Associar uma máquina virtual SUSE Linux Enterprise a um domínio gerenciado dos Serviços de Domínio Microsoft Entra

Para permitir que os usuários entrem em máquinas virtuais (VMs) no Azure usando um único conjunto de credenciais, você pode unir VMs a um domínio gerenciado dos Serviços de Domínio Microsoft Entra. Quando associa uma VM a um domínio gerido pelos Serviços de Domínio, as contas de utilizador e as credenciais do domínio podem ser utilizadas para iniciar sessão e gerir servidores. As associações de grupo do domínio gerenciado também são aplicadas para permitir que você controle o acesso a arquivos ou serviços na VM.

Este artigo mostra como associar uma VM SUSE Linux Enterprise (SLE) a um domínio gerenciado.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

  • Uma subscrição ativa do Azure.
  • Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
  • Uma conta de usuário que faz parte do domínio gerenciado.
  • Nomes exclusivos de VM Linux com no máximo 15 caracteres para evitar nomes truncados que possam causar conflitos no Ative Directory.

Criar e conectar-se a uma VM Linux SLE

Se você tiver uma VM Linux SLE existente no Azure, conecte-se a ela usando SSH e continue para a próxima etapa para começar a configurar a VM.

Se você precisar criar uma VM Linux SLE ou quiser criar uma VM de teste para uso com este artigo, você pode usar um dos seguintes métodos:

Ao criar a VM, preste atenção às configurações de rede virtual para garantir que a VM possa se comunicar com o domínio gerenciado:

  • Implante a VM na mesma rede virtual ou em uma rede virtual emparelhada na qual você habilitou os Serviços de Domínio Microsoft Entra.
  • Implante a VM em uma sub-rede diferente do domínio gerenciado dos Serviços de Domínio Microsoft Entra.

Depois que a VM for implantada, siga as etapas para se conectar à VM usando SSH.

Configurar o arquivo hosts

Para certificar-se de que o nome do host da VM está configurado corretamente para o domínio gerenciado, edite o arquivo /etc/hosts e defina o nome do host:

sudo vi /etc/hosts

No arquivo hosts, atualize o endereço localhost. No exemplo a seguir:

  • aaddscontoso.com é o nome de domínio DNS do seu domínio gerenciado.
  • linux-q2gr é o nome de host da sua VM SLE que você está ingressando no domínio gerenciado.

Atualize estes nomes com os seus próprios valores:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Quando terminar, salve e saia do arquivo hosts usando o :wq comando do editor.

Associar VM ao domínio gerenciado usando SSSD

Para ingressar no domínio gerenciado usando o SSSD e o módulo Gerenciamento de Logon de Usuário do YaST, conclua as seguintes etapas:

  1. Instale o módulo YaST de Gerenciamento de Logon do Usuário:

    sudo zypper install yast2-auth-client
    
  2. Abra o YaST.

  3. Para usar a descoberta automática de DNS com êxito posteriormente, configure os endereços IP de domínio gerenciado (o servidor do Ative Directory) como o servidor de nomes para seu cliente.

    No YaST, selecione Configurações de Rede do Sistema>.

  4. Selecione a guia Nome do host/DNS e insira o(s) endereço(s) IP(s) do domínio gerenciado na caixa de texto Servidor de nomes 1. Esses endereços IP são mostrados na janela Propriedades no centro de administração do Microsoft Entra para seu domínio gerenciado, como 10.0.2.4 e 10.0.2.5.

    Adicione seus próprios endereços IP de domínio gerenciado e selecione OK.

  5. Na janela principal do YaST, escolha Gerenciamento de Logon do Usuário dos Serviços>de Rede.

    O módulo é aberto com uma visão geral mostrando diferentes propriedades de rede do seu computador e o método de autenticação atualmente em uso, conforme mostrado na captura de tela de exemplo a seguir:

    Captura de tela de exemplo da janela Gerenciamento de Login de Usuário no YaST

    Para começar a editar, selecione Alterar configurações.

Para associar a VM ao domínio gerenciado, conclua as seguintes etapas:

  1. Na caixa de diálogo, selecione Adicionar domínio.

  2. Especifique o nome de domínio correto, como aaddscontoso.com e, em seguida, especifique os serviços a serem usados para dados de identidade e autenticação. Selecione Microsoft Ative Directory para ambos.

    Certifique-se de que a opção Ativar o domínio está selecionada.

  3. Quando estiver pronto, selecione OK.

  4. Aceite as configurações padrão na caixa de diálogo a seguir e selecione OK.

  5. A VM instala software adicional conforme necessário e, em seguida, verifica se o domínio gerenciado está disponível.

    Se tudo estiver correto, a caixa de diálogo de exemplo a seguir será mostrada para indicar que a VM descobriu o domínio gerenciado, mas que você ainda não está registrado.

    Captura de tela de exemplo da janela de registro do Ative Directory no YaST

  6. Na caixa de diálogo, especifique o Nome de usuário e a Senha de um usuário que faz parte do domínio gerenciado. Se necessário, adicione uma conta de usuário a um grupo no Microsoft Entra ID.

    Para certificar-se de que o domínio atual está habilitado para o Samba, ative a configuração Substituir Samba para trabalhar com este AD.

  7. Para se inscrever, selecione OK.

  8. É apresentada uma mensagem a confirmar que está inscrito com êxito. Para concluir, selecione OK.

Depois que a VM for registrada no domínio gerenciado, configure o cliente usando Gerenciar Logon do Usuário do Domínio, conforme mostrado na captura de tela de exemplo a seguir:

Exemplo de captura de tela da janela Gerenciar Logon do Usuário do Domínio no YaST

  1. Para permitir entradas usando dados fornecidos pelo domínio gerenciado, marque a caixa Permitir logon do usuário do domínio.

  2. Opcionalmente, em Habilitar fonte de dados de domínio, verifique fontes de dados adicionais conforme necessário para seu ambiente. Essas opções incluem quais usuários têm permissão para usar sudo ou quais unidades de rede estão disponíveis.

  3. Para permitir que os usuários no domínio gerenciado tenham diretórios base na VM, marque a caixa Criar diretórios base.

  4. Na barra lateral, selecione Opções de Serviço › Opção Nome e, em seguida , Opções Estendidas. Nessa janela, selecione fallback_homedir ou override_homedir e, em seguida, selecione Adicionar.

  5. Especifique um valor para o local do diretório base. Para que os diretórios base sigam o formato /home/USER_NAME, use /home/%u. Para obter mais informações sobre possíveis variáveis, consulte a página do manual sssd.conf (man 5 sssd.conf), seção override_homedir.

  6. Selecione OK.

  7. Selecione OK para guardar as alterações. Em seguida, certifique-se de que os valores exibidos agora estão corretos. Para sair da caixa de diálogo, selecione Cancelar.

  8. Se você pretende executar SSSD e Winbind simultaneamente (como ao ingressar via SSSD, mas depois executar um servidor de arquivos Samba), o método kerberos da opção Samba deve ser definido como secrets e keytab em smb.conf. A opção SSSD ad_update_samba_machine_account_password também deve ser definida como true em sssd.conf. Essas opções impedem que o keytab do sistema fique fora de sincronia.

Associar VM ao domínio gerenciado usando Winbind

Para ingressar no domínio gerenciado usando o winbind e o módulo de Associação de Domínio do Windows do YaST, conclua as seguintes etapas:

  1. No YaST, selecione Associação de Domínio do Windows dos Serviços > de Rede.

  2. Insira o domínio a ser ingressado em Domínio ou Grupo de Trabalho na tela Associação de Domínio do Windows. Insira o nome de domínio gerenciado, como aaddscontoso.com.

    Captura de tela de exemplo da janela Associação de Domínio do Windows no YaST

  3. Para usar a fonte SMB para autenticação Linux, marque a opção Usar informações SMB para autenticação Linux.

  4. Para criar automaticamente um diretório base local para usuários de domínio gerenciado na VM, marque a opção Criar diretório base no login.

  5. Marque a opção Autenticação Offline para permitir que os usuários do domínio entrem mesmo que o domínio gerenciado esteja temporariamente indisponível.

  6. Se quiser alterar os intervalos UID e GID para os usuários e grupos do Samba, selecione Configurações de especialistas.

  7. Configure a sincronização de tempo NTP (Network Time Protocol) para seu domínio gerenciado selecionando Configuração NTP. Insira os endereços IP do domínio gerenciado. Esses endereços IP são mostrados na janela Propriedades no centro de administração do Microsoft Entra para seu domínio gerenciado, como 10.0.2.4 e 10.0.2.5.

  8. Selecione OK e confirme a associação ao domínio quando solicitado.

  9. Forneça a senha para um administrador no domínio gerenciado e selecione OK.

    Captura de tela de exemplo do prompt de diálogo de autenticação quando você ingressa uma VM SLE no domínio gerenciado

Depois de aderir ao domínio gerido, pode iniciar sessão a partir da sua estação de trabalho utilizando o gestor de visualização do ambiente de trabalho ou a consola.

Associar VM ao domínio gerenciado usando Winbind a partir da interface de linha de comando do YaST

Para ingressar no domínio gerenciado usando winbind e a interface de linha de comando do YaST:

  • Junte-se ao domínio:

    sudo yast samba-client joindomain domain=aaddscontoso.com user=<admin> password=<admin password> machine=<(optional) machine account>
    

Associar VM ao domínio gerenciado usando Winbind a partir do terminal

Para ingressar no domínio gerenciado usando winbind e o samba net comando:

  1. Instale o cliente kerberos e o samba-winbind:

    sudo zypper in krb5-client samba-winbind
    
  2. Edite os arquivos de configuração:

    • /etc/samba/smb.conf

      [global]
          workgroup = AADDSCONTOSO
          usershare allow guests = NO #disallow guests from sharing
          idmap config * : backend = tdb
          idmap config * : range = 1000000-1999999
          idmap config AADDSCONTOSO : backend = rid
          idmap config AADDSCONTOSO : range = 5000000-5999999
          kerberos method = secrets and keytab
          realm = AADDSCONTOSO.COM
          security = ADS
          template homedir = /home/%D/%U
          template shell = /bin/bash
          winbind offline logon = yes
          winbind refresh tickets = yes
      
    • /etc/krb5.conf

      [libdefaults]
          default_realm = AADDSCONTOSO.COM
          clockskew = 300
      [realms]
          AADDSCONTOSO.COM = {
              kdc = PDC.AADDSCONTOSO.COM
              default_domain = AADDSCONTOSO.COM
              admin_server = PDC.AADDSCONTOSO.COM
          }
      [domain_realm]
          .aaddscontoso.com = AADDSCONTOSO.COM
      [appdefaults]
          pam = {
              ticket_lifetime = 1d
              renew_lifetime = 1d
              forwardable = true
              proxiable = false
              minimum_uid = 1
          }
      
    • /etc/segurança/pam_winbind.conf

      [global]
          cached_login = yes
          krb5_auth = yes
          krb5_ccache_type = FILE
          warn_pwd_expire = 14
      
    • /etc/nsswitch.conf

      passwd: compat winbind
      group: compat winbind
      
  3. Verifique se a data e a hora no Microsoft Entra ID e Linux estão sincronizadas. Você pode fazer isso adicionando o servidor Microsoft Entra ao serviço NTP:

    1. Adicione a seguinte linha a /etc/ntp.conf:

      server aaddscontoso.com
      
    2. Reinicie o serviço NTP:

      sudo systemctl restart ntpd
      
  4. Junte-se ao domínio:

    sudo net ads join -U Administrator%Mypassword
    
  5. Habilite o winbind como uma fonte de login nos módulos de autenticação conectáveis do Linux (PAM):

    config pam-config --add --winbind
    
  6. Habilite a criação automática de diretórios base para que os usuários possam fazer login:

    sudo pam-config -a --mkhomedir
    
  7. Inicie e habilite o serviço winbind:

    sudo systemctl enable winbind
    sudo systemctl start winbind
    

Permitir autenticação de senha para SSH

Por padrão, os usuários só podem entrar em uma VM usando a autenticação baseada em chave pública SSH. A autenticação baseada em senha falha. Quando você associa a VM a um domínio gerenciado, essas contas de domínio precisam usar a autenticação baseada em senha. Atualize a configuração SSH para permitir a autenticação baseada em senha da seguinte maneira.

  1. Abra o arquivo sshd_conf com um editor:

    sudo vi /etc/ssh/sshd_config
    
  2. Atualize a linha para PasswordAuthentication para yes:

    PasswordAuthentication yes
    

    Quando terminar, salve e saia do arquivo sshd_conf usando o :wq comando do editor.

  3. Para aplicar as alterações e permitir que os usuários entrem usando uma senha, reinicie o serviço SSH:

    sudo systemctl restart sshd
    

Conceda privilégios sudo ao grupo 'Administradores de DC do AAD'

Para conceder aos membros do grupo Administradores de DC do AAD privilégios administrativos na VM SLE, adicione uma entrada ao /etc/sudoers. Depois de adicionados, os membros do grupo Administradores de DC do AAD podem usar o sudo comando na VM SLE.

  1. Abra o arquivo sudoers para edição:

    sudo visudo
    
  2. Adicione a seguinte entrada ao final do arquivo /etc/sudoers . O grupo Administradores de DC do AAD contém espaço em branco no nome, portanto, inclua o caractere de escape de barra invertida no nome do grupo. Adicione seu próprio nome de domínio, como aaddscontoso.com:

    # Add 'AAD DC Administrators' group members as admins.
    %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
    

    Quando terminar, salve e saia do editor usando o :wq comando do editor.

Entrar na VM usando uma conta de domínio

Para verificar se a VM foi associada com êxito ao domínio gerenciado, inicie uma nova conexão SSH usando uma conta de usuário de domínio. Confirme se um diretório base foi criado e se a associação de grupo do domínio foi aplicada.

  1. Crie uma nova conexão SSH a partir do seu console. Use uma conta de domínio que pertença ao domínio gerenciado usando o ssh -l comando, como contosoadmin@aaddscontoso.com e, em seguida, digite o endereço da sua VM, como linux-q2gr.aaddscontoso.com. Se você usar o Azure Cloud Shell, use o endereço IP público da VM em vez do nome DNS interno.

    sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
    
  2. Quando você tiver se conectado com êxito à VM, verifique se o diretório base foi inicializado corretamente:

    sudo pwd
    

    Você deve estar no diretório /home com seu próprio diretório que corresponda à conta de usuário.

  3. Agora verifique se as associações de grupo estão sendo resolvidas corretamente:

    sudo id
    

    Você deve ver suas associações de grupo do domínio gerenciado.

  4. Se você entrou na VM como membro do grupo Administradores de DC do AAD, verifique se pode usar corretamente o sudo comando:

    sudo zypper update
    

Próximos passos

Se você tiver problemas para conectar a VM ao domínio gerenciado ou entrar com uma conta de domínio, consulte Solução de problemas de ingresso no domínio.