将 CentOS Linux 虚拟机加入到 Microsoft Entra 域服务托管域

若要让用户使用一组凭据登录到 Azure 中的虚拟机 (VM)，可以将 VM 加入到 Microsoft Entra 域服务托管域。 将 VM 加入到域服务托管域时，可以使用域中的用户帐户和凭据来登录和管理服务器。 托管域中的组成员身份也应用于控制对 VM 上的文件或服务的访问。

本文介绍如何将 CentOS Linux VM 加入到托管域。

先决条件

需有以下资源和特权才能完成本教程：

• 一个有效的 Azure 订阅。
  • 如果你没有 Azure 订阅，请创建一个帐户。
• 与订阅关联的 Microsoft Entra 租户，可以与本地目录或仅限云的目录同步。
  • 如果需要，请创建一个 Microsoft Entra 租户或将 Azure 订阅关联到你的帐户。
• 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
  • 如果需要，请参考第一篇教程创建并配置 Microsoft Entra 域服务托管域。
• 不属于托管域的用户帐户。
• 唯一的 Linux VM 名称，最大长度为 15 个字符，可避免名称被截断，截断的名称可能会在 Active Directory 中导致冲突。

创建并连接到 CentOS Linux VM

如果 Azure 中有现有的 CentOS Linux VM，请使用 SSH 连接到该 VM，然后继续执行下一步，开始配置 VM。

如果需要创建 CentOS Linux VM，或者想要创建用于本文的测试 VM，可以使用以下方法之一：

• Microsoft Entra 管理中心
• Azure CLI
• Azure PowerShell

创建 VM 时，请注意虚拟网络设置，确保 VM 可以与托管域通信：

• 将该 VM 部署到已启用 Microsoft Entra 域服务的虚拟网络或对等互连的虚拟网络。
• 将 VM 部署到与托管域不同的子网中。

部署 VM 后，请遵循使用 SSH 连接到 VM 的步骤。

配置主机文件

若要确保为托管域正确配置了 VM 主机名，请编辑“/etc/hosts”文件，并设置主机名：

sudo vi /etc/hosts

在 hosts 文件中，更新 localhost 地址 。 在以下示例中：

• aaddscontoso.com 是托管域的 DNS 域名。
• centos 是你要加入到托管域的 CentOS VM 的主机名。

将以下名称更新为你自己的值：

127.0.0.1 centos.aaddscontoso.com centos

完成后，使用编辑器的 :wq 命令保存并退出 hosts 文件。

安装所需程序包

VM 需要其他一些包才能将 VM 加入托管域。 若要安装和配置这些包，请使用 yum 更新和安装域加入工具：

sudo yum install adcli realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools

将 VM 加入托管域

在 VM 上安装所需的包之后，请将 VM 加入托管域。

1. 使用 realm discover 命令发现托管域。 以下示例发现领域 AADDSCONTOSO.COM。 以全部大写的形式指定你自己的托管域名：

   sudo realm discover AADDSCONTOSO.COM
   

   如果 realm discover 命令找不到托管域，请查看以下故障排除步骤：

   • 确保可从该 VM 中访问域。 尝试使用 ping aaddscontoso.com 查看是否返回肯定答复。
   • 检查 VM 是否已部署到提供托管域的虚拟网络或与其对等互连的虚拟网络。
   • 确认已将虚拟网络的 DNS 服务器设置更新为指向托管域的域控制器。

2. 现在使用 kinit 命令初始化 Kerberos。 指定属于托管域的用户。 必要时将用户帐户添加到 Microsoft Entra ID 中的组。

   同样，必须以全部大写的形式输入托管域名。 在以下示例中，名为 contosoadmin@aaddscontoso.com 的帐户用于初始化 Kerberos。 输入你自己的属于托管域的用户帐户：

   sudo kinit contosoadmin@AADDSCONTOSO.COM
   

3. 最后，使用 realm join 命令将 VM 加入托管域。 使用属于在前面的 kinit 命令中指定的托管域的相同用户帐户，例如 contosoadmin@AADDSCONTOSO.COM：

   sudo realm join --verbose AADDSCONTOSO.COM -U 'contosoadmin@AADDSCONTOSO.COM' --membership-software=adcli
   

将 VM 加入托管域需要一点时间。 以下示例输出显示 VM 已成功加入托管域：

Successfully enrolled machine in realm

如果 VM 无法成功完成域加入过程，请确保 VM 的网络安全组允许将 TCP + UDP 端口 464 上的出站 Kerberos 流量发送到托管域的虚拟网络子网。

允许对 SSH 进行密码身份验证

默认情况下，用户只能使用基于 SSH 公钥的身份验证登录到 VM。 基于密码的身份验证失败。 将 VM 加入托管域时，这些域帐户需要使用基于密码的身份验证。 更新 SSH 配置，以允许基于密码的身份验证，如下所示。

1. 使用编辑器打开 sshd_conf 文件：

   sudo vi /etc/ssh/sshd_config
   

2. 将 PasswordAuthentication 的行更新为 yes ：

   PasswordAuthentication yes
   

   完成后，使用编辑器的 :wq 命令保存并退出 sshd_conf 文件。

3. 若要应用更改并让用户使用密码登录，请重新启动 SSH 服务：

   sudo systemctl restart sshd
   

为“AAD DC 管理员”组授予 sudo 特权

若要授予“AAD DC Administrators”组成员对 CentOS VM 的管理特权，请向“/etc/sudoers”添加一个条目 。 添加后，“AAD DC 管理员”组的成员即可使用 CentOS VM 上的 sudo 命令。

1. 打开 sudoers 文件进行编辑：

   sudo visudo
   

2. 将以下条目添加到“/etc/sudoers”文件的末尾。 “AAD DC 管理员”组的名称中包含空格，因此请在组名称中包含反斜杠转义符。 添加自己的域名，例如 aaddscontoso.com：

   # Add 'AAD DC Administrators' group members as admins.
   %AAD\ DC\ Administrators@aaddscontoso.com ALL=(ALL) NOPASSWD:ALL
   

   完成后，使用编辑器的 :wq 命令进行保存并退出编辑器。

使用域帐户登录到 VM

若要验证 VM 是否已成功加入托管域，请使用域用户帐户启动新的 SSH 连接。 确认已创建主目录，并且已应用域的组成员身份。

1. 从控制台创建新的 SSH 连接。 通过 ssh -l 命令使用属于托管域的域帐户（如 contosoadmin@aaddscontoso.com），然后输入 VM 的地址，例如 centos.aaddscontoso.com。

   sudo ssh -l contosoadmin@AADDSCONTOSO.com centos.aaddscontoso.com
   

2. 成功连接到 VM 后，验证是否已正确初始化主目录：

   sudo pwd
   

   你应位于“/home”目录中，并具有你自己的与用户帐户相匹配的目录。

3. 现在请检查是否已正确解析组成员身份：

   sudo id
   

   应会看到托管域中的组成员身份。

4. 如果以“AAD DC 管理员”组成员的身份登录到 VM，请检查是否可以正确使用 sudo 命令：

   sudo yum update
   

后续步骤

如果在将 VM 连接到托管域或使用域帐户登录时遇到问题，请参阅域加入问题故障排除。