Freigeben über

Einen virtuellen Ubuntu Linux-Computer in eine verwaltete Domäne von Microsoft Entra Domain Services einbinden.

  • Artikel

Um Benutzern die Anmeldung bei virtuellen Computern (VMs) in Azure mit einem einzigen Satz von Anmeldedaten zu ermöglichen, können Sie die VMs an eine von Microsoft Entra Domain Services verwaltete Domäne anschließen. Wenn Sie einer VM mit einer verwalteten Domäne der Domänendienste beitreten, können Benutzerkonten und Anmeldeinformationen aus der Domäne zum Anmelden und Verwalten von Servern verwendet werden. Gruppenmitgliedschaften aus der verwalteten Domäne werden ebenfalls angewendet, damit Sie den Zugriff auf Dateien oder Dienste auf dem virtuellen Computer steuern können.

In diesem Artikel erfahren Sie, wie eine Ubuntu-Linux-VM zu einer verwalteten Domäne hinzugefügt werden kann.

Voraussetzungen

Um dieses Lernprogramm abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:

  • Ein aktives Azure-Abonnement.
  • Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
  • Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist.
    • Falls erforderlich, erstellt und konfiguriert das erste Tutorial eine verwaltete Domänevon Microsoft Entra Domain Services.
  • Ein Benutzerkonto, das Teil der verwalteten Domäne ist. Stellen Sie sicher, dass das SAMAccountName-Attribut für den Benutzer nicht automatisch generiert wird. Wenn mehrere Benutzerkonten im Microsoft Entra-Mandanten über dasselbe Attribut „mailNickname“ verfügen, wird das Attribut „SAMAccountName“ für jeden Benutzer automatisch generiert. Weitere Informationen finden Sie unter Synchronisieren von Objekten und Anmeldeinformationen in einer von Microsoft Entra Domain Services verwalteten Domäne.
  • Eindeutige Linux-VM-Namen, die maximal 15 Zeichen umfassen, um abgekürzte Namen zu vermeiden, die in Active Directory Konflikte verursachen können.

Erstellen einer Ubuntu Linux-VM und Herstellen einer Verbindung

Wenn Sie über eine vorhandene Ubuntu Linux-VM in Azure verfügen, stellen Sie über SSH eine Verbindung mit dieser VM her. Dann fahren Sie mit dem nächsten Schritt fort und beginnen mit der Konfiguration der VM.

Wenn Sie eine Ubuntu Linux-VM erstellen oder einen virtuellen Testcomputer für die Verwendung mit diesem Artikel erstellen möchten, können Sie eine der folgenden Methoden verwenden:

Achten Sie beim Erstellen des virtuellen Computers auf die Einstellungen des virtuellen Netzwerks, um sicherzustellen, dass der virtuelle Computer mit der verwalteten Domäne kommunizieren kann:

  • Stellen Sie die virtuelle Maschine in dem gleichen oder einem verknüpften virtuellen Netzwerk bereit, in dem Sie Microsoft Entra Domain Services aktiviert haben.
  • Stellen Sie den virtuellen Computer in einem anderen Subnetz als Ihre von Microsoft Entra Domain Services verwaltete Domäne bereit.

Nachdem der virtuelle Computer bereitgestellt wurde, führen Sie die Schritte aus, um mithilfe von SSH eine Verbindung mit dem virtuellen Computer herzustellen.

Konfigurieren der Datei „hosts“

Um sicherzustellen, dass der VM-Hostname für die verwaltete Domäne ordnungsgemäß konfiguriert ist, bearbeiten Sie die /etc/hosts Datei, und legen Sie den Hostnamen fest:

sudo vi /etc/hosts

Aktualisieren Sie in der Datei hosts die Adresse localhost. Siehe folgendes Beispiel:

  • aaddscontoso.com ist der DNS-Domänenname Ihrer verwalteten Domäne.
  • Ubuntu ist der Hostname Ihrer Ubuntu-VM, die Sie in die verwaltete Domäne einfügen.

Aktualisieren Sie diese Namen mit Ihren eigenen Werten:

127.0.0.1 ubuntu.aaddscontoso.com ubuntu

Anschließend speichern und beenden Sie die Datei hosts mit dem Befehl :wq im Editor.

Erforderliche Pakete installieren

Der virtuelle Computer benötigt einige zusätzliche Pakete, um die VM mit der verwalteten Domäne zu verbinden. Zum Installieren und Konfigurieren dieser Pakete aktualisieren und installieren Sie die Tools zum Einbinden in eine Domäne mit apt-get

Während der Kerberos-Installation werden Sie vom Paket krb5-user aufgefordert, den Bereichsnamen in Großbuchstaben einzugeben. Wenn beispielsweise der Name Ihrer verwalteten Domäne aaddscontoso.comist, geben Sie AADDSCONTOSO.COM als Bereich ein. Die Installation schreibt die Abschnitte [realm] und [domain_realm] in die Konfigurationsdatei /etc/krb5.conf. Stellen Sie sicher, dass Sie den Bereich in Großbuchstaben angeben:

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Konfigurieren des Netzwerkzeitprotokolls (NTP)

Damit die Domänenkommunikation ordnungsgemäß funktioniert, muss das Datum und die Uhrzeit Ihrer Ubuntu-VM mit der verwalteten Domäne synchronisiert werden. Fügen Sie den NTP-Hostnamen Ihrer verwalteten Domäne zur Datei /etc/ntp.conf hinzu.

  1. Öffnen Sie die datei ntp.conf mit einem Editor:

    sudo vi /etc/ntp.conf

  2. Erstellen Sie in der Datei ntp.conf eine Zeile, um den DNS-Namen Ihrer verwalteten Domäne hinzuzufügen. Im folgenden Beispiel wird ein Eintrag für aaddscontoso.com hinzugefügt. Verwenden Sie Ihren eigenen DNS-Namen:

    server aaddscontoso.com

    Wenn Sie fertig sind, speichern und beenden Sie die ntp.conf Datei mithilfe des :wq Befehls des Editors.

  3. Um sicherzustellen, dass der virtuelle Computer mit der verwalteten Domäne synchronisiert wird, sind die folgenden Schritte erforderlich:

    • Beenden des NTP-Servers
    • Aktualisieren Sie Datum und Uhrzeit der verwalteten Domäne
    • Starten des NTP-Diensts

    Führen Sie die folgenden Befehle aus, um diese Schritte auszuführen. Verwenden Sie Ihren eigenen DNS-Namen mit dem Befehl ntpdate:

    sudo systemctl stop ntp
sudo ntpdate aaddscontoso.com
sudo systemctl start ntp

Hinzufügen eines virtuellen Computers zur verwalteten Domäne

Nachdem die erforderlichen Pakete auf dem virtuellen Computer installiert sind und NTP konfiguriert ist, verbinden Sie den virtuellen Computer mit der verwalteten Domäne.

  1. Verwenden Sie den Befehl realm discover, um die verwaltete Domäne zu ermitteln. Im folgenden Beispiel wird der Bereich AADDSCONTOSO.COM erkannt. Geben Sie den Namen Ihrer eigenen verwalteten Domäne in GROSSBUCHSTABEN an:

    sudo realm discover AADDSCONTOSO.COM

    Wenn der Befehl realm discover Ihre verwaltete Domäne nicht finden kann, lesen Sie die folgenden Schritte zur Problembehandlung:

    • Stellen Sie sicher, dass die Domäne von der VM aus erreichbar ist. Versuchen Sie, ping aaddscontoso.com auszuführen, um zu sehen, ob eine positive Antwort zurückgegeben wird.
    • Überprüfen Sie, ob der virtuelle Computer auf demselben oder einem peered-virtuellen Netzwerk bereitgestellt wird, in dem die verwaltete Domäne verfügbar ist.
    • Vergewissern Sie sich, dass die DNS-Servereinstellungen für das virtuelle Netzwerk aktualisiert wurden, um auf die Domänencontroller der verwalteten Domäne zu verweisen.

  2. Initialisieren Sie Jetzt Kerberos mit dem Befehl kinit. Geben Sie einen Benutzer an, der Teil der verwalteten Domäne ist. Fügen Sie einer Gruppe ein Benutzerkonto in Microsoft Entra ID hinzu, sofern erforderlich.

    Auch hier muss der Name der verwalteten Domäne in GROSSBUCHSTABEN eingegeben werden. Im folgenden Beispiel wird das Konto namens contosoadmin@aaddscontoso.com verwendet, um Kerberos zu initialisieren. Geben Sie Ihr eigenes Benutzerkonto ein, das Teil der verwalteten Domäne ist:

    sudo kinit -V contosoadmin@AADDSCONTOSO.COM

  3. Fügen Sie schließlich den virtuellen Computer mithilfe des Befehls realm join zur verwalteten Domäne bei. Verwenden Sie dasselbe Benutzerkonto, das Teil der verwalteten Domäne ist, die Sie im vorherigen kinit-Befehl angegeben haben, z. B. contosoadmin@AADDSCONTOSO.COM:

    sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/

Es dauert ein paar Augenblicke, um die VM in die verwaltete Domäne einzubinden. Die folgende Beispielausgabe zeigt, dass der virtuelle Computer erfolgreich der verwalteten Domäne beigetreten ist:

Successfully enrolled machine in realm

Wenn die Einbindung in die Domäne für die VM nicht erfolgreich abgeschlossen werden kann, stellen Sie sicher, dass die Netzwerksicherheitsgruppe der VM ausgehenden Kerberos-Datenverkehr über TCP und UDP-Port 464 an das Subnetz des virtuellen Netzwerks für Ihre verwaltete Domäne zulässt.

Wenn Sie die Fehlermeldung Nicht angegebener GSS-Fehler. Untergeordneter Code kann weitere Informationen enthalten (Server nicht in der Kerberos-Datenbank gefunden) erhalten haben, öffnen Sie die Datei /etc/krb5.conf, fügen Sie den folgenden Code im Abschnitt [libdefaults] hinzu, und versuchen Sie es noch mal:

rdns=false

Aktualisieren Sie die SSSD-Konfiguration

Eines der Pakete, die in einem vorherigen Schritt installiert wurden, war für den System Security Services Daemon (SSSD). Wenn ein Benutzer versucht, sich mit Domänenanmeldeinformationen bei einem virtuellen Computer anzumelden, leitet SSSD die Anforderung an einen Authentifizierungsanbieter weiter. In diesem Szenario verwendet SSSD Domänendienste, um die Anforderung zu authentifizieren.

  1. Öffnen Sie die Datei sssd.conf mit einem Editor:

    sudo vi /etc/sssd/sssd.conf

  2. Kommentieren Sie die Zeile für use_fully_qualified_names folgendermaßen aus:

    # use_fully_qualified_names = True

    Wenn Sie fertig sind, speichern und beenden Sie die sssd.conf Datei mithilfe des :wq Befehls des Editors.

  3. Um die Änderung anzuwenden, starten Sie den SSSD-Dienst neu:

    sudo systemctl restart sssd

Konfigurieren von Benutzerkonto- und Gruppeneinstellungen

Nachdem die VM in die verwaltete Domäne eingebunden und für die Authentifizierung konfiguriert wurde, müssen einige Benutzerkonfigurationen durchgeführt werden. Diese Konfigurationsänderungen umfassen das Zulassen der kennwortbasierten Authentifizierung und das automatische Erstellen von Heimverzeichnissen auf der lokalen VM, wenn sich Domänenbenutzer zum ersten Mal anmelden.

Kennwortauthentifizierung für SSH zulassen

Standardmäßig können sich Benutzer nur mit der öffentlichen schlüsselbasierten SSH-Authentifizierung bei einem virtuellen Computer anmelden. Kennwortbasierte Authentifizierung schlägt fehl. Wenn Sie die VM einer verwalteten Domäne hinzufügen, müssen die Domänenkonten die kennwortbasierte Authentifizierung verwenden. Aktualisieren Sie die SSH-Konfiguration, um die kennwortbasierte Authentifizierung wie folgt zuzulassen.

Anmerkung

Ubuntu Marketplace-Abbildungen verfügen in der Regel über einige Konfigurationsoptionen, die unter "/etc/ssh/sshd_config.d" festgelegt sind, einschließlich PasswordAuthentication- in der Datei 50-cloud-init.conf. , stellen Sie daher sicher, dass Sie diese Datei auch aktualisieren, um zu vermeiden, dass die Datei mit den nachstehenden Schritten überschrieben wird.

  1. Öffnen Sie die sshd_conf-Datei mit einem Editor:

    sudo vi /etc/ssh/sshd_config

  2. Aktualisieren Sie die Zeile für PasswordAuthentication in yes:

    PasswordAuthentication yes

    Anschließend speichern und beenden Sie die Datei sshd_conf mit dem Befehl :wq im Editor.

  3. Um die Änderungen anzuwenden und Benutzern die Anmeldung mit einem Kennwort zu ermöglichen, starten Sie den SSH-Dienst neu:

    sudo systemctl restart ssh

Konfigurieren der automatischen Erstellung des Basisverzeichnisses

Führen Sie die folgenden Schritte aus, um die automatische Erstellung des Startverzeichnisses zu aktivieren, wenn sich ein Benutzer zum ersten Mal anmeldet:

  1. Öffnen Sie die /etc/pam.d/common-session-Datei in einem Editor:

    sudo vi /etc/pam.d/common-session

  2. Fügen Sie die folgende Zeile in dieser Datei unterhalb der Zeile session optional pam_sss.sohinzu:

    session required pam_mkhomedir.so skel=/etc/skel/ umask=0077

    Anschließend speichern und beenden Sie die Datei common-session mit dem Befehl :wq im Editor.

Der Gruppe "AAD DC Administrators" sudo-Rechte gewähren

Um Mitgliedern der Gruppe AAD DC Administrators Administratorrechte auf der Ubuntu-VM zu gewähren, fügen Sie einen Eintrag in die /etc/sudoershinzu. Nach dem Hinzufügen können Mitglieder der Gruppe AAD DC-Administratoren den Befehl sudo auf der Ubuntu-VM verwenden.

  1. Öffnen Sie die sudoers Datei, um sie zu bearbeiten:

    sudo visudo

  2. Fügen Sie den folgenden Eintrag am Ende der Datei /etc/sudoers hinzu:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL

    Wenn Sie fertig sind, speichern und beenden Sie den Editor mit dem Befehl Ctrl-X.

Melden Sie sich mit einem Domänenkonto beim virtuellen Computer an.

Um zu überprüfen, ob der virtuelle Computer erfolgreich mit der verwalteten Domäne verbunden wurde, starten Sie eine neue SSH-Verbindung mit einem Domänenbenutzerkonto. Vergewissern Sie sich, dass ein Basisverzeichnis erstellt wurde und die Gruppenmitgliedschaft aus der Domäne angewendet wird.

  1. Erstellen Sie eine neue SSH-Verbindung über Die Konsole. Verwenden Sie ein Domänenkonto, das zur verwalteten Domäne gehört, mithilfe des Befehls ssh -l, z. B. contosoadmin@aaddscontoso.com, und geben Sie dann die Adresse Ihrer VM ein, z. B. ubuntu.aaddscontoso.com. Wenn Sie die Azure Cloud Shell verwenden, verwenden Sie die öffentliche IP-Adresse des virtuellen Computers anstelle des internen DNS-Namens.

    sudo ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com

  2. Wenn Sie erfolgreich eine Verbindung mit dem virtuellen Computer hergestellt haben, überprüfen Sie, ob das Startverzeichnis ordnungsgemäß initialisiert wurde:

    sudo pwd

    Sie sollten sich im Verzeichnis /home mit Ihrem eigenen Verzeichnis befinden, das dem Benutzerkonto entspricht.

  3. Überprüfen Sie nun, ob die Gruppenmitgliedschaften ordnungsgemäß aufgelöst werden:

    sudo id

    Ihre Gruppenmitgliedschaften aus der verwalteten Domäne sollten angezeigt werden.

  4. Wenn Sie sich als Mitglied der AAD DC-Administratoren Gruppe bei der VM angemeldet haben, überprüfen Sie, ob Sie den Befehl sudo ordnungsgemäß verwenden können:

    sudo apt-get update

Nächste Schritte

Wenn beim Verbinden der VM mit der verwalteten Domäne oder bei der Anmeldung mit einem Domänenkonto Probleme auftreten, lesen Sie Behandeln von Problemen mit dem Einbinden in eine Domäne.