Ingressar em uma máquina virtual do Red Hat Enterprise Linux para um domínio gerenciado do Microsoft Entra Domain Services

  • Artigo

Para permitir que os usuários entrem em VMs (máquinas virtuais) no Azure usando um só conjunto de credenciais, ingresse as VMs em um domínio gerenciado do Microsoft Entra Domain Services. Quando você ingressa uma VM em um domínio gerenciado do Domain Services, as contas de usuário e as credenciais do domínio podem ser usadas para se conectar e gerenciar os servidores. Associações de grupo do domínio gerenciado também são aplicadas para permitir controlar o acesso a arquivos ou serviços na VM.

Esse artigo mostra como unir uma VM do Red Hat Enterprise Linux (RHEL) a um domínio gerenciado.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

Criar e conectar-se a uma VM do RHEL Linux

Caso já tenha uma VM do Linux RHEL existente no Azure, conecte-se a ela usando o SSH e continue na próxima etapa para começar a configurar a VM.

Se precisar criar uma VM do RHEL Linux ou desejar criar uma VM de teste para usar com este artigo, você pode usar um dos seguintes métodos:

Ao criar a VM, preste atenção às configurações de rede virtual para garantir que a VM possa se comunicar com o domínio gerenciado:

  • Implante a VM na mesma rede virtual ou em uma rede virtual emparelhada em que você tenha ativado o Microsoft Entra Domain Services.
  • Implante a VM em uma sub-rede diferente do domínio gerenciado do Microsoft Entra Domain Services.

Depois que a VM for implantada, siga as etapas para se conectar à VM usando SSH.

Configurar o arquivo de hosts

Para confirmar se o nome do host da VM está configurado corretamente para o domínio gerenciado, edite o arquivo /etc/hosts e defina o nome do host:

sudo vi /etc/hosts

No arquivo hosts, atualize o endereço localhost. No exemplo a seguir:

  • aaddscontoso.com é o nome de domínio DNS do seu domínio gerenciado.
  • rhel é o nome do host da VM RHEL que você está unindo ao domínio gerenciado.

Substitua esses nomes por seus próprios valores:

127.0.0.1 rhel rhel.aaddscontoso.com

Quando terminar, salve e saia do arquivo de hosts usando o comando do editor :wq.

Importante

Considere que o Red Hat Enterprise Linux 6.X e o Oracle Linux 6.x já são EOL. O Oracle Linux versão 6.10 tem um suporte a ELS disponível, que terminará em 06/2024.

Instalar os pacotes necessários

São necessários alguns pacotes adicionais para unir a VM ao domínio gerenciado. Para instalar e configurar esses pacotes, atualize e instale as ferramentas de ingresso no domínio usando o yum.

sudo yum install adcli sssd authconfig krb5-workstation

Ingressar a VM no domínio gerenciado

Agora que os pacotes necessários estão instalados na VM, ingresse a VM no domínio gerenciado.

  1. Use o comando adcli info para descobrir o domínio gerenciado. O exemplo a seguir descobre o realm AADDSCONTOSO.COM. Especifique seu próprio nome de domínio gerenciado em letras MAIÚSCULAS:

    sudo adcli info aaddscontoso.com

    Se o comando adcli info não conseguir localizar o domínio gerenciado, revise as seguintes etapas de solução de problemas:

    • Verifique se o domínio está acessível da VM. Tente ping aaddscontoso.com para ver se uma resposta positiva é retornada.
    • Verifique se a VM está implantada na mesma rede virtual, ou em uma rede virtual emparelhada, na qual o domínio gerenciado está disponível.
    • Verifique se atualizou as configurações do servidor DNS da a rede virtual para apontar para os controladores de domínio do domínio gerenciado.

  2. Primeiro, ingresse no domínio usando o comando adcli join. Esse comando também cria o keytab para autenticar o computador. Use uma conta de usuário que faça parte do domínio gerenciado.

    sudo adcli join aaddscontoso.com -U contosoadmin

  3. Agora, configure o /ect/krb5.conf e crie os arquivos /etc/sssd/sssd.conf para usar o domínio Active Directory aaddscontoso.com. Certifique-se de que o AADDSCONTOSO.COM seja substituído pelo seu próprio nome de domínio:

    Abra o arquivo /etc/krb5.conf com um editor:

    sudo vi /etc/krb5.conf

    Atualize o arquivo krb5.conf para que ele corresponda à amostra a seguir:

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AADDSCONTOSO.COM
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AADDSCONTOSO.COM = {
 kdc = AADDSCONTOSO.COM
 admin_server = AADDSCONTOSO.COM
 }

[domain_realm]
 .AADDSCONTOSO.COM = AADDSCONTOSO.COM
 AADDSCONTOSO.COM = AADDSCONTOSO.COM

    Crie o arquivo /etc/sssd/sssd.conf:

    sudo vi /etc/sssd/sssd.conf

    Atualize o arquivo sssd.conf para que ele corresponda à amostra a seguir:

    [sssd]
 services = nss, pam, ssh, autofs
 config_file_version = 2
 domains = AADDSCONTOSO.COM

[domain/AADDSCONTOSO.COM]

 id_provider = ad

  4. Certifique-se de que as permissões /etc/sssd/sssd.conf sejam 600 e pertençam ao usuário raiz:

    sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

  5. Use authconfig para instruir a VM sobre a integração do Linux com o AD:

    sudo authconfig --enablesssd --enablesssd auth --update

  6. Iniciar e habilitar o serviço SSSD:

    sudo service sssd start
sudo chkconfig sssd on

Se sua VM não puder concluir com êxito o processo de união ao domínio, verifique se o grupo de segurança de rede da VM permite o tráfego de saída do Kerberos na porta TCP + UDP 464 para a sub-rede da rede virtual do domínio gerenciado.

Agora, verifique se você pode consultar informações do usuário do AD usando getent

sudo getent passwd contosoadmin

Permitir autenticação de senha para SSH

Por padrão, os usuários só podem entrar em uma VM usando a autenticação baseada em chave pública SSH. A autenticação baseada em senha falhou. Ao unir a VM a um domínio gerenciado, as contas do domínio precisam usar a autenticação baseada em senha. Atualize a configuração de SSH para permitir a autenticação baseada em senha da maneira a seguir.

  1. Abra o arquivo sshd_conf com um editor:

    sudo vi /etc/ssh/sshd_config

  2. Atualize a linha de PasswordAuthentication para Sim:

    PasswordAuthentication yes

    Quando terminar, salve e saia do arquivo de sshd_conf usando o comando do editor :wq.

  3. Para aplicar as alterações e permitir que os usuários entrem usando uma senha, reinicie o serviço SSH para a versão de distribuição do RHEL:

    sudo service sshd restart

Conceder os privilégios sudo de grupo 'Administradores de controlador de domínio do AAD'

Para conceder aos membros do grupo de Administradores do AAD DC privilégios administrativos na VM do RHEL, adicione uma entrada ao /etc/sudoers. Depois de adicionados, os membros do grupo de Administradores do AAD DC podem usar o comando sudo na VM do RHEL.

  1. Abra o arquivo sudoers para edição:

    sudo visudo

  2. Adicione a entrada a seguir ao final do arquivo /etc/sudoers. O grupo Administradores do AAD DC contém espaço em branco no nome, portanto, inclua o caractere de escape de barra invertida no nome do grupo. Adicione seu nome de domínio, como aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
%AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL

    Quando terminar, salve e saia do editor usando o comando :wq do editor.

Entrar na VM usando uma conta de domínio

Para verificar se a VM uniu-se com êxito ao domínio gerenciado, inicie uma nova conexão SSH usando uma conta de usuário de domínio. Confirme se um diretório base foi criado e se a associação de grupo do domínio foi aplicada.

  1. Do console, crie uma nova conexão SSH. Use uma conta de domínio que pertença ao domínio gerenciado usando o comando ssh -l, como contosoadmin@aaddscontoso.com e, em seguida, insira o endereço da VM, como rhel.aaddscontoso.com. Se você usa o Azure Cloud Shell, use o endereço IP público da VM em vez do nome DNS interno.

    ssh -l contosoadmin@AADDSCONTOSO.com rhel.aaddscontoso.com

  2. Após conectar-se com êxito à VM, verifique se o diretório base foi inicializado corretamente:

    pwd

    Você deve estar no diretório /home com seu diretório que corresponda à conta de usuário.

  3. Agora, verifique se as associações de grupo estão sendo resolvidas corretamente:

    id

    Você deve ver as associações de grupo do domínio gerenciado.

  4. Se tiver entrado na VM como um membro do grupo de Administradores do AAD DC, verifique se você poderá usar corretamente o comando sudo:

    sudo yum update

Próximas etapas

Caso tenha problemas para conectar a VM ao domínio gerenciado ou entrar com uma conta de domínio, consulte Solução de problemas de união de domínios.