Partilhar via

Junte uma máquina virtual Red Hat Enterprise Linux a um domínio gerenciado do Microsoft Entra Domain Services

  • Artigo

Para permitir que os usuários entrem em máquinas virtuais (VMs) no Azure usando um único conjunto de credenciais, você pode unir VMs a um domínio gerenciado dos Serviços de Domínio Microsoft Entra. Quando você associa uma VM a um domínio gerenciado pelos Serviços de Domínio, as contas de usuário e as credenciais do domínio podem ser usadas para entrar e gerenciar servidores. As associações de grupo do domínio gerenciado também são aplicadas para permitir que você controle o acesso a arquivos ou serviços na VM.

Este artigo mostra como associar uma VM Red Hat Enterprise Linux (RHEL) a um domínio gerenciado.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

  • Uma subscrição ativa do Azure.
  • Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
  • Uma conta de usuário que faz parte do domínio gerenciado.
  • Nomes exclusivos de VM Linux com no máximo 15 caracteres para evitar nomes truncados que possam causar conflitos no Ative Directory.

Crie e conecte-se a uma VM RHEL Linux

Se você tiver uma VM RHEL Linux existente no Azure, conecte-se a ela usando SSH e continue para a próxima etapa para começar a configurar a VM.

Se você precisar criar uma VM RHEL Linux ou quiser criar uma VM de teste para uso com este artigo, poderá usar um dos seguintes métodos:

Ao criar a VM, preste atenção às configurações de rede virtual para garantir que a VM possa se comunicar com o domínio gerenciado:

  • Implante a VM na mesma rede virtual ou em uma rede virtual emparelhada na qual você habilitou os Serviços de Domínio Microsoft Entra.
  • Implante a VM em uma sub-rede diferente do domínio gerenciado dos Serviços de Domínio Microsoft Entra.

Depois que a VM for implantada, siga as etapas para se conectar à VM usando SSH.

Configurar o arquivo hosts

Para certificar-se de que o nome do host da VM está configurado corretamente para o domínio gerenciado, edite o arquivo /etc/hosts e defina o nome do host:

sudo vi /etc/hosts

No arquivo hosts, atualize o endereço localhost. No exemplo a seguir:

  • aaddscontoso.com é o nome de domínio DNS do seu domínio gerenciado.
  • rhel é o nome de host da sua VM RHEL que você está ingressando no domínio gerenciado.

Atualize estes nomes com os seus próprios valores:

127.0.0.1 rhel rhel.aaddscontoso.com

Quando terminar, salve e saia do arquivo hosts usando o :wq comando do editor.

Importante

Tenha em consideração o Red Hat Enterprise Linux 6.X e o Oracle Linux 6.x já são EOL. O RHEL 6.10 tem suporte disponível para o ELS, que terminará em 06/2024.

Instalar pacotes necessários

A VM precisa de alguns pacotes adicionais para unir a VM ao domínio gerenciado. Para instalar e configurar esses pacotes, atualize e instale as ferramentas de ingresso no domínio usando yumo .

sudo yum install adcli sssd authconfig krb5-workstation

Associar VM ao domínio gerenciado

Agora que os pacotes necessários estão instalados na VM, associe a VM ao domínio gerenciado.

  1. Use o comando para descobrir o adcli info domínio gerenciado. O exemplo a seguir descobre o reino ADDDSCONTOSO.COM. Especifique seu próprio nome de domínio gerenciado em TODAS as maiúsculas:

    sudo adcli info aaddscontoso.com

    Se o comando não conseguir localizar seu adcli info domínio gerenciado, revise as seguintes etapas de solução de problemas:

    • Certifique-se de que o domínio está acessível a partir da VM. Tente ping aaddscontoso.com ver se uma resposta positiva é devolvida.
    • Verifique se a VM está implantada na mesma rede virtual ou em uma rede virtual emparelhada na qual o domínio gerenciado está disponível.
    • Confirme se as configurações do servidor DNS para a rede virtual foram atualizadas para apontar para os controladores de domínio do domínio gerenciado.

  2. Primeiro, junte-se ao domínio usando o comando, este comando também cria o adcli join keytab para autenticar a máquina. Use uma conta de usuário que faça parte do domínio gerenciado.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Agora configure o e crie os /etc/sssd/sssd.conf arquivos para usar o aaddscontoso.com /ect/krb5.conf domínio do Ative Directory. Certifique-se de que AADDSCONTOSO.COM é substituído pelo seu próprio nome de domínio:

    Abra o /etc/krb5.conf arquivo com um editor:

    sudo vi /etc/krb5.conf

    Atualize o krb5.conf arquivo para corresponder ao seguinte exemplo:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Crie o /etc/sssd/sssd.conf arquivo:

    sudo vi /etc/sssd/sssd.conf

    Atualize o sssd.conf arquivo para corresponder ao seguinte exemplo:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Verifique se /etc/sssd/sssd.conf as permissões são 600 e são de propriedade do usuário root:

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Use authconfig para instruir a VM sobre a integração do AD Linux:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Inicie e ative o serviço sssd:

    sudo service sssd start
sudo chkconfig sssd on

Se a VM não conseguir concluir com êxito o processo de ingresso no domínio, verifique se o grupo de segurança de rede da VM permite o tráfego Kerberos de saída na porta TCP + UDP 464 para a sub-rede de rede virtual do domínio gerenciado.

Agora verifique se você pode consultar informações do AD do usuário usando getent

sudo getent passwd contosoadmin

Permitir autenticação de senha para SSH

Por padrão, os usuários só podem entrar em uma VM usando a autenticação baseada em chave pública SSH. A autenticação baseada em senha falha. Quando você associa a VM a um domínio gerenciado, essas contas de domínio precisam usar a autenticação baseada em senha. Atualize a configuração SSH para permitir a autenticação baseada em senha da seguinte maneira.

  1. Abra o arquivo sshd_conf com um editor:

    sudo vi /etc/ssh/sshd_config

  2. Atualize a linha para PasswordAuthentication para yes:

    PasswordAuthentication yes

    Quando terminar, salve e saia do arquivo sshd_conf usando o :wq comando do editor.

  3. Para aplicar as alterações e permitir que os usuários façam login usando uma senha, reinicie o serviço SSH para sua versão de distribuição RHEL:

    sudo service sshd restart

Conceda privilégios sudo ao grupo 'Administradores de DC do AAD'

Para conceder privilégios administrativos aos membros do grupo Administradores de DC do AAD na VM RHEL, adicione uma entrada ao /etc/sudoers. Depois de adicionados, os membros do grupo Administradores de DC do AAD podem usar o sudo comando na VM RHEL.

  1. Abra o arquivo sudoers para edição:

    sudo visudo

  2. Adicione a seguinte entrada ao final do arquivo /etc/sudoers . O grupo Administradores de DC do AAD contém espaço em branco no nome, portanto, inclua o caractere de escape de barra invertida no nome do grupo. Adicione seu próprio nome de domínio, como aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Quando terminar, salve e saia do editor usando o :wq comando do editor.

Entrar na VM usando uma conta de domínio

Para verificar se a VM foi associada com êxito ao domínio gerenciado, inicie uma nova conexão SSH usando uma conta de usuário de domínio. Confirme se um diretório base foi criado e se a associação de grupo do domínio foi aplicada.

  1. Crie uma nova conexão SSH a partir do seu console. Use uma conta de domínio que pertença ao domínio gerenciado usando o comando, como e, em seguida, digite o ssh -l endereço da sua VM, como contosoadmin@aaddscontoso.com rhel.aaddscontoso.com. Se você usar o Azure Cloud Shell, use o endereço IP público da VM em vez do nome DNS interno.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Quando você tiver se conectado com êxito à VM, verifique se o diretório base foi inicializado corretamente:

    pwd

    Você deve estar no diretório /home com seu próprio diretório que corresponda à conta de usuário.

  3. Agora verifique se as associações de grupo estão sendo resolvidas corretamente:

    id

    Você deve ver suas associações de grupo do domínio gerenciado.

  4. Se você entrou na VM como membro do grupo Administradores de DC do AAD, verifique se pode usar corretamente o sudo comando:

    sudo yum update

Próximos passos

Se você tiver problemas para conectar a VM ao domínio gerenciado ou entrar com uma conta de domínio, consulte Solução de problemas de ingresso no domínio.