Compartilhar via

Ingressar uma máquina virtual Red Hat Enterprise Linux em um domínio gerenciado do Microsoft Entra Domain Services

  • Artigo

Para permitir que os usuários entrem em VMs (máquinas virtuais) no Azure usando um único conjunto de credenciais, você pode vincular VMs a um domínio gerenciado dos Serviços de Domínio Microsoft Entra. Quando você ingressa uma VM em um domínio gerenciado do Domain Services, contas de usuário e credenciais do domínio podem ser usadas para entrar e gerenciar servidores. Associações de grupo do domínio gerenciado também são aplicadas para permitir que você controle o acesso a arquivos ou serviços na VM.

Este artigo mostra como ingressar uma VM RHEL (Red Hat Enterprise Linux) em um domínio gerenciado.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

Criar e conectar-se a uma VM Linux RHEL

Se você tiver uma VM linux rhel existente no Azure, conecte-se a ela usando SSH e, em seguida, continue para a próxima etapa para começar a configurar a VM.

Se você precisar criar uma VM linux rhel ou quiser criar uma VM de teste para uso com este artigo, poderá usar um dos seguintes métodos:

Ao criar a VM, preste atenção nas configurações de rede virtual para garantir que a VM possa se comunicar com o domínio gerenciado:

  • Implante a VM na mesma rede virtual ou em uma rede emparelhada onde você habilitou o Microsoft Entra Domain Services.
  • Implante a VM em uma sub-rede diferente do domínio gerenciado do Microsoft Entra Domain Services.

Depois que a VM for implantada, siga as etapas para se conectar à VM usando SSH.

Configurar o arquivo de hosts

Para garantir que o nome do host da VM esteja configurado corretamente para o domínio gerenciado, edite o arquivo /etc/hosts e defina o nome do host:

sudo vi /etc/hosts

No arquivo hosts, atualize o endereço localhost. No exemplo a seguir:

  • aaddscontoso.com é o nome de domínio DNS do seu domínio gerenciado.
  • rhel é o nome do host da VM RHEL que você está conectando ao domínio gerenciado.

Atualize esses nomes com seus próprios valores:

127.0.0.1 rhel rhel.aaddscontoso.com

Quando terminar, salve e saia do arquivo de hosts usando o comando :wq do editor.

Importante

Considere que o Red Hat Enterprise Linux 6.X e o Oracle Linux 6.x já são EOL. O RHEL 6.10 está disponível de suporte do ELS, que encerrado em 06/2024.

Instalar pacotes necessários

A VM precisa de alguns pacotes adicionais para ingressar a VM no domínio gerenciado. Para instalar e configurar esses pacotes, atualize e instale as ferramentas para ingressar no domínio usando yum.

sudo yum install adcli sssd authconfig krb5-workstation

Ingressar a VM no domínio gerenciado

Agora que os pacotes necessários estão instalados na VM, ingresse a VM no domínio gerenciado.

  1. Use o comando adcli info para descobrir o domínio gerenciado. O exemplo a seguir detecta o realm ADDDSCONTOSO.COM. Especifique seu próprio nome de domínio gerenciado em ALL UPPERCASE:

    sudo adcli info aaddscontoso.com

    Se o comando adcli info não conseguir localizar seu domínio gerenciado, examine as seguintes etapas de solução de problemas:

    • Verifique se o domínio está acessível na VM. Tente ping aaddscontoso.com para ver se uma resposta positiva é retornada.
    • Verifique se a VM está implantada na mesma rede virtual ou emparelhada na qual o domínio gerenciado está disponível.
    • Confirme se as configurações do servidor DNS para a rede virtual são atualizadas para apontar para os controladores de domínio do domínio gerenciado.

  2. Primeiro, ingresse no domínio usando o comando adcli join. Esse comando também cria o keytab para autenticar o computador. Use uma conta de usuário que faça parte do domínio gerenciado.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Agora, configure o /ect/krb5.conf e crie os arquivos /etc/sssd/sssd.conf para usar o domínio aaddscontoso.com Active Directory. Verifique se AADDSCONTOSO.COM é substituído pelo seu próprio nome de domínio:

    Abra o arquivo /etc/krb5.conf com um editor:

    sudo vi /etc/krb5.conf

    Atualize o arquivo krb5.conf para corresponder ao seguinte exemplo:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Crie o arquivo /etc/sssd/sssd.conf:

    sudo vi /etc/sssd/sssd.conf

    Atualize o arquivo sssd.conf para corresponder ao seguinte exemplo:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Verifique se as permissões de /etc/sssd/sssd.conf são 600 e pertencem ao usuário raiz:

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Use authconfig para instruir a VM sobre a integração do AD Linux:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Inicie e habilite o serviço sssd:

    sudo service sssd start
sudo chkconfig sssd on

Se a VM não conseguir concluir com êxito o processo de ingresso no domínio, verifique se o grupo de segurança de rede da VM permite tráfego de Kerberos de saída na porta TCP + UDP 464 para a sub-rede da rede virtual do seu domínio gerenciado.

Agora, verifique se você pode consultar informações do AD do usuário usando getent

sudo getent passwd contosoadmin

Permitir autenticação de senha para SSH

Por padrão, os usuários só podem entrar em uma VM usando a autenticação baseada em chave pública SSH. Falha na autenticação baseada em senha. Quando você ingressa a VM em um domínio gerenciado, essas contas de domínio precisam usar a autenticação baseada em senha. Atualize a configuração SSH para permitir a autenticação baseada em senha da seguinte maneira.

  1. Abra o arquivo sshd_conf com um editor:

    sudo vi /etc/ssh/sshd_config

  2. Atualize a linha para "PasswordAuthentication" para "sim":

    PasswordAuthentication yes

    Quando terminar, salve e saia do arquivo sshd_conf usando o comando :wq do editor.

  3. Para aplicar as alterações e permitir que os usuários entrem usando uma senha, reinicie o serviço SSH para sua versão de distribuição do RHEL:

    sudo service sshd restart

Conceder ao grupo 'Administradores do AAD DC' privilégios de sudo

Para conceder privilégios administrativos na VM RHEL aos membros do grupo AAD DC Administrators, adicione uma entrada ao /etc/sudoers. Depois de adicionados, os membros do grupo de Administradores de DC do AAD podem usar o comando sudo na VM RHEL.

  1. Abra o arquivo sudoers para edição.

    sudo visudo

  2. Adicione a seguinte entrada ao final do arquivo /etc/sudoers. O grupo administradores de DC do AAD contém espaço em branco no nome, portanto, inclua o caractere de escape de barra invertida no nome do grupo. Adicione seu próprio nome de domínio, como aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Quando terminar, salve e saia do editor usando o comando :wq do editor.

Entrar na VM usando uma conta de domínio

Para verificar se a VM ingressou com êxito no domínio gerenciado, inicie uma nova conexão SSH usando uma conta de usuário de domínio. Confirme se um diretório base foi criado e se a associação de grupo do domínio é aplicada.

  1. Crie uma nova conexão SSH do console. Use uma conta de domínio que pertence ao domínio gerenciado usando o comando ssh -l, como contosoadmin@aaddscontoso.com e, em seguida, insira o endereço da VM, como rhel.aaddscontoso.com. Se você usar o Azure Cloud Shell, use o endereço IP público da VM em vez do nome DNS interno.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Quando você tiver se conectado com êxito à VM, verifique se o diretório base foi inicializado corretamente:

    pwd

    Você deve estar no diretório /home com seu próprio diretório que corresponda à conta de usuário.

  3. Agora, verifique se as associações de grupo estão sendo resolvidas corretamente:

    id

    Você deve ver suas associações de grupo do domínio gerenciado.

  4. Se você entrou na VM como membro do grupo administradores de DC do AAD, verifique se você pode usar corretamente o comando sudo:

    sudo yum update

Próximas etapas

Se você tiver problemas para conectar a VM ao domínio gerenciado ou entrar com uma conta de domínio, consulte Solucionar problemas de junção de domínio.