Настройка VPN-клиента Azure — проверка подлинности идентификатора Microsoft Entra — Linux (предварительная версия)

В этой статье показано, как настроить VPN-клиент Azure на компьютере Linux (Ubuntu) для подключения к виртуальной сети с помощью vpn-подключения Виртуальная глобальная сеть пользователя (точка — сеть) и проверки подлинности идентификатора Microsoft Entra ID.

Действия, описанные в этой статье, применяются к проверке подлинности идентификатора Microsoft Entra с помощью зарегистрированного в Майкрософт VPN-приложения Azure с соответствующими значениями идентификатора приложения и аудитории. Эта статья не относится к более старым, вручную зарегистрированным VPN-приложением Azure для вашего клиента. Дополнительные сведения см. в разделе VPN "Точка — сеть" для проверки подлинности идентификатора Microsoft Entra ID: зарегистрированное корпорацией Майкрософт приложение.

Подготовка к работе

Убедитесь, что вы находитесь в правильной статье. В следующей таблице приведены статьи о конфигурации, доступные для VPN-клиентов Azure Виртуальная глобальная сеть типа "точка — сеть" (P2S). Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.

Authentication method	Тип туннеля	ОС клиента	VPN-клиент
Сертификат	IKEv2, SSTP	Windows	Собственный VPN-клиент
	IKEv2	macOS	Собственный VPN-клиент
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	VPN-клиент Azure Клиент OpenVPN версии 2.x Клиент OpenVPN версии 3.x
	OpenVPN	macOS	Клиент OpenVPN
	OpenVPN	iOS	Клиент OpenVPN
	OpenVPN	Linux	VPN-клиент Azure Клиент OpenVPN
Microsoft Entra ID	OpenVPN	Windows	VPN-клиент Azure
	OpenVPN	macOS	VPN-клиент Azure
	OpenVPN	Linux	VPN-клиент Azure

Необходимые компоненты

В этой статье предполагается, что вы уже выполнили следующие предварительные требования:

• Вы настроили виртуальную глобальную сеть в соответствии с инструкциями, описанными в статье "Настройка vpn-подключения пользователя (P2S) для проверки подлинности идентификатора Microsoft Entra ID. Конфигурация VPN пользователя должна использовать проверку подлинности Microsoft Entra ID (Azure Active Directory) и тип туннеля OpenVPN.
• Вы создали и скачали файлы конфигурации VPN-клиента. Инструкции по созданию пакета конфигурации профиля VPN-клиента см. в разделе "Скачать глобальные и центральные профили".

Рабочий процесс

После завершения настройки сервера Виртуальная глобальная сеть выполните следующие действия.

1. Скачайте и установите VPN-клиент Azure для Linux.
2. Импортируйте параметры профиля клиента в VPN-клиент.
3. Создать подключение.

Установка VPN-клиента Azure

Чтобы скачать и установить последнюю версию VPN-клиента Azure для Linux, выполните следующие действия.

Примечание.

Добавьте только список репозитория в Ubuntu версии 20.04 или 22.04. Дополнительные сведения см. в репозитории программного обеспечения Linux для продуктов Майкрософт.

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

Извлечение пакета конфигурации профиля VPN-клиента

Чтобы настроить профиль VPN-клиента Azure, скачайте пакет конфигурации профиля VPN-клиента из шлюза Azure P2S. Этот пакет содержит необходимые параметры для настройки VPN-клиента.

Если конфигурация шлюза P2S ранее была настроена для использования старых, зарегистрированных вручную версий идентификатора приложения, конфигурация P2S не поддерживает VPN-клиент Linux. Необходимо изменить конфигурацию P2S, чтобы использовать версию идентификатора приложения, зарегистрированную корпорацией Майкрософт. Дополнительные сведения см. в статье Настройка VPN-подключения пользователя P2S для проверки подлинности идентификатора Microsoft Entra ID — зарегистрированное корпорацией Майкрософт приложение.

1. Найдите и извлеките ZIP-файл, содержащий пакет конфигурации профиля VPN-клиента. Zip-файл содержит папку AzureVPN .
2. В папке AzureVPN вы увидите файл azurevpnconfig_aad.xml или файл azurevpnconfig.xml в зависимости от того, включает ли конфигурация P2S несколько типов проверки подлинности. Файл .xml содержит параметры, используемые для настройки профиля VPN-клиента.

Изменение файлов конфигурации профиля VPN

Если конфигурация P2S использует настраиваемую аудиторию с идентификатором приложения, зарегистрированным корпорацией Майкрософт, вы можете получать всплывающие окна при каждом подключении, требующем повторного ввода учетных данных и завершения проверки подлинности. Повторная проверка подлинности обычно устраняет проблему. Это происходит, так как профиль VPN-клиента требует как пользовательского идентификатора аудитории, так и идентификатора приложения Майкрософт. Чтобы предотвратить это, измените конфигурацию профиля .xml файл, чтобы включить как пользовательский идентификатор приложения, так и идентификатор приложения Майкрософт.

Примечание.

Этот шаг необходим для конфигураций шлюза P2S, использующих настраиваемое значение аудитории, и зарегистрированное приложение связано с идентификатором vpn-клиента Microsoft Azure. Если это не относится к конфигурации шлюза P2S, этот шаг можно пропустить.

1. Чтобы изменить конфигурацию VPN-клиента Azure, .xml файл, откройте файл с помощью текстового редактора, например Блокнота.

2. Затем добавьте значение и applicationid сохраните изменения. В следующем примере показано значение c632b3df-fb67-4d84-bdcf-b95ad541b5c8идентификатора приложения.

   Пример

   <aad>
      <audience>{customAudienceID}</audience>
      <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
      <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
      <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
   </aad>
   

Импорт параметров конфигурации профиля VPN-клиента

В этом разделе описана настройка VPN-клиента Azure для Linux.

1. На странице VPN-клиента Azure в левой нижней области выберите "Импорт".

2. Выберите "Импорт профиля " и перейдите к xml-файлу профиля. Выберите файл . Выбрав файл, нажмите кнопку "ОК".

   

3. Просмотрите сведения о профиле подключения. Измените значение сведений о сертификате, чтобы отобразить значение по умолчанию DigiCert_Global_Root G2.pem или DigiCert_Global_Root_CA.pem. Не оставляйте пустым.

4. Если профиль VPN-клиента содержит несколько проверки подлинности клиента, для проверки подлинности клиента тип проверки подлинности выберите идентификатор Microsoft Entra в раскрывающемся списке.

   

5. В поле "Клиент" укажите URL-адрес клиента Microsoft Entra. Убедитесь, что URL-адрес клиента не имеет (обратную косую \ черту) в конце. Косая черта допустима.

   Идентификатор клиента имеет следующую структуру: https://login.microsoftonline.com/{Entra TenantID}

6. В поле "Аудитория" укажите идентификатор приложения (идентификатор приложения).

   Идентификатор приложения для зарегистрированного в Майкрософт VPN-клиента Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 Мы также поддерживаем пользовательский идентификатор приложения для этого поля.

7. В поле издателя укажите URL-адрес службы безопасных маркеров. Добавьте косую черту в конец значения издателя. В противном случае подключение может завершиться ошибкой.

   Пример:https://sts.windows.net/{AzureAD TenantID}/

8. После заполнения полей нажмите кнопку "Сохранить".

9. В области VPN-подключений выберите сохраненный профиль подключения. Затем в раскрывающемся списке нажмите кнопку "Подключить".

   

10. Веб-браузер автоматически отображается. Заполните учетные данные имени пользователя и пароля для проверки подлинности идентификатора Microsoft Entra, а затем подключитесь.

11. После успешного завершения VPN-подключения профиль клиента отображает зеленый значок, а в окне журналов состояния отображается состояние = подключено в левой области.

12. После подключения состояние изменяется на Подключено. Чтобы отключиться от сеанса, в раскрывающемся списке выберите "Отключить".

Удаление профиля VPN-клиента

1. В VPN-клиенте Azure выберите подключение, которое требуется удалить. Затем в раскрывающемся списке нажмите кнопку "Удалить".

   

2. При удалении VPN-подключения нажмите кнопку "ОК".

Проверка журналов

Для диагностики проблем можно использовать журналы VPN-клиента Azure.

1. В VPN-клиенте Azure перейдите в раздел "Параметры". В правой области выберите "Показать каталог журналов".

2. Чтобы получить доступ к файлу журнала, перейдите в папку /var/log/azurevpnclient и найдите файл AzureVPNClient.log .

Следующие шаги

Дополнительные сведения о vpn-клиенте Azure, зарегистрированном в Microsoft, см. в разделе Настройка VPN-подключения пользователя P2S для проверки подлинности идентификатора Microsoft Entra ID.