Připojení virtuálního počítače s Ubuntu Linuxem ke spravované doméně Microsoft Entra Domain Services

Pokud chcete uživatelům umožnit přihlášení k virtuálním počítačům v Azure pomocí jedné sady přihlašovacích údajů, můžete virtuální počítače připojit ke spravované doméně Microsoft Entra Domain Services. Když připojíte virtuální počítač ke spravované doméně služby Domain Services, dají se k přihlášení a správě serverů použít uživatelské účty a přihlašovací údaje z domény. Členství ve skupinách ze spravované domény se také použije, abyste mohli řídit přístup k souborům nebo službám na virtuálním počítači.

V tomto článku se dozvíte, jak se připojit k virtuálnímu počítači s Ubuntu Linuxem ke spravované doméně.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořit tenanta Microsoft Entra nebo přidružit předplatné Azure k vašemu účtu.
• Doména spravovaná službou Microsoft Entra Domain Services je aktivována a nakonfigurována ve vašem tenantovi Microsoft Entra.
  • V případě potřeby první kurz vytvoří a nakonfiguruje spravovanou doménu Microsoft Entra Domain Services.
• Uživatelský účet, který je součástí spravované domény. Ujistěte se, že atribut SAMAccountName pro uživatele není automaticky vygenerován. Pokud má více uživatelských účtů v tenantovi Microsoft Entra stejný atribut mailNickname, atribut SAMAccountName pro každého uživatele se automaticky vygeneruje. Další informace naleznete v tématu Způsob synchronizace objektů a přihlašovacích údajů ve spravované doméně služby Microsoft Entra Domain Services.
• Jedinečné názvy virtuálních počítačů s Linuxem, které mají maximálně 15 znaků, aby nedocházelo ke zkrácení názvů, které by mohly způsobit konflikty ve službě Active Directory.

Vytvoření a připojení k virtuálnímu počítači s Ubuntu Linuxem

Pokud máte v Azure existující virtuální počítač s Ubuntu Linuxem, připojte se k němu pomocí SSH a pak pokračujte dalším krokem a začněte konfigurovat virtuální počítač.

Pokud potřebujete vytvořit virtuální počítač s Ubuntu Linuxem nebo chcete vytvořit testovací virtuální počítač pro použití s tímto článkem, můžete použít jednu z následujících metod:

• Administrátorské centrum Microsoft Entra
• Azure CLI
• Azure PowerShell

Při vytváření virtuálního počítače věnujte pozornost nastavení virtuální sítě, abyste měli jistotu, že virtuální počítač může komunikovat se spravovanou doménou:

• Nasaďte virtuální počítač do stejné nebo partnerské virtuální sítě, ve které jste povolili službu Microsoft Entra Domain Services.
• Nasaďte virtuální počítač do jiné podsítě, než je spravovaná doména Microsoft Entra Domain Services.

Po nasazení virtuálního počítače se pomocí SSH připojte k virtuálnímu počítači podle pokynů.

Nakonfigurujte soubor hosts

Pokud chcete zajistit, aby byl název hostitele virtuálního počítače správně nakonfigurovaný pro spravovanou doménu, upravte /etc/hosts soubor a nastavte název hostitele:

sudo vi /etc/hosts

V souboru hostitelů aktualizujte adresu localhost. V následujícím příkladu:

• aaddscontoso.com je název domény DNS vaší spravované domény.
• ubuntu je název hostitele virtuálního počítače s Ubuntu, ke kterému se připojujete ke spravované doméně.

Aktualizujte tyto názvy vlastními hodnotami:

127.0.0.1 ubuntu.aaddscontoso.com ubuntu

Po dokončení uložte a ukončete hostitele souboru pomocí příkazu :wq editoru.

Instalace požadovaných balíčků

Virtuální počítač potřebuje k připojení virtuálního počítače ke spravované doméně několik dalších balíčků. Pokud chcete tyto balíčky nainstalovat a nakonfigurovat, aktualizujte a nainstalujte nástroje pro připojení k doméně pomocí apt-get

Během instalace protokolu Kerberos instalační proces balíčku krb5-user vyzve k zadání názvu domény ve VŠECH VELKÝCH PÍSMENECH. Pokud je například název spravované domény aaddscontoso.com, zadejte AADDSCONTOSO.COM jako sféru. Instalace zapíše oddíly [realm] a [domain_realm] do konfiguračního souboru /etc/krb5. conf. Ujistěte se, že jste zadali sféru velkými písmeny:

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Konfigurace protokolu NTP (Network Time Protocol)

Aby komunikace s doménou fungovala správně, musí se datum a čas virtuálního počítače s Ubuntu synchronizovat se spravovanou doménou. Přidejte název hostitele NTP spravované domény do souboru /etc/ntp.conf.

1. Otevřete soubor ntp.conf editorem:

   sudo vi /etc/ntp.conf
   

2. V souboru ntp.conf vytvořte řádek pro přidání názvu DNS spravované domény. V následujícím příkladu se přidá položka pro aaddscontoso.com. Použijte vlastní název DNS:

   server aaddscontoso.com
   

   Po dokončení uložte a ukončete soubor ntp.conf pomocí :wq příkazu editoru.

3. Abyste měli jistotu, že je virtuální počítač synchronizovaný se spravovanou doménou, je potřeba provést následující kroky:

   • Zastavení serveru NTP
   • Aktualizace data a času ze spravované domény
   • Spuštění služby NTP

   Spuštěním následujících příkazů proveďte tyto kroky. Použijte vlastní název DNS s příkazem ntpdate:

   sudo systemctl stop ntp
   sudo ntpdate aaddscontoso.com
   sudo systemctl start ntp
   

Připojení virtuálního počítače ke spravované doméně

Teď, když jsou na virtuálním počítači nainstalované požadované balíčky a je nakonfigurovaný protokol NTP, připojte virtuální počítač ke spravované doméně.

1. Ke zjištění spravované domény použijte příkaz realm discover. Následující příklad objeví doménu AADDSCONTOSO.COM. Zadejte svůj vlastní spravovaný název domény VELKÝMI PÍSMENY:

   sudo realm discover AADDSCONTOSO.COM
   

   Pokud příkaz realm discover nemůže najít spravovanou doménu, projděte si následující kroky pro řešení potíží:

   • Ujistěte se, že je doména dostupná z virtuálního počítače. Zkuste ping aaddscontoso.com zjistit, jestli se vrátí kladná odpověď.
   • Zkontrolujte, jestli je virtuální počítač nasazený do stejné nebo partnerské virtuální sítě, ve které je spravovaná doména dostupná.
   • Ověřte, že nastavení serveru DNS pro virtuální síť bylo aktualizováno tak, aby odkazovalo na řadiče domény spravované domény.

2. Teď inicializujete Kerberos pomocí příkazu kinit. Zadejte uživatele, který je součástí spravované domény. V případě potřeby přidejte uživatelský účet do skupiny vMicrosoft Entra ID.

   Znovu je nutné zadat název spravované domény ve všech velkých písmenech. V následujícím příkladu se účet s názvem contosoadmin@aaddscontoso.com používá k inicializaci protokolu Kerberos. Zadejte vlastní uživatelský účet, který je součástí spravované domény:

   sudo kinit -V contosoadmin@AADDSCONTOSO.COM
   

3. Nakonec virtuální počítač připojte ke spravované doméně pomocí příkazu realm join. Použijte stejný uživatelský účet, který je součástí spravované domény, kterou jste zadali v předchozím příkazu kinit, například contosoadmin@AADDSCONTOSO.COM:

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/
   

Připojení virtuálního počítače ke spravované doméně chvíli trvá. Následující příklad výstupu ukazuje, že se virtuální počítač úspěšně připojil ke spravované doméně:

Successfully enrolled machine in realm

Pokud váš virtuální počítač nemůže úspěšně dokončit proces připojení k doméně, ujistěte se, že skupina zabezpečení sítě virtuálního počítače umožňuje odchozí provoz Kerberos na portu TCP + UDP 464 do podsítě virtuální sítě pro vaši spravovanou doménu.

Pokud se vám zobrazila chyba Nespecifikované selhání GSS. Podverze může poskytnout další informace (Server nebyl nalezen v databázi Kerberos), otevřete soubor /etc/krb5.conf a přidejte následující kód do [libdefaults] oddílu a zkuste to znovu:

rdns=false

Aktualizace konfigurace SSSD

Jedním z balíčků nainstalovaných v předchozím kroku byl balíček pro démon System Security Services (SSSD). Když se uživatel pokusí přihlásit k virtuálnímu počítači pomocí přihlašovacích údajů domény, služba SSSD předá požadavek poskytovateli ověřování. V tomto scénáři služba SSSD k ověření požadavku používá službu Domain Services.

1. Otevřete soubor sssd.conf editorem:

   sudo vi /etc/sssd/sssd.conf
   

2. Zakomentujte řádek v případě use_fully_qualified_names následujícím způsobem:

   # use_fully_qualified_names = True
   

   Po dokončení uložte a ukončete soubor sssd.conf pomocí příkazu :wq editoru.

3. Pokud chcete změnu použít, restartujte službu SSSD:

   sudo systemctl restart sssd
   

Konfigurace uživatelského účtu a nastavení skupiny

S virtuálním počítačem připojeným ke spravované doméně a nakonfigurovaným pro ověřování je k dispozici několik možností konfigurace uživatele. Mezi tyto změny konfigurace patří povolení ověřování na základě hesla a automatické vytváření domovských adresářů na místním virtuálním počítači, když se uživatelé domény poprvé přihlásí.

Povolit ověřování heslem pro SSH

Ve výchozím nastavení se uživatelé můžou k virtuálnímu počítači přihlásit jenom pomocí ověřování založeného na veřejném klíči SSH. Ověřování založené na heslech selže. Když připojíte virtuální počítač ke spravované doméně, musí tyto účty domény používat ověřování založené na heslech. Aktualizujte konfiguraci SSH tak, aby povolte ověřování založené na heslech následujícím způsobem.

Poznámka

Image na Ubuntu Marketplace obvykle mají několik konfiguračních možností nastavených ve složce /etc/ssh/sshd_config.d, včetně PasswordAuthentication v souboru 50-cloud-init.conf, takže nezapomeňte tento soubor aktualizovat, abyste se vyhnuli přepsání nastavení při použití následujících kroků.

1. Otevřete soubor sshd_conf v editoru:

   sudo vi /etc/ssh/sshd_config
   

2. Aktualizujte řádek nastavení pro PasswordAuthentication na ano:

   PasswordAuthentication yes
   

   Po dokončení uložte a ukončete soubor sshd_conf pomocí příkazu :wq editoru.

3. Pokud chcete použít změny a umožnit uživatelům přihlásit se pomocí hesla, restartujte službu SSH:

   sudo systemctl restart ssh
   

Konfigurace automatického vytváření domovského adresáře

Pokud chcete povolit automatické vytváření domovského adresáře při prvním přihlášení uživatele, proveďte následující kroky:

1. Otevřete soubor /etc/pam.d/common-session v editoru:

   sudo vi /etc/pam.d/common-session
   

2. Do tohoto souboru přidejte následující řádek pod řádek session optional pam_sss.so:

   session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
   

   Po dokončení uložte a ukončete soubor common-session pomocí příkazu :wq editoru.

Udělte skupině AAD DC Administrators oprávnění sudo

Pokud chcete členům AAD DC Administrators udělit oprávnění správce skupiny na virtuálním počítači s Ubuntu, přidáte položku do /etc/sudoers. Po přidání můžou členové skupiny AAD DC Administrators použít příkaz sudo na virtuálním počítači s Ubuntu.

1. Otevřete soubor sudoers pro úpravy:

   sudo visudo
   

2. Na konec /etc/sudoers souboru přidejte následující položku:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL
   

   Po dokončení uložte a ukončete editor pomocí příkazu Ctrl-X.

Přihlášení k virtuálnímu počítači pomocí účtu domény

Pokud chcete ověřit, že se virtuální počítač úspěšně připojil ke spravované doméně, spusťte nové připojení SSH pomocí uživatelského účtu domény. Ověřte, že byl vytvořen domovský adresář a že se použije členství ve skupině z domény.

1. Vytvořte nové připojení SSH z konzoly. Pomocí příkazu ssh -l použijte účet domény, který patří do spravované domény, například contosoadmin@aaddscontoso.com, a zadejte adresu virtuálního počítače, například ubuntu.aaddscontoso.com. Pokud používáte Azure Cloud Shell, použijte místo interního názvu DNS veřejnou IP adresu virtuálního počítače.

   sudo ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com
   

2. Po úspěšném připojení k virtuálnímu počítači ověřte, že se domovský adresář inicializoval správně:

   sudo pwd
   

   Měli byste být v adresáři /home s vlastním adresářem, který odpovídá uživatelskému účtu.

3. Teď zkontrolujte, jestli se členství ve skupinách správně vyřešilo:

   sudo id
   

   Měli byste vidět členství ve skupině ze spravované domény.

4. Pokud jste se k virtuálnímu počítači přihlásili jako člen skupiny AAD DC Administrators, zkontrolujte, že můžete správně použít příkaz sudo:

   sudo apt-get update
   

Další kroky

Pokud máte problémy s připojením virtuálního počítače ke spravované doméně nebo přihlášením pomocí účtu domény, přečtěte si téma Řešení potíží s připojením k doméně.