Associar uma máquina virtual SUSE Linux Enterprise a um domínio gerenciado dos Serviços de Domínio Microsoft Entra

Para permitir que os usuários entrem em máquinas virtuais (VMs) no Azure usando um único conjunto de credenciais, você pode unir VMs a um domínio gerenciado dos Serviços de Domínio Microsoft Entra. Quando associa uma VM a um domínio gerido pelos Serviços de Domínio, as contas de utilizador e as credenciais do domínio podem ser utilizadas para iniciar sessão e gerir servidores. As associações de grupo do domínio gerenciado também são aplicadas para permitir que você controle o acesso a arquivos ou serviços na VM.

Este artigo mostra como associar uma VM SUSE Linux Enterprise (SLE) a um domínio gerenciado.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Uma subscrição ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um tenant do Microsoft Entra ou associe uma subscrição do Azure à sua conta.
• Um domínio gerido pelos Serviços de Domínio do Microsoft Entra ativado e configurado no seu inquilino do Microsoft Entra.
  • Se necessário, o primeiro tutorial cria e configura um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
• Uma conta de usuário que faz parte do domínio gerenciado.
• Nomes exclusivos de VM Linux com no máximo 15 caracteres para evitar nomes truncados que possam causar conflitos no Ative Directory.

Criar e conectar-se a uma VM Linux SLE

Se você tiver uma VM Linux SLE existente no Azure, conecte-se a ela usando SSH e continue para a próxima etapa para começar a configurar a VM.

Se você precisar criar uma VM Linux SLE ou quiser criar uma VM de teste para uso com este artigo, você pode usar um dos seguintes métodos:

• Centro de administração do Microsoft Entra
• CLI do Azure
• Azure PowerShell

Ao criar a VM, preste atenção às configurações de rede virtual para garantir que a VM possa se comunicar com o domínio gerenciado:

• Implante a VM na mesma rede virtual ou em uma rede virtual emparelhada na qual você habilitou os Serviços de Domínio Microsoft Entra.
• Implante a VM em uma sub-rede diferente do domínio gerenciado dos Serviços de Domínio Microsoft Entra.

Depois que a VM for implantada, siga as etapas para se conectar à VM usando SSH.

Configurar o arquivo hosts

Para certificar-se de que o nome do host da VM está configurado corretamente para o domínio gerenciado, edite o arquivo /etc/hosts e defina o nome do host:

sudo vi /etc/hosts

No arquivo hosts, atualize o endereço localhost. No exemplo a seguir:

• aaddscontoso.com é o nome de domínio DNS do seu domínio gerenciado.
• linux-q2gr é o nome de host da tua VM SLE que vais adicionar ao domínio gerido.

Atualize estes nomes com os seus próprios valores:

127.0.0.1 linux-q2gr linux-q2gr.aaddscontoso.com

Quando terminar, salve e saia do arquivo hosts usando o :wq comando do editor.

Associar VM ao domínio gerenciado usando SSSD

Para ingressar no domínio gerenciado usando o SSSD e o módulo Gerenciamento de Logon de Usuário do YaST, conclua as seguintes etapas:

1. Instale o módulo YaST de Gestão de Logon de Usuário:

   sudo zypper install yast2-auth-client
   

2. Abra o YaST.

3. Para usar a descoberta automática de DNS com êxito posteriormente, configure os endereços IP de domínio gerenciado (o servidor do Ative Directory) como o servidor de nomes para seu cliente.

   No YaST, selecione Configurações de Rede do Sistema>.

4. Selecione a guia Hostname/DNS e insira um ou mais endereços IP do domínio gerido na caixa de texto Servidor de Nomes 1. Esses endereços IP são mostrados na janela Propriedades no centro de administração do Microsoft Entra para seu domínio gerenciado, como 10.0.2.4 e 10.0.2.5.

   Adicione seus próprios endereços IP de domínio gerenciado e selecione OK.

5. Na janela principal do YaST, escolha Serviços de Rede>Gestão de Logon do Utilizador.

   O módulo é aberto com uma visão geral mostrando diferentes propriedades de rede do seu computador e o método de autenticação atualmente em uso, conforme mostrado na captura de tela de exemplo a seguir:

   

   Para começar a editar, selecione Alterar configurações.

Para associar a VM ao domínio gerenciado, conclua as seguintes etapas:

1. Na caixa de diálogo, selecione Adicionar domínio.

2. Especifique o nome de domínio correto, como aaddscontoso.com e, em seguida, especifique os serviços a serem usados para dados de identidade e autenticação. Selecione Microsoft Ative Directory para ambos.

   Certifique-se de que a opção Ativar o domínio está selecionada.

3. Quando estiver pronto, selecione OK.

4. Aceite as configurações padrão na caixa de diálogo a seguir e selecione OK.

5. A VM instala software adicional conforme necessário e, em seguida, verifica se o domínio gerenciado está disponível.

   Se tudo estiver correto, a caixa de diálogo de exemplo a seguir será mostrada para indicar que a VM descobriu o domínio gerenciado, mas que você está Ainda não inscrito.

   

6. Na caixa de diálogo, especifique o Nome de usuário e a Senha de um usuário que faz parte do domínio gerenciado. Se necessário, adicione uma conta de usuário a um grupo no Microsoft Entra ID.

   Para certificar-se de que o domínio atual está habilitado para o Samba, ative Sobrescrever configuração do Samba para funcionar com este AD.

7. Para se inscrever, selecione OK.

8. Uma mensagem é exibida para confirmar que você está inscrito com sucesso. Para concluir, selecione OK.

Depois que a VM for registrada no domínio gerenciado, configure o cliente usando Gerenciar Logon do Usuário do Domínio, conforme mostrado na captura de tela de exemplo a seguir:

1. Para permitir entradas usando dados fornecidos pelo domínio gerido, marque a caixa de seleção Permitir logon do usuário do domínio.

2. Opcionalmente, em Habilitar fonte de dados de domínio, verifique fontes de dados adicionais conforme necessário para seu ambiente. Essas opções incluem quais usuários têm permissão para usar sudo ou quais unidades de rede estão disponíveis.

3. Para permitir que os utilizadores no domínio gerido tenham diretórios pessoais na VM, marque a caixa Criar Diretórios Pessoais.

4. Na barra lateral, selecione Opções de Serviço › Troca de Nome, e em seguida Opções Estendidas. Nessa janela, selecione fallback_homedir ou override_homedir e, em seguida, selecione Adicionar.

5. Especifique um valor para o local do diretório base. Para ter os diretórios pessoais, siga o formato de /home/USER_NAME, use /home/%u. Para obter mais informações sobre possíveis variáveis, consulte a página do manual sssd.conf (man 5 sssd.conf), seção override_homedir.

6. Selecione OK.

7. Selecione OK para guardar as alterações. Em seguida, certifique-se de que os valores exibidos agora estão corretos. Para sair da caixa de diálogo, selecione Cancelar.

8. Se pretendes executar SSSD e Winbind simultaneamente (como ao aderir via SSSD, mas depois executares um servidor de ficheiros Samba), a opção do Samba kerberos method deve ser definida como secrets e keytab no smb.conf. A opção SSSD ad_update_samba_machine_account_password também deve ser definida como true em sssd.conf. Essas opções impedem que o keytab do sistema fique fora de sincronia.

Associar VM ao domínio gerenciado usando Winbind

Para ingressar no domínio gerido usando winbind e o módulo do Windows Associação de Domínio do YaST, conclua os seguintes passos:

1. No YaST, selecione Serviços de Rede > Associação ao Domínio do Windows.

2. Insira o domínio para se juntar em Domínio ou Grupo de Trabalho no ecrã de Associação ao Domínio do Windows. Insira o nome de domínio gerenciado, como aaddscontoso.com.

   

3. Para utilizar a fonte SMB para autenticação Linux, selecione a opção Usar informações SMB para autenticação Linux.

4. Para criar automaticamente um diretório base local para usuários de domínio gerenciado na VM, marque a opção Criar diretório base no login.

5. Marque a opção Autenticação Offline para permitir que os usuários do domínio entrem mesmo que o domínio gerenciado esteja temporariamente indisponível.

6. Se quiser alterar os intervalos UID e GID para os utilizadores e grupos do Samba, selecione Configurações Avançadas.

7. Configure a sincronização de tempo NTP (Network Time Protocol) para o seu domínio gerido selecionando Configuração NTP. Insira os endereços IP do domínio gerenciado. Esses endereços IP são mostrados na janela Propriedades no centro de administração do Microsoft Entra para seu domínio gerenciado, como 10.0.2.4 e 10.0.2.5.

8. Selecione OK e confirme a associação ao domínio quando solicitado.

9. Forneça a senha para um administrador no domínio gerenciado e selecione OK.

   

Depois de aderir ao domínio gerido, pode iniciar sessão a partir da sua estação de trabalho utilizando o gestor de visualização do ambiente de trabalho ou a consola.

Associar VM ao domínio gerenciado usando Winbind a partir da interface de linha de comando do YaST

Para ingressar no domínio gerenciado usando winbind e a interface de linha de comando do YaST, adicione user e password valores para um administrador e atualize outros parâmetros para sua organização:

sudo yast samba-client joindomain domain=aaddscontoso.com machine=<(optional) machine account>

Associar VM ao domínio gerenciado usando Winbind a partir do terminal

Para ingressar no domínio gerenciado usando winbind e o comando :

1. Instale o cliente kerberos e o samba-winbind:

   sudo zypper in krb5-client samba-winbind
   

2. Edite os arquivos de configuração:

   • /etc/samba/smb.conf

     [global]
         workgroup = AADDSCONTOSO
         usershare allow guests = NO #disallow guests from sharing
         idmap config * : backend = tdb
         idmap config * : range = 1000000-1999999
         idmap config AADDSCONTOSO : backend = rid
         idmap config AADDSCONTOSO : range = 5000000-5999999
         kerberos method = secrets and keytab
         realm = AADDSCONTOSO.COM
         security = ADS
         template homedir = /home/%D/%U
         template shell = /bin/bash
         winbind offline logon = yes
         winbind refresh tickets = yes
     

   • /etc/krb5.conf

     [libdefaults]
         default_realm = AADDSCONTOSO.COM
         clockskew = 300
     [realms]
         AADDSCONTOSO.COM = {
             kdc = PDC.AADDSCONTOSO.COM
             default_domain = AADDSCONTOSO.COM
             admin_server = PDC.AADDSCONTOSO.COM
         }
     [domain_realm]
         .aaddscontoso.com = AADDSCONTOSO.COM
     [appdefaults]
         pam = {
             ticket_lifetime = 1d
             renew_lifetime = 1d
             forwardable = true
             proxiable = false
             minimum_uid = 1
         }
     

   • /etc/security/pam_winbind.conf

     [global]
         cached_login = yes
         krb5_auth = yes
         krb5_ccache_type = FILE
         warn_pwd_expire = 14
     

   • /etc/nsswitch.conf

     passwd: compat winbind
     group: compat winbind
     

3. Verifique se a data e a hora no Microsoft Entra ID e Linux estão sincronizadas. Você pode fazer isso adicionando o servidor Microsoft Entra ao serviço NTP:

   1. Adicione a seguinte linha a /etc/ntp.conf:

      server aaddscontoso.com
      

   2. Reinicie o serviço NTP:

      sudo systemctl restart ntpd
      

4. Junte-se ao domínio:

   sudo net ads join -U Administrator%Mypassword
   

5. Habilite o winbind como uma fonte de login nos módulos de autenticação conectáveis do Linux (PAM):

   config pam-config --add --winbind
   

6. Habilite a criação automática de diretórios base para que os usuários possam fazer login:

   sudo pam-config -a --mkhomedir
   

7. Inicie e habilite o serviço winbind:

   sudo systemctl enable winbind
   sudo systemctl start winbind
   

Permitir autenticação de senha para SSH

Por padrão, os usuários só podem entrar em uma VM usando a autenticação baseada em chave pública SSH. A autenticação baseada em senha falha. Quando você associa a VM a um domínio gerenciado, essas contas de domínio precisam usar a autenticação baseada em senha. Atualize a configuração SSH para permitir a autenticação baseada em senha da seguinte maneira.

1. Abra o arquivo sshd_conf com um editor:

   sudo vi /etc/ssh/sshd_config
   

2. Atualize a linha para PasswordAuthentication para yes:

   PasswordAuthentication yes
   

   Quando terminar, salve e saia do arquivo sshd_conf usando o :wq comando do editor.

3. Para aplicar as alterações e permitir que os usuários entrem usando uma senha, reinicie o serviço SSH:

   sudo systemctl restart sshd
   

Conceder privilégios sudo ao grupo 'AAD DC Administradores'

Para conceder aos membros do grupo Administradores de DC do AAD privilégios administrativos na VM SLE, adicione uma entrada ao /etc/sudoers. Depois de adicionados, os membros do AAD DC Administrators podem usar o sudo comando na VM SLE.

1. Abra o arquivo sudoers para edição:

   sudo visudo
   

2. Adicione a seguinte entrada ao final do arquivo /etc/sudoers . O grupo AAD DC Administradores contém espaço em branco no nome, por isso, inclua o caractere de escape da barra invertida no nome do grupo. Adicione seu próprio nome de domínio, como aaddscontoso.com:

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   Quando terminar, salve e saia do editor usando o :wq comando do editor.

Entrar na VM usando uma conta de domínio

Para verificar se a VM ingressou com êxito no domínio gerenciado, inicie uma nova conexão SSH usando uma conta de usuário de domínio. Confirme se um diretório base foi criado e se a associação de grupo do domínio foi aplicada.

1. Crie uma nova conexão SSH a partir do seu console. Use uma conta de domínio que pertença ao domínio gerenciado usando o ssh -l comando, como contosoadmin@aaddscontoso.com e, em seguida, digite o endereço da sua VM, como linux-q2gr.aaddscontoso.com. Se você usar o Azure Cloud Shell, use o endereço IP público da VM em vez do nome DNS interno.

   sudo ssh -l contosoadmin@AADDSCONTOSO.com linux-q2gr.aaddscontoso.com
   

2. Quando você tiver se conectado com êxito à VM, verifique se o diretório base foi inicializado corretamente:

   sudo pwd
   

   Você deve estar no diretório /home com seu próprio diretório que corresponda à conta de usuário.

3. Agora verifique se as associações de grupo estão sendo resolvidas corretamente:

   sudo id
   

   Você deve ver suas associações de grupo do domínio gerenciado.

4. Se você entrou na VM como membro do grupo Administradores do DC do AAD, verifique se consegue usar o comando sudo corretamente.

   sudo zypper update
   

Próximos passos

Se você tiver problemas para conectar a VM ao domínio gerenciado ou entrar com uma conta de domínio, consulte Solução de problemas de ingresso no domínio.