Udostępnij za pośrednictwem

Dołączanie maszyny wirtualnej SUSE Linux Enterprise do domeny zarządzanej usług Microsoft Entra Domain Services

  • Artykuł

Aby umożliwić użytkownikom logowanie się do maszyn wirtualnych na platformie Azure przy użyciu jednego zestawu poświadczeń, możesz dołączyć maszyny wirtualne do domeny zarządzanej usług Microsoft Entra Domain Services. Po dołączeniu maszyny wirtualnej do domeny zarządzanej usług Domain Services konta użytkowników i poświadczenia z domeny mogą służyć do logowania się serwerów i zarządzania nimi. Członkostwa w grupach z domeny zarządzanej są również stosowane w celu kontrolowania dostępu do plików lub usług na maszynie wirtualnej.

W tym artykule pokazano, jak dołączyć maszynę wirtualną SUSE Linux Enterprise (SLE) do domeny zarządzanej.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

  • Aktywna subskrypcja platformy Azure.
  • Tenant Microsoft Entra skojarzony z twoją subskrypcją, zsynchronizowany z katalogiem lokalnym lub tylko z katalogiem w chmurze.
  • Zarządzana domena usługi Microsoft Entra Domain Services została włączona i skonfigurowana w twojej dzierżawie Microsoft Entra.
  • Konto użytkownika będące częścią domeny zarządzanej.
  • Unikatowe nazwy maszyn wirtualnych z systemem Linux, które mają maksymalnie 15 znaków, aby uniknąć skracania nazw, co może powodować konflikty w usłudze Active Directory.

Tworzenie i nawiązywanie połączenia z maszyną wirtualną z systemem Linux SLE

Jeśli masz istniejącą maszynę wirtualną Z systemem Linux SLE na platformie Azure, połącz się z nią przy użyciu protokołu SSH, a następnie przejdź do następnego kroku, aby rozpocząć konfigurowanie maszyny wirtualnej.

Jeśli musisz utworzyć maszynę wirtualną Z systemem Linux SLE lub utworzyć testową maszynę wirtualną do użycia z tym artykułem, możesz użyć jednej z następujących metod:

Podczas tworzenia maszyny wirtualnej należy zwrócić uwagę na ustawienia sieci wirtualnej, aby upewnić się, że maszyna wirtualna może komunikować się z domeną zarządzaną:

  • Wdróż maszynę wirtualną w tej samej lub równorzędnej sieci wirtualnej, w której włączono usługi Microsoft Entra Domain Services.
  • Rozmieść maszynę wirtualną w innej podsieci niż domena zarządzana przez usługi Microsoft Entra Domain Services.

Po wdrożeniu maszyny wirtualnej wykonaj kroki, aby nawiązać połączenie z maszyną wirtualną przy użyciu protokołu SSH.

Konfigurowanie pliku hosts

Aby upewnić się, że nazwa hosta maszyny wirtualnej jest poprawnie skonfigurowana dla domeny zarządzanej, zmodyfikuj plik /etc/hosts i ustaw nazwę hosta:

sudo vi /etc/hosts

W pliku hosts zaktualizuj adres localhost. W poniższym przykładzie:

  • aaddscontoso.com jest nazwą domeny DNS domeny zarządzanej.
  • linux-q2gr to nazwa hosta Twojej maszyny wirtualnej SLE, którą przyłączasz do domeny zarządzanej.

Zaktualizuj te nazwy własnymi wartościami:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Po zakończeniu zapisz i zamknij plik hosts przy użyciu :wq polecenia edytora.

Dołączanie maszyny wirtualnej do domeny zarządzanej przy użyciu usługi SSSD

Aby dołączyć domenę zarządzaną przy użyciu usługi SSSD i modułu zarządzania logowaniem użytkowników w usłudze YaST, wykonaj następujące kroki:

  1. Zainstaluj moduł zarządzania logowaniem użytkowników YaST.

    sudo zypper install yast2-auth-client

  2. Otwórz plik YaST.

  3. Aby pomyślnie użyć funkcji automatycznego wykrywania DNS później, skonfiguruj adresy IP domeny zarządzanej (serwer Active Directory) jako serwer nazw klienta.

    W usłudze YaST wybierz pozycję > sieci systemowej.

  4. Wybierz kartę Nazwa hosta/ DNS, a następnie wprowadź co najmniej jeden adres IP domeny zarządzanej do pola tekstowego Nazwa serwera 1. Te adresy IP są wyświetlane w oknie Właściwości w centrum administracyjnym firmy Microsoft dla domeny zarządzanej, na przykład 10.0.2.4 i 10.0.2.5.

    Dodaj własne adresy IP domeny zarządzanej, a następnie wybierz przycisk OK.

  5. W oknie głównym usługi YaST wybierz pozycję Zarządzanie logowaniem użytkowników usług>sieciowych.

    Zostanie otwarty moduł z omówieniem przedstawiającym różne właściwości sieci komputera i aktualnie używaną metodę uwierzytelniania, jak pokazano na poniższym przykładowym zrzucie ekranu:

    Przykładowy zrzut ekranu przedstawiający okno Zarządzanie logowaniem użytkowników w usłudze YaST

    Aby rozpocząć edytowanie, wybierz pozycję Zmień ustawienia.

Aby dołączyć maszynę wirtualną do domeny zarządzanej, wykonaj następujące kroki:

  1. W oknie dialogowym wybierz pozycję Dodaj domenę.

  2. Określ poprawną nazwę domeny, taką jak aaddscontoso.com, a następnie określ usługi do użycia na potrzeby danych tożsamości i uwierzytelniania. Wybierz usługę Microsoft Active Directory dla obu.

    Upewnij się, że wybrano opcję Włącz domenę .

  3. Gdy wszystko będzie gotowe, wybierz przycisk OK.

  4. Zaakceptuj ustawienia domyślne w poniższym oknie dialogowym, a następnie wybierz przycisk OK.

  5. Maszyna wirtualna instaluje dodatkowe oprogramowanie zgodnie z potrzebami, a następnie sprawdza, czy domena zarządzana jest dostępna.

    Jeśli wszystko jest poprawne, zostanie pokazane następujące przykładowe okno dialogowe, wskazujące, że maszyna wirtualna odkryła domenę zarządzaną, jednakże nie jesteś jeszcze zarejestrowany .

    Przykładowy zrzut ekranu przedstawiający okno rejestracji usługi Active Directory w usłudze YaST

  6. W oknie dialogowym określ nazwę użytkownika i hasło użytkownika będącego częścią domeny zarządzanej. W razie potrzeby dodaj konto użytkownika do grupy w usłudze Microsoft Entra ID.

    Aby upewnić się, że bieżąca domena jest włączona dla protokołu Samba, aktywuj konfigurację Samba overwrite, aby pracować z tą usługą AD.

  7. Aby zarejestrować, wybierz przycisk OK.

  8. Zostanie wyświetlony komunikat z potwierdzeniem pomyślnego zarejestrowania. Aby zakończyć, wybierz przycisk OK.

Po zarejestrowaniu maszyny wirtualnej w domenie zarządzanej skonfiguruj klienta przy użyciu funkcji Zarządzanie logowaniem użytkownika domeny, jak pokazano na poniższym przykładowym zrzucie ekranu:

Przykładowy zrzut ekranu przedstawiający okno Zarządzanie logowaniem użytkownika domeny w usłudze YaST

  1. Aby zezwolić na logowanie przy użyciu danych dostarczonych przez domenę zarządzaną, zaznacz pole wyboru Zezwalaj na logowanie użytkownika domeny.

  2. Opcjonalnie w obszarze Włącz źródło danych domeny sprawdź dodatkowe źródła danych zgodnie z potrzebami środowiska. Te opcje obejmują użytkowników, którzy mogą używać sudo lub które dyski sieciowe są dostępne.

  3. Aby zezwolić użytkownikom w domenie zarządzanej na katalogi główne na maszynie wirtualnej, zaznacz pole wyboru Utwórz katalogi główne.

  4. Na pasku bocznym wybierz pozycję Opcje usługi › Przełącznik nazw, a następnie Opcje rozszerzone. W tym oknie kliknij fallback_homedir lub override_homedir, a następnie kliknij Dodaj.

  5. Określ wartość lokalizacji katalogu macierzystego. Aby mieć katalogi macierzyste, postępuj zgodnie z formatem /home/USER_NAME, użyj /home/%u. Aby uzyskać więcej informacji na temat możliwych zmiennych, zobacz stronę sssd.conf man (man 5 sssd.conf), sekcję override_homedir.

  6. Wybierz przycisk OK.

  7. Aby zapisać zmiany, wybierz pozycję OK. Następnie upewnij się, że wyświetlane wartości są teraz poprawne. Aby opuścić okno dialogowe, wybierz pozycję Anuluj.

  8. Jeśli zamierzasz uruchamiać SSSD i Winbind jednocześnie (na przykład podczas dołączania za pośrednictwem SSSD, ale następnie uruchamiać serwer plików Samba), należy ustawić opcję kerberos method na secrets and keytab w pliku smb.conf. Opcja SSSD ad_update_samba_machine_account_password powinna być również ustawiona na true w pliku sssd.conf. Te opcje zapobiegają rozsynchronicznieniu się keytabu systemowego.

Dołączanie maszyny wirtualnej do domeny zarządzanej przy użyciu narzędzia Winbind

Aby dołączyć domenę zarządzaną przy użyciu narzędzia winbind i modułu Członkostwa w domenie systemu Windows w usłudze YaST, wykonaj następujące kroki:

  1. W YaST wybierz Usługi sieciowe > Członkostwo w domenie Windows.

  2. Wprowadź domenę na ekranie Członkostwo w domenie systemu Windows w sekcji Domena lub grupa robocza. Wprowadź nazwę domeny zarządzanej, taką jak aaddscontoso.com.

    Przykładowy zrzut ekranu przedstawiający okno Członkostwo w domenie systemu Windows w usłudze YaST

  3. Aby użyć źródła SMB do uwierzytelniania systemu Linux, zaznacz opcję Użyj informacji SMB na potrzeby uwierzytelniania systemu Linux.

  4. Aby automatycznie utworzyć lokalny katalog główny dla użytkowników domeny zarządzanej na maszynie wirtualnej, zaznacz opcję Utwórz katalog macierzysny podczas logowania.

  5. Sprawdź opcję Uwierzytelniania w trybie offline, aby umożliwić użytkownikom domeny logowanie się nawet wtedy, gdy domena zarządzana jest tymczasowo niedostępna.

  6. Jeśli chcesz zmienić zakresy UID i GID dla użytkowników i grup Samba, wybierz pozycję Ustawienia ekspertów.

  7. Skonfiguruj synchronizację czasu protokołu NTP (Network Time Protocol) dla domeny zarządzanej, wybierając pozycję Konfiguracja NTP. Wprowadź adresy IP domeny zarządzanej. Te adresy IP są wyświetlane w oknie Właściwości w centrum administracyjnym firmy Microsoft dla domeny zarządzanej, na przykład 10.0.2.4 i 10.0.2.5.

  8. Wybierz OK i potwierdź dołączenie do domeny, gdy pojawi się monit.

  9. Podaj hasło administratora w domenie zarządzanej i wybierz przycisk OK.

    Przykładowy zrzut ekranu przedstawiający monit okna dialogowego uwierzytelniania podczas dołączania maszyny wirtualnej SLE do domeny zarządzanej

Po dołączeniu do domeny zarządzanej możesz zalogować się do niej ze stacji roboczej przy użyciu menedżera wyświetlania pulpitu lub konsoli.

Przyłącz maszynę wirtualną do domeny zarządzanej przy użyciu narzędzia Winbind z interfejsu wiersza polecenia YaST

Aby dołączyć do domeny zarządzanej przy użyciu winbind i interfejsu wiersza polecenia YaST, dodaj wartości user i password dla administratora oraz zaktualizuj inne parametry dla organizacji:

sudo yast samba-client joindomain domain=aaddscontoso.com machine=<(optional) machine account>

Przyłącz maszynę wirtualną do domeny zarządzanej przy użyciu narzędzia Winbind z terminalu

Aby dołączyć do zarządzanej domeny, używając narzędzia winbind i polecenia :

  1. Zainstaluj klienta protokołu Kerberos i bibliotekę samba-winbind:

    sudo zypper in krb5-client samba-winbind

  2. Edytuj pliki konfiguracji:

    • /etc/samba/smb.conf

      [global]
    workgroup = AADDSCONTOSO
    usershare allow guests = NO #disallow guests from sharing
    idmap config * : backend = tdb
    idmap config * : range = 1000000-1999999
    idmap config AADDSCONTOSO : backend = rid
    idmap config AADDSCONTOSO : range = 5000000-5999999
    kerberos method = secrets and keytab
    realm = AADDSCONTOSO.COM
    security = ADS
    template homedir = /home/%D/%U
    template shell = /bin/bash
    winbind offline logon = yes
    winbind refresh tickets = yes

    • /etc/krb5.conf

      [libdefaults]
    default_realm = AADDSCONTOSO.COM
    clockskew = 300
[realms]
    AADDSCONTOSO.COM = {
        kdc = PDC.AADDSCONTOSO.COM
        default_domain = AADDSCONTOSO.COM
        admin_server = PDC.AADDSCONTOSO.COM
    }
[domain_realm]
    .aaddscontoso.com = AADDSCONTOSO.COM
[appdefaults]
    pam = {
        ticket_lifetime = 1d
        renew_lifetime = 1d
        forwardable = true
        proxiable = false
        minimum_uid = 1
    }

    • /etc/security/pam_winbind.conf

      [global]
    cached_login = yes
    krb5_auth = yes
    krb5_ccache_type = FILE
    warn_pwd_expire = 14

    • /etc/nsswitch.conf

      passwd: compat winbind
group: compat winbind

  3. Sprawdź, czy data i godzina w identyfikatorze Entra firmy Microsoft i systemie Linux są zsynchronizowane. Możesz to zrobić, dodając serwer Microsoft Entra do usługi NTP:

    1. Dodaj następujący wiersz do /etc/ntp.conf:

      server aaddscontoso.com

    2. Uruchom ponownie usługę NTP:

      sudo systemctl restart ntpd

  4. Dołącz do domeny:

    sudo net ads join -U Administrator%Mypassword

  5. Włącz winbind jako źródło logowania w Pluggable Authentication Modules (PAM) systemu Linux.

    config pam-config --add --winbind

  6. Włącz automatyczne tworzenie katalogów domowych, aby użytkownicy mogli się logować:

    sudo pam-config -a --mkhomedir

  7. Uruchom i włącz usługę winbind:

    sudo systemctl enable winbind
sudo systemctl start winbind

Zezwalaj na uwierzytelnianie haseł dla protokołu SSH

Domyślnie użytkownicy mogą logować się tylko do maszyny wirtualnej przy użyciu uwierzytelniania opartego na kluczach publicznych SSH. Uwierzytelnianie oparte na hasłach kończy się niepowodzeniem. Po dołączeniu maszyny wirtualnej do domeny zarządzanej te konta domeny muszą używać uwierzytelniania opartego na hasłach. Zaktualizuj konfigurację protokołu SSH, aby zezwolić na uwierzytelnianie oparte na hasłach w następujący sposób.

  1. Otwórz plik sshd_conf za pomocą edytora:

    sudo vi /etc/ssh/sshd_config

  2. Zaktualizuj wiersz PasswordAuthentication na tak:

    PasswordAuthentication yes

    Po zakończeniu zapisz i zamknij plik sshd_conf przy użyciu :wq polecenia edytora.

  3. Aby zastosować zmiany i zezwolić użytkownikom na logowanie się przy użyciu hasła, uruchom ponownie usługę SSH:

    sudo systemctl restart sshd

Udzielanie uprawnień sudo grupie "Administratorzy kontrolera domeny usługi AAD"

Aby przyznać członkom grupy AAD DC Administrators uprawnienia administracyjne na maszynie wirtualnej SLE, dodaj wpis do /etc/sudoers. Po dodaniu członkowie grupy AAD DC Administrators mogą używać sudo polecenia na maszynie wirtualnej SLE.

  1. Otwórz plik sudoers do edycji:

    sudo visudo

  2. Dodaj następujący wpis na końcu pliku /etc/sudoers . Grupa AAD DC Administrators zawiera spacje w nazwie, więc dołącz znak ucieczki ukośnika odwrotnego w nazwie grupy. Dodaj własną nazwę domeny, taką jak aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Po zakończeniu zapisz i zamknij edytor przy użyciu :wq polecenia edytora.

Logowanie się do maszyny wirtualnej przy użyciu konta domeny

Aby sprawdzić, czy maszyna wirtualna została pomyślnie przyłączona do domeny zarządzanej, uruchom nowe połączenie SSH przy użyciu konta użytkownika domeny. Upewnij się, że katalog główny został utworzony i że członkostwo w grupie z domeny jest stosowane.

  1. Utwórz nowe połączenie SSH z konsoli. Użyj konta domeny należącego do zarządzanej domeny za pomocą polecenia ssh -l, takiego jak contosoadmin@aaddscontoso.com, a następnie wprowadź adres swojej maszyny wirtualnej, na przykład linux-q2gr.aaddscontoso.com. Jeśli używasz usługi Azure Cloud Shell, użyj publicznego adresu IP maszyny wirtualnej, a nie wewnętrznej nazwy DNS.

    sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com

  2. Po pomyślnym nawiązaniu połączenia z maszyną wirtualną sprawdź, czy katalog macierzysty został poprawnie zainicjowany:

    sudo pwd

    Powinieneś znajdować się w katalogu /home wraz z własnym katalogiem, który odpowiada twojemu kontu użytkownika.

  3. Teraz sprawdź, czy członkostwa w grupach są prawidłowo rozwiązywane:

    sudo id

    Powinny zostać wyświetlone członkostwa w grupach z domeny zarządzanej.

  4. Jeśli zalogowałeś się do maszyny wirtualnej jako członek grupy AAD DC Administrators, sprawdź, czy możesz poprawnie użyć polecenia sudo.

    sudo zypper update

Następne kroki

Jeśli masz problemy z połączeniem maszyny wirtualnej z domeną zarządzaną lub logowaniem się przy użyciu konta domeny, zobacz Rozwiązywanie problemów z przyłączaniem do domeny.