Condividi tramite

Configurare il client VPN di Azure - Autenticazione di Microsoft Entra ID - Linux (anteprima)

  • Articolo

Questo articolo illustra come configurare il client VPN di Azure in un computer Linux (Ubuntu) per connettersi a una rete virtuale usando una VPN utente di rete WAN virtuale (da punto a sito) e l'autenticazione di Microsoft Entra ID.

I passaggi descritti in questo articolo si applicano all'autenticazione di Microsoft Entra ID usando l'app client VPN di Azure registrata da Microsoft con i valori di ID app e Destinatari associati. Questo articolo non si applica all'app client VPN di Azure precedente registrata manualmente per il tenant. Per altre informazioni, vedere VPN utente da punto a sito per l'autenticazione microsoft entra ID: app registrata da Microsoft.

Operazioni preliminari

Verificare che questo sia l'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da punto a sito (P2S) di Azure rete WAN virtuale. I passaggi variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.

Authentication method Tipo di tunnel Sistema operativo client Client VPN
Certificate IKEv2, SSTP Finestre Client VPN nativo
IKEv2 macOS Client VPN nativo
IKEv2 Linux strongSwan
OpenVPN Finestre Client VPN di Azure
Client OpenVPN versione 2.x
Client OpenVPN versione 3.x
OpenVPN macOS Client OpenVPN
OpenVPN iOS Client OpenVPN
OpenVPN Linux Client VPN di Azure
Client OpenVPN
Microsoft Entra ID OpenVPN Finestre Client VPN di Azure
OpenVPN macOS Client VPN di Azure
OpenVPN Linux Client VPN di Azure

Prerequisiti

Questo articolo presuppone che l'utente abbia già soddisfatto i prerequisiti seguenti:

  • È stata configurata una rete WAN virtuale in base alla procedura descritta nell'articolo Configurare un gateway VPN utente (P2S) per l'autenticazione con ID Entra Microsoft. La configurazione VPN utente deve usare l'autenticazione microsoft Entra ID (Azure Active Directory) e il tipo di tunnel OpenVPN.
  • Sono stati generati e scaricati i file di configurazione del client VPN. Per la procedura per generare un pacchetto di configurazione del profilo client VPN, vedere Scaricare profili globali e hub.

Workflow

Al termine della configurazione del server rete WAN virtuale, i passaggi successivi sono i seguenti:

  1. Scaricare e installare il client VPN di Azure per Linux.
  2. Importare le impostazioni del profilo client nel client VPN.
  3. Crea una connessione.

Installare il client VPN di Azure

Usare la procedura seguente per scaricare e installare la versione più recente del client VPN di Azure per Linux.

Nota

Aggiungere solo l'elenco dei repository della versione 20.04 o 22.04 di Ubuntu. Per altre informazioni, vedere Repository software Linux per i prodotti Microsoft.

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

Estrarre il pacchetto di configurazione del profilo client VPN

Per configurare il profilo client VPN di Azure, è necessario scaricare un pacchetto di configurazione del profilo client VPN dal gateway di connessione da punto a sito di Azure. Questo pacchetto contiene le impostazioni necessarie per configurare il client VPN.

Se il gateway di connessione da punto a sito è stato configurato in precedenza per l'uso delle versioni precedenti dell'ID app registrate manualmente, la configurazione da sito a sito non supporta il client VPN Linux. Sarà necessario modificare la configurazione da punto a sito per usare la versione dell'ID app registrata da Microsoft. Per altre informazioni, vedere Configure P2S User VPN for Microsoft Entra ID authentication – Microsoft-registered app (Configurare vpn utente da sito a sito per l'autenticazione con ID Entra Microsoft - App registrata da Microsoft).

  1. Individuare ed estrarre il file ZIP che contiene il pacchetto di configurazione del profilo client VPN. Il file ZIP contiene la cartella AzureVPN.
  2. Nella cartella AzureVPN verrà visualizzato il file azurevpnconfig_aad.xml o il file azurevpnconfig.xml, a seconda che la configurazione da punto a sito includa più tipi di autenticazione. Il file XML contiene le impostazioni da usare per configurare il profilo client VPN.

Modificare i file di configurazione del profilo VPN

Se la configurazione da punto a sito usa un gruppo di destinatari personalizzato con l'ID app registrato da Microsoft, è possibile ricevere popup ogni volta che ci si connette che richiedono di immettere di nuovo le credenziali e completare l'autenticazione. La ripetizione dei tentativi di autenticazione risolve in genere il problema. Ciò si verifica perché il profilo client VPN richiede sia l'ID gruppo di destinatari personalizzato che l'ID applicazione Microsoft. Per evitare questo problema, modificare il file di configurazione del profilo .xml in modo da includere sia l'ID applicazione personalizzato che l'ID applicazione Microsoft.

Nota

Questo passaggio è necessario per le configurazioni del gateway da punto a sito che usano un valore di gruppo di destinatari personalizzato e l'app registrata è associata all'ID app client VPN di Azure registrato da Microsoft. Se non si applica alla configurazione del gateway da punto a sito, è possibile ignorare questo passaggio.

  1. Per modificare il file di configurazione del client VPN di Azure .xml, aprire il file usando un editor di testo, ad esempio Blocco note.

  2. Aggiungere quindi il valore per applicationid e salvare le modifiche. Nell'esempio seguente viene illustrato il valore c632b3df-fb67-4d84-bdcf-b95ad541b5c8dell'ID applicazione .

    Esempio

    <aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

Importare le impostazioni di configurazione del profilo client VPN

In questa sezione verrà configurato il client VPN di Azure per Linux.

  1. Nel riquadro inferiore sinistro della pagina Client VPN di Azure selezionare Importa.

  2. Selezionare Importa profilo e individuare il file XML del profilo. Selezionare il file . Con il file selezionato, selezionare OK.

    Screenshot del client VPN di Azure che mostra il file da importare.

  3. Visualizzare le informazioni del profilo di connessione. Modificare il valore di Informazioni sul certificato per visualizzare il valore predefinito DigiCert_Global_Root G2.pem o DigiCert_Global_Root_CA.pem. Non lasciare questo valore vuoto.

  4. Se il profilo client VPN contiene più autenticazioni client, per Autenticazione client, tipo di autenticazione selezionare Microsoft Entra ID nell'elenco a discesa.

    Screenshot che mostra i campi Convalida server e Autenticazione client.

  5. Per il campo Tenant, specificare l'URL del tenant di Microsoft Entra. Assicurarsi che l'URL del tenant non termini con un simbolo \ (barra rovesciata). La barra è consentita.

    L'ID tenant ha la struttura seguente: https://login.microsoftonline.com/{Entra TenantID}

  6. Per il campo Destinatari specificare l'ID applicazione (ID app).

    L'ID app per il client VPN di Azure registrato da Microsoft è: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Per questo campo è supportato anche un ID app personalizzato.

  7. Per il campo Autorità di certificazione specificare l'URL del servizio token di sicurezza. Includere una barra finale alla fine del valore Autorità di certificazione. In caso contrario, la connessione potrebbe non riuscire.

    Esempio:https://sts.windows.net/{AzureAD TenantID}/

  8. Dopo aver compilato i campi, fare clic su Salva.

  9. Nel riquadro Connessioni VPN selezionare il profilo di connessione salvato. Nell'elenco a discesa fare quindi clic su Connetti.

    Screenshot che mostra il profilo di connessione e l'area per trovare l'opzione Connetti nell'elenco a discesa.

  10. Viene visualizzato automaticamente il Web browser. Immettere le credenziali di nome utente/password per l'autenticazione di Microsoft Entra ID e quindi connettersi.

  11. Al termine della connessione VPN, il profilo client visualizza un'icona verde e la finestra Log di stato mostra Status = Connected nel riquadro sinistro.

  12. Dopo la connessione, lo stato passa a Connesso. Per disconnettersi dalla sessione, selezionare Disconnetti.

Eliminare un profilo client VPN

  1. Nel client VPN di Azure selezionare la connessione da rimuovere. Nell'elenco a discesa selezionare quindi Rimuovi.

    Screenshot del client VPN con l'elenco a discesa che mostra tre opzioni: Connetti, Configura, Rimuovi.

  2. In Rimuovere la connessione VPN? selezionare OK.

Controllare i log

Per diagnosticare i problemi, è possibile usare i Log del client VPN di Azure.

  1. Nel client VPN di Azure passare a Impostazioni. Nel riquadro a destra selezionare Mostra directory log.

  2. Per accedere al file di log, passare alla cartella /var/log/azurevpnclient e individuare il file AzureVPNClient.log.

Passaggi successivi

Per altre informazioni sul client VPN di Azure registrato da Microsoft, vedere Configurare la VPN utente da sito a sito per l'autenticazione di Microsoft Entra ID.