup 'Administrator AAD DC'

Untuk memberi anggota Administrator AAD DC hak istimewa administratif grup pada RHEL VM, Anda menambahkan entri ke /etc/sudoers. Setelah ditambahkan, anggota grup Administrator AAD DC dapat menggunakan perintah sudo pada RHEL VM.

  1. Buka file sudoers untuk diedit.

    sudo visudo

  2. Tambahkan entri berikut ke akhir file /etc/sudoers. Grup Administrator AAD DC berisi spasi kosong dalam nama, jadi sertakan karakter escape backslash dalam nama grup. Tambahkan nama domain Anda sendiri, seperti aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Setelah selesai, simpan dan keluar dari editor dengan menggunakan perintah :wq pada editor.

Masuk ke VM menggunakan akun domain

Untuk memverifikasi bahwa VM berhasil bergabung ke domain terkelola, mulai koneksi SSH baru menggunakan akun pengguna domain. Konfirmasikan bahwa direktori beranda dibuat, dan keanggotaan grup dari domain diterapkan.

  1. Buat koneksi SSH baru dari konsol Anda. Gunakan akun domain milik domain terkelola menggunakan perintah ssh -l, seperti contosoadmin@aaddscontoso.com lalu masukkan alamat VM Anda, seperti rhel.aaddscontoso.com. Jika Anda menggunakan Azure Cloud Shell, gunakan alamat IP publik VM daripada nama DNS internal.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Ketika Anda berhasil tersambung ke VM, verifikasi bahwa direktori beranda diinisialisasi dengan benar:

    pwd

    Anda harus berada di folder /home, dengan folder milik sendiri yang sesuai dengan akun pengguna Anda.

  3. Sekarang periksa apakah keanggotaan grup sedang diselesaikan dengan benar:

    id

    Anda akan melihat keanggotaan grup Anda dari domain terkelola.

  4. Jika Anda masuk ke VM sebagai anggota grup Administrator AAD DC, periksa apakah Anda dapat menggunakan perintah sudo dengan benar:

    sudo yum update

Langkah berikutnya

Jika Anda mengalami masalah saat menyambungkan VM ke domain terkelola atau masuk dengan akun domain, lihat Memecahkan masalah gabungan domain.