Freigeben über

Einen Red Hat Enterprise Linux-virtuellen Computer in eine von Microsoft Entra Domain Services verwaltete Domäne aufnehmen

  • Artikel

Um Benutzern die Anmeldung bei virtuellen Maschinen (VMs) in Azure mit einem einzigen Satz von Anmeldeinformationen zu ermöglichen, können Sie virtuelle Maschinen mit einer von Microsoft Entra Domain Services verwalteten Domäne verbinden. Wenn Sie einer VM mit einer verwalteten Domäne der Domänendienste beitreten, können Benutzerkonten und Anmeldeinformationen aus der Domäne zum Anmelden und Verwalten von Servern verwendet werden. Gruppenmitgliedschaften aus der verwalteten Domäne werden ebenfalls angewendet, damit Sie den Zugriff auf Dateien oder Dienste auf dem virtuellen Computer steuern können.

In diesem Artikel erfahren Sie, wie Sie einer RHEL-VM (Red Hat Enterprise Linux) zu einer verwalteten Domäne beitreten.

Voraussetzungen

Um dieses Lernprogramm abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:

  • Ein aktives Azure-Abonnement.
    • Wenn Sie nicht über ein Azure-Abonnement verfügen, ein Kontoerstellen.
  • Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
  • Eine verwaltete Domäne von Microsoft Entra Domain Services ist in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert.
  • Ein Benutzerkonto, das Teil der verwalteten Domäne ist.
  • Eindeutige Linux-VM-Namen, die maximal 15 Zeichen umfassen, um abgeschnittene Namen zu vermeiden, die Konflikte in Active Directory verursachen können.

Erstellen und Verbinden mit einer RHEL Linux-VM

Wenn Sie über eine vorhandene RHEL Linux-VM in Azure verfügen, stellen Sie eine Verbindung mit ssh her, und fahren Sie mit dem nächsten Schritt fort, um mit der Konfiguration der VMbeginnen.

Wenn Sie eine RHEL Linux-VM erstellen oder einen virtuellen Testcomputer für die Verwendung mit diesem Artikel erstellen möchten, können Sie eine der folgenden Methoden verwenden:

Achten Sie beim Erstellen des virtuellen Computers auf die Einstellungen des virtuellen Netzwerks, um sicherzustellen, dass der virtuelle Computer mit der verwalteten Domäne kommunizieren kann:

  • Stellen Sie den virtuellen Computer in demselben oder einem peered-virtuellen Netzwerk bereit, in dem Sie Microsoft Entra Domain Services aktiviert haben.
  • Stellen Sie den virtuellen Computer in einem anderen Subnetz als Ihre von Microsoft Entra Domain Services verwaltete Domäne bereit.

Nachdem der virtuelle Computer bereitgestellt wurde, führen Sie die Schritte aus, um mithilfe von SSH eine Verbindung mit dem virtuellen Computer herzustellen.

Die Hostdatei konfigurieren

Um sicherzustellen, dass der VM-Hostname für die verwaltete Domäne ordnungsgemäß konfiguriert ist, bearbeiten Sie die /etc/hosts Datei, und legen Sie den Hostnamen fest:

sudo vi /etc/hosts

Aktualisieren Sie die Adresse localhost- in der -Hosts-Datei. Im folgenden Beispiel:

  • aaddscontoso.com ist der DNS-Domänenname Ihrer verwalteten Domäne.
  • rhel ist der Hostname Ihrer RHEL-VM, die Sie der verwalteten Domäne hinzufügen.

Aktualisieren Sie diese Namen mit Ihren eigenen Werten:

127.0.0.1 rhel rhel.aaddscontoso.com

Wenn Sie fertig sind, speichern und beenden Sie die Hosts Datei mithilfe des :wq Befehls des Editors.

Wichtig

Bitte berücksichtigen Sie, dass Red Hat Enterprise Linux 6.X und Oracle Linux 6.x bereits das Ende ihres Lebenszyklus erreicht haben. RHEL 6.10 verfügt über ELS-Support, der im Juni 2024 endete.

Installieren erforderlicher Pakete

Die VM benötigt einige zusätzliche Pakete, um der verwalteten Domäne beizutreten. Um diese Pakete zu installieren und zu konfigurieren, aktualisieren und installieren Sie die Tools für den Domänenbeitritt mithilfe von yum.

sudo yum install adcli sssd authconfig krb5-workstation

Hinzufügen eines virtuellen Computers zur verwalteten Domäne

Nachdem die erforderlichen Pakete auf dem virtuellen Computer installiert sind, verbinden Sie den virtuellen Computer mit der verwalteten Domäne.

  1. Verwenden Sie den Befehl adcli info, um die verwaltete Domäne zu ermitteln. Im folgenden Beispiel wird der Bereich ADDDSCONTOSO.COMermittelt. Geben Sie Ihren eigenen verwalteten Domänennamen in GROßBUCHSTABEN an:

    sudo adcli info aaddscontoso.com

    Wenn der Befehl adcli info Ihre verwaltete Domäne nicht finden kann, lesen Sie die folgenden Schritte zur Problembehandlung:

    • Stellen Sie sicher, dass die Domäne von der VM aus erreichbar ist. Versuchen Sie ping aaddscontoso.com, um zu prüfen, ob eine positive Antwort gegeben wird.
    • Überprüfen Sie, ob der virtuelle Computer auf demselben oder einem peered-virtuellen Netzwerk bereitgestellt wird, in dem die verwaltete Domäne verfügbar ist.
    • Vergewissern Sie sich, dass die DNS-Servereinstellungen für das virtuelle Netzwerk aktualisiert werden, um auf die Domänencontroller der verwalteten Domäne zu verweisen.

  2. Treten Sie zunächst mit dem Befehl adcli join der Domäne bei. Mit diesem Befehl wird auch die Schlüsseltabelle zum Authentifizieren des Rechners erstellt. Verwenden Sie ein Benutzerkonto, das Teil der verwalteten Domäne ist.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Konfigurieren Sie nun die /ect/krb5.conf, und erstellen Sie die /etc/sssd/sssd.conf Dateien, um die aaddscontoso.com Active Directory-Domäne zu verwenden. Stellen Sie sicher, dass AADDSCONTOSO.COM durch Ihren eigenen Domänennamen ersetzt wird:

    Öffnen Sie die /etc/krb5.conf-Datei mit einem Editor:

    sudo vi /etc/krb5.conf

    Aktualisieren Sie die krb5.conf-Datei so, dass sie dem folgenden Beispiel entspricht:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Erstellen Sie die /etc/sssd/sssd.conf-Datei:

    sudo vi /etc/sssd/sssd.conf

    Aktualisieren Sie die sssd.conf-Datei so, dass sie dem folgenden Beispiel entspricht:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Stellen Sie sicher, dass die /etc/sssd/sssd.conf-Berechtigungen auf 600 gesetzt sind und dem Root-Benutzer gehören.

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Verwenden Sie authconfig, um den virtuellen Computer über die AD Linux-Integration anzuweisen:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Starten und aktivieren Sie den sssd-Dienst:

    sudo service sssd start
sudo chkconfig sssd on

Wenn Ihre VM den Prozess für den Domänenbeitritt nicht erfolgreich abschließen kann, stellen Sie sicher, dass die Netzwerksicherheitsgruppe des virtuellen Computers ausgehenden Kerberos-Datenverkehr auf TCP + UDP-Port 464 zum virtuellen Netzwerk-Subnetz für Ihre verwaltete Domäne zulässt.

Überprüfen Sie nun, ob Sie Benutzer-AD-Informationen mithilfe von getent abfragen können.

sudo getent passwd contosoadmin

Kennwortauthentifizierung für SSH zulassen

Standardmäßig können sich Benutzer nur mit der öffentlichen schlüsselbasierten SSH-Authentifizierung bei einem virtuellen Computer anmelden. Kennwortbasierte Authentifizierung schlägt fehl. Wenn Sie der VM einer verwalteten Domäne beitreten, müssen diese Domänenkonten kennwortbasierte Authentifizierung verwenden. Aktualisieren Sie die SSH-Konfiguration, um die kennwortbasierte Authentifizierung wie folgt zuzulassen.

  1. Öffnen Sie die sshd_conf-Datei mit einem Editor:

    sudo vi /etc/ssh/sshd_config

  2. Aktualisieren Sie die Zeile für PasswordAuthentication auf ja:

    PasswordAuthentication yes

    Wenn Sie fertig sind, speichern und beenden Sie die sshd_conf Datei mithilfe des :wq Befehls des Editors.

  3. Um die Änderungen anzuwenden und Benutzern die Anmeldung mit einem Kennwort zu ermöglichen, starten Sie den SSH-Dienst für Ihre RHEL-Distroversion neu:

    sudo service sshd restart

Gewähren von Sudo-Berechtigungen für die Gruppe "AAD DC Administrators"

Um Mitgliedern der AAD DC-Administratoren Gruppenadministratorberechtigungen auf der RHEL-VM zu gewähren, fügen Sie einen Eintrag zur /etc/sudoershinzu. Nach dem Hinzufügen können Mitglieder der AAD DC-Administratoren Gruppe den Befehl sudo auf der RHEL-VM verwenden.

  1. Öffnen Sie die sudoers Datei zum Bearbeiten:

    sudo visudo

  2. Fügen Sie den folgenden Eintrag am Ende der /etc/sudoers Datei hinzu. Die AAD DC-Administratoren Gruppe enthält Leerzeichen im Namen. Schließen Sie daher das umgekehrte Schrägstrich-Escapezeichen in den Gruppennamen ein. Fügen Sie Ihren eigenen Domänennamen hinzu, z. B. aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Wenn Sie fertig sind, speichern und beenden Sie den Editor mithilfe des :wq Befehls des Editors.

Melden Sie sich mit einem Domänenkonto beim virtuellen Computer an.

Um zu überprüfen, ob der virtuelle Computer erfolgreich der verwalteten Domäne beigetreten ist, starten Sie eine neue SSH-Verbindung mit einem Domänenbenutzerkonto. Vergewissern Sie sich, dass ein Startverzeichnis erstellt wird und dass die Gruppenmitgliedschaft aus der Domäne angewendet wird.

  1. Erstellen Sie eine neue SSH-Verbindung über Die Konsole. Verwenden Sie ein Domänenkonto, das zur verwalteten Domäne gehört, mithilfe des Befehls ssh -l, z. B. contosoadmin@aaddscontoso.com, und geben Sie dann die Adresse Ihrer VM ein, z. B. rhel.aaddscontoso.com. Wenn Sie die Azure Cloud Shell verwenden, verwenden Sie die öffentliche IP-Adresse des virtuellen Computers anstelle des internen DNS-Namens.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Wenn Sie erfolgreich eine Verbindung mit dem virtuellen Computer hergestellt haben, überprüfen Sie, ob das Startverzeichnis ordnungsgemäß initialisiert wurde:

    pwd

    Sie sollten sich im Verzeichnis /home mit Ihrem eigenen Verzeichnis befinden, das dem Benutzerkonto entspricht.

  3. Überprüfen Sie nun, ob die Gruppenmitgliedschaften ordnungsgemäß aufgelöst werden:

    id

    Ihre Gruppenmitgliedschaften sollten aus der verwalteten Domäne angezeigt werden.

  4. Wenn Sie sich als Mitglied der AAD DC-Administratoren Gruppe bei der VM angemeldet haben, überprüfen Sie, ob Sie den Befehl sudo ordnungsgemäß verwenden können:

    sudo yum update

Nächste Schritte

Wenn Sie Probleme beim Herstellen einer Verbindung zwischen der VM und der verwalteten Domäne haben oder sich mit einem Domänenkonto anmelden, lesen Sie Problembehandlung bei Domänenbeitrittsproblemen.