Ingressar o SQL Server em um host Linux em um domínio do Active Directory
Aplica-se a: 
SQL Server – Linux
Este artigo oferece diretrizes gerais sobre como ingressar um computador host Linux do SQL Server em um domínio do Active Directory. Há dois métodos: usar um pacote SSSD interno ou usar provedores de Active Directory de terceiros. Os exemplos de produtos de ingresso no domínio de terceiros são are PBIS (Serviços de Identidade PowerBroker), One Identity e Centrify.
Este guia inclui etapas para verificar a configuração do Active Directory. No entanto, o objetivo não é fornecer instruções sobre como ingressar um computador em um domínio ao usar utilitários de terceiros.
Observação
Para obter mais informações sobre como configurar o Active Directory com as versões mais recentes do Ubuntu, do RHEL ou do SLES, confira Tutorial: Usar o adutil para configurar a autenticação do Active Directory com o SQL Server no Linux.
Pré-requisitos
Antes de configurar a autenticação do Active Directory, é necessário configurar um controlador de domínio do Active Directory, Windows, em sua rede. Em seguida, ingresse o host SQL Server em Linux em um domínio do Active Directory.
As etapas de exemplo descritas neste artigo são apenas para orientação e referem-se aos sistemas operacionais Ubuntu 16.04, Red Hat Enterprise Linux (RHEL) 7.x e SUSE Enterprise Linux (SLES) 12. As etapas reais podem ser ligeiramente diferentes em seu ambiente, dependendo de como o ambiente geral está configurado e da versão do sistema operacional. Por exemplo, o Ubuntu 18.04 usa o netplan enquanto o Red Hat Enterprise Linux (RHEL) 8.x usa o nmcli entre outras ferramentas para gerenciar e configurar a rede. É recomendável engajar os administradores do sistema e do domínio do seu ambiente para ferramentas específicas, configuração, personalização e qualquer solução de problemas necessária.
DNS Reverso (rDNS)
Quando você configura um computador que executa o Windows Server como um controlador de domínio, talvez você não tenha uma zona rDNS por padrão. Verifique se uma zona rDNS aplicável existe para o controlador de domínio e o endereço IP do computador Linux que executará o SQL Server.
Verifique também se existe um registro PTR que aponta para seu controlador de domínio.
Verificar a conexão com um controlador de domínio
Verifique se você pode entrar em contato com o controlador de domínio usando os nomes curto e totalmente qualificado do domínio e usando o nome do host do controlador de domínio. O IP do controlador de domínio também deve ser resolvido para o FQDN do controlador de domínio:
ping contoso
ping contoso.com
ping dc1.contoso.com
nslookup <IP address of dc1.contoso.com>
Dica
Este tutorial usa contoso.com e CONTOSO.COM como nomes de domínio e realm de exemplo, respectivamente. Ele também usa DC1.CONTOSO.COM como o nome de domínio totalmente qualificado de exemplo do controlador de domínio. É necessário substituir esses nomes por seus próprios valores.
Para garantir a resolução adequada do nome de domínio, é crucial atualizar o arquivo /etc/resolv.conf se alguma discrepância for encontrada durante as verificações de nome. O procedimento de atualização varia entre as distribuições; portanto, consultar a documentação oficial é aconselhável para uma orientação precisa. A lista a seguir fornece links para algumas distribuições e suas principais versões:
| Distribuição | Artigo de referência |
|---|---|
| RHEL 8 | Configurando /etc/resolv.conf manualmente |
| RHEL 9 | Configurando /etc/resolv.conf manualmente |
| SLES 15 | Configurações de NETCONFIG_DNS_STATIC_SEARCHLIST e NETCONFIG_DNS_STATIC_SERVERS |
| Ubuntu | Seção Resolução de Nomes |
O objetivo é configurar /etc/resolv.conf corretamente para sua distribuição para facilitar a resolução de nomes de domínio. Por exemplo, se o seu domínio for contoso.com e o endereço IP do Active Directory for 10.0.0.4, o /etc/resolv.conf deverá ser configurado de acordo para garantir a resolução de nomes do host bem-sucedida.
cat /etc/resolv.conf
Veja a seguir o conjunto de resultados.
# Generated by NetworkManager
search contoso.com com
nameserver 10.0.0.4
RHEL 7.x
Edite o arquivo
/etc/sysconfig/network-scripts/ifcfg-eth0, para que seu domínio do Active Directory esteja na lista de pesquisa de domínio. Ou edite outro arquivo de configuração de interface, conforme apropriado:sudo vi /etc/sysconfig/network-scripts/ifcfg-eth0O conteúdo deve ser semelhante ao seguinte exemplo:
PEERDNS=no DNS1=<Domain controller IP address> DOMAIN="contoso.com com"Após editar esse arquivo, reinicie o serviço de rede:
sudo systemctl restart networkAgora, verifique se o arquivo
/etc/resolv.confcontém uma linha semelhante ao do exemplo a seguir:sudo vi /etc/resolv.confO conteúdo deve ser semelhante ao seguinte exemplo:
search contoso.com com nameserver <Domain controller IP address>Se você ainda não conseguir executar o ping do controlador de domínio, localize o nome de domínio totalmente qualificado e o endereço IP do controlador de domínio. Um nome de domínio de exemplo é
DC1.CONTOSO.COM. Adicione a seguinte entrada a/etc/hosts:sudo vi /etc/hostsO conteúdo deve ser semelhante ao seguinte exemplo:
<IP address> DC1.CONTOSO.COM CONTOSO.COM CONTOSO
Ingressar no domínio do Active Directory
Depois que a configuração básica e a conectividade com o controlador de domínio for verificada, haverá duas opções para ingressar um computador host Linux do SQL Server com o controlador de domínio do Active Directory:
Opção 1: usar o pacote SSSD para ingressar no domínio do Active Directory
Esse método ingressa o host SQL Server em um domínio do Active Directory usando os pacotes realmd e sssd.
Esse é o método preferencial de ingressar um host Linux em um controlador de domínio do Active Directory.
Para obter as instruções mais atuais, consulte a documentação oficial fornecida pelos parceiros de distribuição.
| Distribuição | Artigo de referência |
|---|---|
| RHEL 8 | Descobrindo e ingressando em um domínio do AD usando SSSD |
| RHEL 9 | Descobrindo e ingressando em um domínio do AD usando SSSD |
| SLES | Ingressar no AD usando realmd no SUSE Linux Enterprise Server 15 |
| Ubuntu | Como configurar o SSSD com o Active Directory |
Use as etapas a seguir para ingressar um host SQL Server em um domínio do Active Directory:
Use realmd para ingressar seu computador host em seu Domínio do Active Directory. Você deve primeiro instalar os pacotes realmd e do cliente Kerberos no computador host SQL Server usando o gerenciador de pacotes da distribuição do Linux:
Se a instalação do pacote de cliente Kerberos solicitar um nome de realm, insira seu nome de domínio em letras maiúsculas.
Após confirmar se seu DNS está configurado adequadamente, ingresse o domínio executando o comando a seguir. Autentique-se usando uma conta do Active Directory com privilégios suficientes no Active Directory para ingressar um novo computador no domínio. Este comando cria uma conta do computador no Active Directory, cria o arquivo keytab do host
/etc/krb5.keytab, configura o domínio no/etc/sssd/sssd.confe atualiza o/etc/krb5.conf.Devido a um problema com realmd, primeiro defina o nome do host do computador para o FQDN em vez de para o computador. Caso contrário, realmd pode não criar todos os SPNs necessários para o computador e as entradas DNS não serão atualizadas automaticamente, mesmo que o controlador de domínio dê suporte a atualizações de DNS dinâmicas.
sudo hostname <old hostname>.contoso.comApós a execução desse comando, o arquivo
/etc/hostnamedeverá conter<old hostname>.contoso.com.sudo realm join contoso.com -U 'user@CONTOSO.COM' -vVocê deve ver a mensagem,
Successfully enrolled machine in realm.A seguinte tabela lista algumas mensagens de erro que você poderia receber e sugestões sobre como resolvê-las:
Mensagem de erro Recomendação Necessary packages are not installedInstale esses pacotes usando o gerenciador de pacotes da distribuição do Linux antes de executar o comando de ingresso no realm novamente. Insufficient permissions to join the domainVerifique com um administrador de domínio se você tem permissões suficientes para ingressar computadores Linux em seu domínio. KDC reply did not match expectationsTalvez você não tenha especificado o nome de realm correto do usuário. Nomes de realm diferenciam maiúsculas de minúsculas, geralmente são escritos em maiúsculas e podem ser identificados com o comando realm discover contoso.com. O SQL Server usa SSSD e NSS para mapear contas de usuário e grupos para SIDs (identificadores de segurança). O SSSD deve ser configurado e estar em execução para o SQL Server criar logons do Active Directory com êxito. realmd geralmente faz isso automaticamente como parte de ingressar o domínio, mas, em alguns casos, você deve fazer isso separadamente.
Para saber mais, confira como configurar SSSD manualmente e configurar NSS para funcionar com SSSD.
Verifique se você pode coletar informações sobre um usuário do domínio e se pode adquirir um tíquete do Kerberos como esse usuário. O exemplo a seguir usa os comandos id, kinit e klist para isso.
id user@contoso.com uid=1348601103(user@contoso.com) gid=1348600513(domain group@contoso.com) groups=1348600513(domain group@contoso.com) kinit user@CONTOSO.COM Password for user@CONTOSO.COM: klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: user@CONTOSO.COMSe
id user\@contoso.comretornarNo such user, verifique se o serviço SSSD foi iniciado com êxito executando o comandosudo systemctl status sssd. Se o serviço estiver em execução e você ainda vir o erro, tente habilitar o log detalhado para SSSD. Para saber mais, confira a documentação do Red Hat para Solucionar problemas de SSSD.Se
kinit user\@CONTOSO.COMretornarKDC reply didn't match expectations while getting initial credentials, verifique se você especificou o realm em letras maiúsculas.
Para saber mais, confira a documentação do Red Hat para Descobrir e ingressar domínios de identidade.
Opção 2: usar utilitários de provedor OpenLDAP de terceiros
Você pode usar utilitários de terceiros, como PBIS, VAS ou Centrify. Este artigo não aborda etapas para cada utilitário individual. Primeiro, você deve usar um desses utilitários para ingressar o host Linux do SQL Server no domínio antes de continuar.
O SQL Server não usa o código ou a biblioteca de um integrador de terceiros para nenhuma consulta relacionada ao Active Directory. O SQL Server sempre consulta o Active Directory usando chamadas de biblioteca OpenLDAP diretamente nesta instalação. Os integradores de terceiros são usados apenas para ingressar o host do Linux no domínio do Active Directory e o SQL Server não tem nenhuma comunicação direta com esses utilitários.
Importante
Confira as recomendações para usar a opção de configuração do mssql-conf network.disablesssd na seção Opções de configuração adicional do artigo Usar autenticação do Active Directory com o SQL Server em Linux.
Verifique se /etc/krb5.conf está configurado corretamente. Para a maioria dos provedores do Active Directory de terceiros, essa configuração é feita automaticamente. No entanto, verifique se, em /etc/krb5.conf, há os seguintes valores para evitar problemas futuros:
sudo vi /etc/krb5.conf
O conteúdo deve ser semelhante ao seguinte exemplo:
[libdefaults]
default_realm = CONTOSO.COM
[realms]
CONTOSO.COM = {
}
[domain_realm]
contoso.com = CONTOSO.COM
.contoso.com = CONTOSO.COM
Verifique se o DNS inverso está configurado corretamente
O comando a seguir deve retornar o FQDN (nome de domínio totalmente qualificado) do host que executa o SQL Server. Um exemplo é SqlHost.contoso.com.
host <IP address of SQL Server host>
A saída deste comando deve ser semelhante a <reversed IP address>.in-addr.arpa domain name pointer SqlHost.contoso.com. Se esse comando não retornar o FQDN do host ou se o FQDN estiver incorreto, adicione uma entrada de DNS inversa para seu host do SQL Server no Linux ao servidor DNS.
Próxima etapa
Neste artigo, você conheceu como como configurar um SQL Server em um computador host Linux com a Autenticação do Active Directory. Para concluir a configuração do SQL Server em Linux para dar suporte a contas do Active Directory, siga essas instruções.