Linux-VM mit einer Domain verbinden
Auf dieser Seite wird beschrieben, wie Sie eine Linux-VM, auf der unterstützte Linux-Distributionen ausgeführt werden, mit einer Domain in Managed Service for Microsoft Active Directory verbinden. Dazu verwenden Sie den System Security Services Daemon (SSSD).
Die Managed Microsoft AD-Interoperabilität funktioniert für viele Linux-Distributionen und andere Konnektivitätstools. Weitere Informationen zu diesen Open-Source-Konnektivitätstools
Hinweise
Prüfen Sie, ob Sie die Berechtigungen haben, die für diese Anleitung erforderlich sind.
Linux-VM erstellen Achten Sie beim Erstellen der VM darauf, dass Sie die folgenden Aufgaben ausführen:
- Wählen Sie auf dem Tab Öffentliche Images die entsprechende Distribution aus. Beispiele: Ubuntu 22.04 LTS oder Red Hat Enterprise Linux 8.
- Wählen Sie eine Linux-Version aus, die von Managed Microsoft AD unterstützt wird.
- Erstellen Sie die VM in dem Projekt, in dem Ihre Managed Microsoft AD-Domain gehostet wird. Wenn Ihre Managed Microsoft AD-Domain eine freigegebene VPC als autorisiertes Netzwerk hat, können Sie die VM auch in einem der Dienstprojekte der freigegebenen VPC erstellen.
- Erstellen Sie die VM in einem VPC-Netzwerk, das per Peering mit der Managed Microsoft AD-Domain verbunden wird.
Installieren Sie
realmdauf der VM. Weitere Informationen zurealm.Eine Anleitung finden Sie in der Ubuntu- und Red Hat-Dokumentation.
Im Folgenden finden Sie einige Beispielbefehle:
Ubuntu 22.04 LTS oder höher
apt-get update apt-get install realmd sssd packagekit
RHEL 8 oder höher
sudo yum install realmd oddjob oddjob-mkhomedir sssd adcli
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausführen der Kurzanleitung benötigen:
-
Google Cloud Managed Identities-Administrator (
roles/managedidentities.admin) -
Compute-Instanzadministrator (Version 1) (
roles/compute.instanceAdmin.v1) -
Service Account User (
roles/iam.serviceAccountUser) -
Ersteller von Dienstkonto-Token (
roles/iam.serviceAccountTokenCreator) -
Service Usage Consumer (
roles/serviceusage.serviceUsageConsumer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Linux-VM mit einer Domain verbinden
Für das Verbinden einer Linux-VM mit einer Domain benötigen Sie die folgenden Informationen:
Der Domainname Ihrer Managed Microsoft AD-Domain. Beispiel:
mydomain.example.comDer Nutzername und das Passwort eines Kontos mit den Berechtigungen, die zum Verbinden einer VM mit der Domain erforderlich sind. Standardmäßig haben Mitglieder der Gruppe
Cloud Service Domain Join Accountsdiese Berechtigungen. Weitere Informationen zu den Standardgruppen, die von Managed Microsoft AD erstellt werden, finden Sie unter Gruppen.- Der Nutzername muss das folgende Format haben: USERNAME@DOMAIN_NAME. Der Domainname im Nutzernamen muss in Großbuchstaben angegeben werden. Beispiel:
user@MYDOMAIN.EXAMPLE.COM
- Der Nutzername muss das folgende Format haben: USERNAME@DOMAIN_NAME. Der Domainname im Nutzernamen muss in Großbuchstaben angegeben werden. Beispiel:
Sie können die Linux-VM mit der Managed Microsoft AD-Domain verbinden, indem Sie den Befehl realm
join verwenden. Hier ist ein Beispielbefehl:
realm join DOMAIN_NAME -U 'USERNAME@DOMAIN_NAME'
Für eine ausführliche Ausgabe fügen Sie das Flag -v am Ende des Befehls hinzu.
Standort des Kontos mit realm join angeben
Standardmäßig erstellt der Befehl realm join ein Computerkonto unter:
CN=ACCOUNT_NAME,OU=Computers,OU=Cloud,DC=MACHINE,DC=MID_LEVEL,DC=EXTENSION
Um anzugeben, wo das Konto erstellt werden soll, verwenden Sie das Flag --computer-ou, um den Pfad für den Befehl realm join anzugeben. Das folgende Beispiel zeigt, wie der Pfad angegeben wird:
--computer-ou="OU=CUSTOM_OU,DC=MACHINE,DC=MID_LEVEL,DC=EXTENSION"
Der Nutzer muss die erforderlichen Berechtigungen zum Erstellen von Konten in der angegebenen Organisationseinheit haben.
Linux-VM aus einer Domain entfernen
Wenn Sie eine Linux-VM aus einer Domain entfernen möchten, benötigen Sie den Domainnamen Ihrer Managed Microsoft AD-Domain und den Nutzernamen Ihres Nutzerkontos.
Sie können eine Linux-VM mit dem Befehl realm
leave aus der Managed Microsoft AD-Domain entfernen. Hier ist ein Beispielbefehl:
realm leave DOMAIN_NAME -U 'USERNAME@DOMAIN_NAME'