הצטרפות של מכונה וירטואלית של Linux לדומיין
בדף הזה מוסבר איך לצרף מכונת VM של Linux, שמופעלת בה הפצת Linux נתמכת, לדומיין ב-שירות מנוהל ל-Microsoft Active Directory באמצעות System Security Services Daemon (SSSD).
התאימות של שירות מנוהל ל-Microsoft AD פועלת בהרבה הפצות של Linux ובכלי קישוריות אחרים. מידע נוסף על כלי הקישוריות האלה בקוד פתוח
לפני שמתחילים
יצירת מכונה וירטואלית של Linux כשיוצרים את המכונה הווירטואלית, חשוב לבצע את המשימות הבאות:
- בכרטיסייה תמונות ציבוריות, בוחרים את ההפצה המתאימה. לדוגמה, Ubuntu 22.04 LTS או Red Hat Enterprise Linux 8.
- בוחרים גרסת Linux ששירות מנוהל ל-Microsoft AD תומך בה.
- יוצרים את המכונה הווירטואלית בפרויקט שמארח את שירות מנוהל ל-Microsoft AD. אם בדומיין שלכם בשירות מנוהל ל-Microsoft AD יש VPC משותף כרשת מורשית, אתם יכולים גם ליצור את המכונה הווירטואלית בכל אחד מפרויקטי השירות של ה-VPC המשותף.
- יוצרים את המכונה הווירטואלית ברשת VPC שהיא רשת עמיתה לדומיין של שירות מנוהל ל-Microsoft AD.
מתקינים את
realmdבמכונה הווירטואלית. מידע נוסף עלrealmהוראות מפורטות זמינות במאמרי העזרה בנושא Ubuntu ו-Red Hat.
הנה כמה פקודות לדוגמה:
Ubuntu 22.04 LTS ואילך
apt-get update apt-get install realmd sssd packagekit
RHEL 8 ואילך
sudo yum install realmd oddjob oddjob-mkhomedir sssd adcli
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות לביצוע ההפעלה המהירה הזו, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:
- Google Cloud Managed Identities Admin (
roles/managedidentities.admin) - Compute Instance Admin (v1) (
roles/compute.instanceAdmin.v1) - משתמש בחשבון שירות (
roles/iam.serviceAccountUser) - יצירת אסימונים בחשבון שירות (
roles/iam.serviceAccountTokenCreator) - צרכן שימוש בשירות (
roles/serviceusage.serviceUsageConsumer)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
הצטרפות של מכונה וירטואלית של Linux לדומיין
כדי לצרף מכונה וירטואלית של Linux לדומיין, צריך את הפרטים הבאים:
שם הדומיין של שירות מנוהל ל-Microsoft AD. לדוגמה,
mydomain.example.com.שם המשתמש והסיסמה של חשבון שיש לו הרשאות לצרף מכונה וירטואלית לדומיין. כברירת מחדל, לחברי הקבוצה
Cloud Service Domain Join Accountsיש את ההרשאות הבאות. מידע נוסף על קבוצות ברירת המחדל שנוצרות ב-Managed Microsoft AD זמין במאמר בנושא קבוצות.- שם המשתמש צריך להיות בפורמט הבא:
USERNAME@DOMAIN_NAME. שם הדומיין בשם המשתמש צריך להיות באותיות רישיות. לדוגמה,
user@MYDOMAIN.EXAMPLE.COM.
- שם המשתמש צריך להיות בפורמט הבא:
USERNAME@DOMAIN_NAME. שם הדומיין בשם המשתמש צריך להיות באותיות רישיות. לדוגמה,
אפשר להצטרף למכונה הווירטואלית של Linux לדומיין שירות מנוהל ל-Microsoft AD באמצעות הפקודה realm
join. דוגמה לפקודה:
realm join DOMAIN_NAME -U 'USERNAME@DOMAIN_NAME'
כדי לקבל פלט מפורט, מוסיפים את הדגל -v בסוף הפקודה.
ציון מיקום החשבון באמצעות realm join
כברירת מחדל, הפקודה realm join יוצרת חשבון במכונה שנמצא במיקום הבא:
CN=ACCOUNT_NAME,OU=Computers,OU=Cloud,DC=MACHINE,DC=MID_LEVEL,DC=EXTENSION
כדי לציין איפה ליצור את החשבון, משתמשים בדגל --computer-ou כדי לספק את הנתיב לפקודה realm join. בדוגמה הבאה אפשר לראות איך מציינים את הנתיב:
--computer-ou="OU=CUSTOM_OU,DC=MACHINE,DC=MID_LEVEL,DC=EXTENSION"
למשתמש צריכות להיות ההרשאות שנדרשות ליצירת חשבונות ביחידה הארגונית שצוינה.
הסרה של מכונת Linux וירטואלית מדומיין
כדי להסיר מכונה וירטואלית של Linux מדומיין, צריך את שם הדומיין של שירות מנוהל ל-Microsoft AD ואת שם המשתמש של חשבון המשתמש.
אפשר להסיר מכונת Linux וירטואלית מדומיין שירות מנוהל ל-Microsoft AD באמצעות הפקודה realm
leave. דוגמה לפקודה:
realm leave DOMAIN_NAME -U 'USERNAME@DOMAIN_NAME'