Partage via

Joindre une machine virtuelle Red Hat Enterprise Linux à un domaine managé Microsoft Entra Domain Services

  • Article

Pour permettre aux utilisateurs de se connecter à des machines virtuelles dans Azure à l’aide d’un seul ensemble d’informations d’identification, vous pouvez joindre des machines virtuelles à un domaine managé Microsoft Entra Domain Services. Lorsque vous joignez une machine virtuelle à un domaine managé Des services de domaine, les comptes d’utilisateur et les informations d’identification du domaine peuvent être utilisés pour se connecter et gérer des serveurs. Les appartenances de groupe à partir du domaine managé sont également appliquées pour vous permettre de contrôler l’accès aux fichiers ou services sur la machine virtuelle.

Cet article explique comment joindre une machine virtuelle Red Hat Enterprise Linux (RHEL) à un domaine managé.

Conditions préalables

Pour suivre ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

  • Un abonnement Azure actif.
  • Un client Microsoft Entra associé à votre abonnement, qu'il soit synchronisé avec un annuaire local ou un annuaire uniquement cloud.
  • Un domaine géré Microsoft Entra Domain Services activé et configuré dans votre client Microsoft Entra.
  • Un compte d’utilisateur qui fait partie du domaine managé.
  • Noms de machines virtuelles Linux uniques qui sont au maximum de 15 caractères pour éviter les noms tronqués susceptibles d’entraîner des conflits dans Active Directory.

Créer et se connecter à une machine virtuelle Linux RHEL

Si vous disposez d’une machine virtuelle RHEL Linux existante dans Azure, connectez-vous à l’aide de SSH, puis passez à l’étape suivante pour commencer à configurer la machine virtuelle.

Si vous devez créer une machine virtuelle Linux RHEL ou si vous souhaitez créer une machine virtuelle de test à utiliser avec cet article, vous pouvez utiliser l’une des méthodes suivantes :

Lorsque vous créez la machine virtuelle, faites attention aux paramètres du réseau virtuel pour vous assurer que la machine virtuelle peut communiquer avec le domaine managé :

  • Déployez la machine virtuelle dans le même réseau virtuel ou dans un réseau virtuel appairé où vous avez activé Microsoft Entra Domain Services.
  • Déployez la machine virtuelle dans un sous-réseau différent de celui de votre domaine managé Microsoft Entra Domain Services.

Une fois la machine virtuelle déployée, suivez les étapes pour vous connecter à la machine virtuelle à l’aide de SSH.

Configurer le fichier hosts

Pour vous assurer que le nom d’hôte de la machine virtuelle est correctement configuré pour le domaine managé, modifiez l'/etc/hosts fichier et définissez le nom d’hôte :

sudo vi /etc/hosts

Dans le fichier hôtes, mettez à jour l’adresse localhost. Dans l’exemple suivant :

  • aaddscontoso.com est le nom de domaine DNS de votre domaine managé.
  • rhel est le nom d’hôte de votre machine virtuelle RHEL que vous joignez au domaine managé.

Mettez à jour ces noms avec vos propres valeurs :

127.0.0.1 rhel rhel.aaddscontoso.com

Lorsque vous avez terminé, enregistrez et quittez le fichier des hôtes à l’aide de la commande :wq de l’éditeur.

Important

Gardez à l'esprit que Red Hat Enterprise Linux 6.X et Oracle Linux 6.x sont déjà en fin de vie. RHEL 6.10 a disponible support ELS, qui se terminera le 06/2024.

Installer les packages requis

La machine virtuelle a besoin de packages supplémentaires pour joindre la machine virtuelle au domaine managé. Pour installer et configurer ces packages, mettez à jour et installez les outils de jonction de domaine à l’aide de yum.

sudo yum install adcli sssd authconfig krb5-workstation

Joindre une machine virtuelle au domaine managé

Maintenant que les packages requis sont installés sur la machine virtuelle, joignez la machine virtuelle au domaine managé.

  1. Utilisez la commande adcli info pour découvrir le domaine managé. L’exemple suivant découvre le domaine ADDDSCONTOSO.COM. Spécifiez votre propre nom de domaine managé dans ALL UPPERCASE :

    sudo adcli info aaddscontoso.com

    Si la commande adcli info ne trouve pas votre domaine managé, passez en revue les étapes de dépannage suivantes :

    • Assurez-vous que le domaine est accessible à partir de la machine virtuelle. Essayez ping aaddscontoso.com pour voir si une réponse positive est retournée.
    • Vérifiez que la machine virtuelle est déployée sur le même réseau virtuel ou sur un réseau appairé, dans lequel le domaine managé est disponible.
    • Vérifiez que les paramètres du serveur DNS pour le réseau virtuel ont été mis à jour pour pointer vers les contrôleurs de domaine du domaine managé.

  2. Tout d’abord, joignez le domaine à l’aide de la commande adcli join, cette commande crée également le keytab pour authentifier l’ordinateur. Utilisez un compte d’utilisateur qui fait partie du domaine managé.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Configurez maintenant le /ect/krb5.conf et créez les fichiers /etc/sssd/sssd.conf pour utiliser le domaine Active Directory aaddscontoso.com. Assurez-vous que AADDSCONTOSO.COM est remplacé par votre propre nom de domaine :

    Ouvrez le fichier /etc/krb5.conf avec un éditeur :

    sudo vi /etc/krb5.conf

    Mettez à jour le fichier krb5.conf pour qu’il corresponde à l’exemple suivant :

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Créez le fichier /etc/sssd/sssd.conf :

    sudo vi /etc/sssd/sssd.conf

    Mettez à jour le fichier sssd.conf pour qu’il corresponde à l’exemple suivant :

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Vérifiez que les autorisations de /etc/sssd/sssd.conf sont 600 et sont détenues par l’utilisateur racine.

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Utilisez authconfig pour indiquer à la machine virtuelle l’intégration d’AD Linux :

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Démarrez et activez le service sssd :

    sudo service sssd start
sudo chkconfig sssd on

Si votre machine virtuelle ne parvient pas à terminer le processus de jonction de domaine, assurez-vous que le groupe de sécurité réseau de la machine virtuelle autorise le trafic Kerberos sortant sur le port TCP + UDP 464 vers le sous-réseau de réseau virtuel de votre domaine managé.

Vérifiez maintenant si vous pouvez interroger des informations AD utilisateur à l’aide de getent

sudo getent passwd contosoadmin

Autoriser l’authentification par mot de passe pour SSH

Par défaut, les utilisateurs peuvent uniquement se connecter à une machine virtuelle à l’aide de l’authentification basée sur des clés publiques SSH. L’authentification par mot de passe échoue. Lorsque vous joignez la machine virtuelle à un domaine managé, ces comptes de domaine doivent utiliser l’authentification par mot de passe. Mettez à jour la configuration SSH pour autoriser l’authentification basée sur mot de passe comme suit.

  1. Ouvrez le fichier sshd_conf avec un éditeur :

    sudo vi /etc/ssh/sshd_config

  2. Mettez à jour la ligne de PasswordAuthentication à oui:

    PasswordAuthentication yes

    Lorsque vous avez terminé, enregistrez et quittez le fichier sshd_conf à l’aide de la commande :wq de l’éditeur.

  3. Pour appliquer les modifications et permettre aux utilisateurs de se connecter à l’aide d’un mot de passe, redémarrez le service SSH pour votre version de distribution RHEL :

    sudo service sshd restart

Accorder les privilèges sudo au groupe « AAD DC Administrators »

Pour accorder aux membres du groupe Administrateurs AAD DC des privilèges d'administration sur la machine virtuelle RHEL, vous ajoutez une entrée au /etc/sudoers. Une fois ajoutés, les membres de l'administrateurs AAD DC groupe peuvent utiliser la commande sudo sur la machine virtuelle RHEL.

  1. Ouvrez le fichier sudoers pour modification :

    sudo visudo

  2. Ajoutez l’entrée suivante à la fin de fichier /etc/sudoers. L'administrateurs AAD DC groupe contient des espaces blancs dans le nom. Incluez donc le caractère d’échappement de la barre oblique inverse dans le nom du groupe. Ajoutez votre propre nom de domaine, tel que aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Lorsque vous avez terminé, enregistrez et quittez l’éditeur à l’aide de la commande :wq de l’éditeur.

Se connecter à la machine virtuelle à l’aide d’un compte de domaine

Pour vérifier que la machine virtuelle a été correctement jointe au domaine managé, démarrez une nouvelle connexion SSH à l’aide d’un compte d’utilisateur de domaine. Vérifiez qu’un répertoire de base a été créé et que l’appartenance au groupe à partir du domaine est appliquée.

  1. Créez une connexion SSH à partir de votre console. Utilisez un compte de domaine qui appartient au domaine managé à l’aide de la commande ssh -l, telle que contosoadmin@aaddscontoso.com, puis entrez l’adresse de votre machine virtuelle, telle que rhel.aaddscontoso.com. Si vous utilisez Azure Cloud Shell, utilisez l’adresse IP publique de la machine virtuelle plutôt que le nom DNS interne.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Une fois que vous avez correctement connecté à la machine virtuelle, vérifiez que le répertoire de base a été initialisé correctement :

    pwd

    Vous devez être dans le répertoire /home avec votre propre répertoire qui correspond au compte d’utilisateur.

  3. Vérifiez maintenant que les appartenances aux groupes sont correctement résolues :

    id

    Vous devriez voir votre appartenance aux groupes depuis le domaine géré.

  4. Si vous vous êtes connecté à la machine virtuelle en tant que membre du groupe administrateurs AAD DC, vérifiez que vous pouvez utiliser correctement la commande sudo :

    sudo yum update

Étapes suivantes

Si vous rencontrez des problèmes lors de la connexion de la machine virtuelle au domaine managé ou de la connexion avec un compte de domaine, consultez Résolution des problèmes de jonction de domaine.