Udostępnij za pośrednictwem

Dołączanie maszyny wirtualnej z systemem Ubuntu Linux do domeny zarządzanej usług Microsoft Entra Domain Services

  • Artykuł

Aby umożliwić użytkownikom logowanie się do maszyn wirtualnych na platformie Azure przy użyciu jednego zestawu poświadczeń, możesz dołączyć maszyny wirtualne do domeny zarządzanej usług Microsoft Entra Domain Services. Po dołączeniu maszyny wirtualnej do domeny zarządzanej usług Domain Services konta użytkowników i poświadczenia z domeny mogą służyć do logowania się serwerów i zarządzania nimi. Członkostwa w grupach z domeny zarządzanej są również stosowane w celu kontrolowania dostępu do plików lub usług na maszynie wirtualnej.

W tym artykule pokazano, jak dołączyć maszynę wirtualną z systemem Ubuntu Linux do domeny zarządzanej.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

  • Aktywna subskrypcja platformy Azure.
  • Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
  • Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
  • Konto użytkownika będące częścią domeny zarządzanej. Upewnij się, że atrybut SAMAccountName dla użytkownika nie został wygenerowany automatycznie. Jeśli wiele kont użytkowników w dzierżawie microsoft Entra ma ten sam atrybut mailNickname, atrybut SAMAccountName dla każdego użytkownika jest generowany automatycznie. Aby uzyskać więcej informacji, zobacz Jak obiekty i poświadczenia są synchronizowane w domenie zarządzanej usług Microsoft Entra Domain Services.
  • Unikatowe nazwy maszyn wirtualnych z systemem Linux, które mają maksymalnie 15 znaków, aby uniknąć obcinania nazw, które mogą powodować konflikty w usłudze Active Directory.

Tworzenie maszyny wirtualnej z systemem Ubuntu Linux i nawiązywanie z nią połączenia

Jeśli masz istniejącą maszynę wirtualną z systemem Ubuntu Linux na platformie Azure, połącz się z nią przy użyciu protokołu SSH, a następnie przejdź do następnego kroku, aby rozpocząć konfigurowanie maszyny wirtualnej.

Jeśli musisz utworzyć maszynę wirtualną z systemem Ubuntu Linux lub utworzyć testową maszynę wirtualną do użycia z tym artykułem, możesz użyć jednej z następujących metod:

Podczas tworzenia maszyny wirtualnej należy zwrócić uwagę na ustawienia sieci wirtualnej, aby upewnić się, że maszyna wirtualna może komunikować się z domeną zarządzaną:

  • Wdróż maszynę wirtualną w tej samej lub równorzędnej sieci wirtualnej, w której włączono usługi Microsoft Entra Domain Services.
  • Wdróż maszynę wirtualną w innej podsieci niż domena zarządzana usług Microsoft Entra Domain Services.

Po wdrożeniu maszyny wirtualnej wykonaj kroki, aby nawiązać połączenie z maszyną wirtualną przy użyciu protokołu SSH.

Konfigurowanie pliku hosts

Aby upewnić się, że nazwa hosta maszyny wirtualnej jest poprawnie skonfigurowana dla domeny zarządzanej, zmodyfikuj plik /etc/hosts i ustaw nazwę hosta:

sudo vi /etc/hosts

W pliku hosts zaktualizuj adres localhost. W poniższym przykładzie:

  • aaddscontoso.com jest nazwą domeny DNS domeny zarządzanej.
  • ubuntu to nazwa hosta maszyny wirtualnej z systemem Ubuntu, która jest przyłączona do domeny zarządzanej.

Zaktualizuj te nazwy własnymi wartościami:

127.0.0.1 ubuntu.aaddscontoso.com ubuntu

Po zakończeniu zapisz i zamknij plik hosts przy użyciu :wq polecenia edytora.

Instalowanie wymaganych pakietów

Maszyna wirtualna wymaga dodatkowych pakietów, aby dołączyć maszynę wirtualną do domeny zarządzanej. Aby zainstalować i skonfigurować te pakiety, zaktualizuj i zainstaluj narzędzia przyłączania do domeny przy użyciu polecenia apt-get

Podczas instalacji protokołu Kerberos pakiet krb5-user monituje o nazwę obszaru we wszystkich wielkich literach. Jeśli na przykład nazwa domeny zarządzanej jest aaddscontoso.com, wprowadź AADDSCONTOSO.COM jako obszar. Instalacja zapisuje sekcje [realm] i [domain_realm] w pliku konfiguracji /etc/krb5.conf . Upewnij się, że określono obszar WSZYSTKIE WIELKIE LITERY:

sudo apt-get update
sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Konfigurowanie protokołu NTP (Network Time Protocol)

Aby komunikacja domeny działała prawidłowo, data i godzina maszyny wirtualnej z systemem Ubuntu muszą być zsynchronizowane z domeną zarządzaną. Dodaj nazwę hosta NTP domeny zarządzanej do pliku /etc/ntp.conf .

  1. Otwórz plik ntp.conf za pomocą edytora:

    sudo vi /etc/ntp.conf

  2. W pliku ntp.conf utwórz wiersz, aby dodać nazwę DNS domeny zarządzanej. W poniższym przykładzie zostanie dodany wpis dla aaddscontoso.com . Użyj własnej nazwy DNS:

    server aaddscontoso.com

    Po zakończeniu zapisz i zamknij plik ntp.conf przy użyciu :wq polecenia edytora.

  3. Aby upewnić się, że maszyna wirtualna jest zsynchronizowana z domeną zarządzaną, potrzebne są następujące kroki:

    • Zatrzymywanie serwera NTP
    • Aktualizowanie daty i godziny z domeny zarządzanej
    • Uruchamianie usługi NTP

    Uruchom następujące polecenia, aby wykonać te kroki. Użyj własnej nazwy DNS za ntpdate pomocą polecenia :

    sudo systemctl stop ntp
sudo ntpdate aaddscontoso.com
sudo systemctl start ntp

Dołączanie maszyny wirtualnej do domeny zarządzanej

Po zainstalowaniu wymaganych pakietów na maszynie wirtualnej i skonfigurowaniu protokołu NTP dołącz maszynę wirtualną do domeny zarządzanej.

  1. Użyj polecenia , realm discover aby odnaleźć domenę zarządzaną. Poniższy przykład umożliwia odnalezienie AADDSCONTOSO.COM obszaru. Określ własną nazwę domeny zarządzanej we wszystkich wielkich literach:

    sudo realm discover AADDSCONTOSO.COM

    realm discover Jeśli polecenie nie może znaleźć domeny zarządzanej, zapoznaj się z następującymi krokami rozwiązywania problemów:

    • Upewnij się, że domena jest osiągalna z maszyny wirtualnej. Spróbuj ping aaddscontoso.com sprawdzić, czy zostanie zwrócona pozytywna odpowiedź.
    • Sprawdź, czy maszyna wirtualna jest wdrożona w tej samej lub równorzędnej sieci wirtualnej, w której jest dostępna domena zarządzana.
    • Upewnij się, że ustawienia serwera DNS dla sieci wirtualnej zostały zaktualizowane tak, aby wskazywały kontrolery domeny zarządzanej.

  2. Teraz zainicjuj kinit kerberos przy użyciu polecenia . Określ użytkownika, który jest częścią domeny zarządzanej. W razie potrzeby dodaj konto użytkownika do grupy w usłudze Microsoft Entra ID.

    Ponownie należy wprowadzić nazwę domeny zarządzanej we wszystkich wielkich literach. W poniższym przykładzie konto o nazwie contosoadmin@aaddscontoso.com jest używane do inicjowania protokołu Kerberos. Wprowadź własne konto użytkownika będące częścią domeny zarządzanej:

    sudo kinit -V contosoadmin@AADDSCONTOSO.COM

  3. Na koniec dołącz maszynę wirtualną do domeny zarządzanej realm join przy użyciu polecenia . Użyj tego samego konta użytkownika, które jest częścią domeny zarządzanej określonej w poprzednim kinit poleceniu, na przykład contosoadmin@AADDSCONTOSO.COM:

    sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --install=/

Dołączenie maszyny wirtualnej do domeny zarządzanej może potrwać kilka minut. Następujące przykładowe dane wyjściowe pokazują, że maszyna wirtualna została pomyślnie przyłączona do domeny zarządzanej:

Successfully enrolled machine in realm

Jeśli maszyna wirtualna nie może pomyślnie ukończyć procesu przyłączania do domeny, upewnij się, że sieciowa grupa zabezpieczeń maszyny wirtualnej zezwala na wychodzący ruch Kerberos na porcie TCP + UDP 464 do podsieci sieci wirtualnej dla domeny zarządzanej.

Jeśli został wyświetlony komunikat o błędzie Nieokreślony błąd GSS. Kod pomocniczy może podać więcej informacji (nie znaleziono serwera w bazie danych Kerberos), otwórz plik /etc/krb5.conf i dodaj następujący kod w [libdefaults] sekcji i spróbuj ponownie:

rdns=false

Aktualizowanie konfiguracji SSSD

Jednym z pakietów zainstalowanych w poprzednim kroku był demon usług zabezpieczeń systemu (SSSD). Gdy użytkownik próbuje zalogować się do maszyny wirtualnej przy użyciu poświadczeń domeny, usługa SSSD przekazuje żądanie do dostawcy uwierzytelniania. W tym scenariuszu usługa SSSD używa usług Domain Services do uwierzytelniania żądania.

  1. Otwórz plik sssd.conf za pomocą edytora:

    sudo vi /etc/sssd/sssd.conf

  2. Oznacz jako komentarz wiersz dla use_fully_qualified_names w następujący sposób:

    # use_fully_qualified_names = True

    Po zakończeniu zapisz i zamknij plik sssd.conf przy użyciu :wq polecenia edytora.

  3. Aby zastosować zmianę, uruchom ponownie usługę SSSD:

    sudo systemctl restart sssd

Konfigurowanie ustawień konta użytkownika i grupy

Jeśli maszyna wirtualna jest przyłączona do domeny zarządzanej i skonfigurowana do uwierzytelniania, istnieje kilka opcji konfiguracji użytkownika do ukończenia. Te zmiany konfiguracji obejmują zezwolenie na uwierzytelnianie oparte na hasłach i automatyczne tworzenie katalogów domowych na lokalnej maszynie wirtualnej, gdy użytkownicy domeny po raz pierwszy się zalogują.

Zezwalaj na uwierzytelnianie haseł dla protokołu SSH

Domyślnie użytkownicy mogą logować się tylko do maszyny wirtualnej przy użyciu uwierzytelniania opartego na kluczach publicznych SSH. Uwierzytelnianie oparte na hasłach kończy się niepowodzeniem. Po dołączeniu maszyny wirtualnej do domeny zarządzanej te konta domeny muszą używać uwierzytelniania opartego na hasłach. Zaktualizuj konfigurację protokołu SSH, aby zezwolić na uwierzytelnianie oparte na hasłach w następujący sposób.

  1. Otwórz plik sshd_conf za pomocą edytora:

    sudo vi /etc/ssh/sshd_config

  2. Zaktualizuj wiersz dla pozycji PasswordAuthentication na wartość tak:

    PasswordAuthentication yes

    Po zakończeniu zapisz i zamknij plik sshd_conf przy użyciu :wq polecenia edytora.

  3. Aby zastosować zmiany i zezwolić użytkownikom na logowanie się przy użyciu hasła, uruchom ponownie usługę SSH:

    sudo systemctl restart ssh

Konfigurowanie automatycznego tworzenia katalogu macierzystego

Aby włączyć automatyczne tworzenie katalogu macierzystego po pierwszym zalogowaniu użytkownika, wykonaj następujące kroki:

  1. /etc/pam.d/common-session Otwórz plik w edytorze:

    sudo vi /etc/pam.d/common-session

  2. Dodaj następujący wiersz w tym pliku poniżej wiersza session optional pam_sss.so:

    session required pam_mkhomedir.so skel=/etc/skel/ umask=0077

    Po zakończeniu zapisz i zamknij plik common-session przy użyciu :wq polecenia edytora.

Udzielanie uprawnień sudo grupy "AAD DC Administracja istrators"

Aby przyznać członkom kontrolera domeny usługi AAD Administracja istrators uprawnienia administracyjne grupy na maszynie wirtualnej z systemem Ubuntu, należy dodać wpis do /etc/sudoers. Po dodaniu członkowie grupy Administracja istratorów kontrolera domeny usługi AAD mogą używać sudo polecenia na maszynie wirtualnej z systemem Ubuntu.

  1. Otwórz plik sudoers do edycji:

    sudo visudo

  2. Dodaj następujący wpis na końcu pliku /etc/sudoers :

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators ALL=(ALL) NOPASSWD:ALL

    Po zakończeniu Ctrl-X zapisz i zamknij edytor przy użyciu polecenia .

Logowanie się do maszyny wirtualnej przy użyciu konta domeny

Aby sprawdzić, czy maszyna wirtualna została pomyślnie przyłączona do domeny zarządzanej, uruchom nowe połączenie SSH przy użyciu konta użytkownika domeny. Upewnij się, że katalog macierzysny został utworzony, a członkostwo w grupie z domeny jest stosowane.

  1. Utwórz nowe połączenie SSH z konsoli. Użyj konta domeny należącego do domeny zarządzanej przy użyciu ssh -l polecenia , takiego jak contosoadmin@aaddscontoso.com , a następnie wprowadź adres maszyny wirtualnej, taki jak ubuntu.aaddscontoso.com. Jeśli używasz usługi Azure Cloud Shell, użyj publicznego adresu IP maszyny wirtualnej, a nie wewnętrznej nazwy DNS.

    sudo ssh -l contosoadmin@AADDSCONTOSO.com ubuntu.aaddscontoso.com

  2. Po pomyślnym nawiązaniu połączenia z maszyną wirtualną sprawdź, czy katalog macierzysty został poprawnie zainicjowany:

    sudo pwd

    Powinien znajdować się w katalogu /home z własnym katalogiem zgodnym z kontem użytkownika.

  3. Teraz sprawdź, czy członkostwa w grupach są prawidłowo rozwiązywane:

    sudo id

    Powinny zostać wyświetlone członkostwa w grupach z domeny zarządzanej.

  4. Jeśli zalogowano się do maszyny wirtualnej jako członek grupy Administracja istratorów kontrolera domeny usługi AAD, sprawdź, czy możesz poprawnie użyć sudo polecenia :

    sudo apt-get update

Następne kroki

Jeśli masz problemy z połączeniem maszyny wirtualnej z domeną zarządzaną lub logowaniem się przy użyciu konta domeny, zobacz Rozwiązywanie problemów z przyłączaniem do domeny.