Linux VM をドメインに参加させる
このページでは、サポートされている Linux ディストリビューションを実行している Linux VM を、システム セキュリティ サービス デーモン(SSSD)を使用して Managed Service for Microsoft Active Directory のドメインに参加させる方法について説明します。
マネージド Microsoft AD の相互運用性は、多くの Linux ディストリビューションやその他の接続ツールで機能します。これらのオープンソースの接続ツールについて学習する。
始める前に
Linux VM を作成する。 VM を作成する際には、次のタスクを必ず完了します。
- [公開イメージ] タブで、適切なディストリビューションを選択します。たとえば、Ubuntu 22.04 LTS や Red Hat Enterprise Linux 8 を選択します。
- マネージド Microsoft AD でサポートされている Linux バージョンを選択します。
- Managed Microsoft AD ドメインをホストするプロジェクト内に VM を作成します。マネージド Microsoft AD ドメインに承認済みネットワークとして共有 VPC がある場合は、任意の共有 VPC サービス プロジェクト内に VM を作成することもできます。
- マネージド Microsoft AD ドメインとピアリングした VPC ネットワーク上に VM を作成します。
VM に
realmdをインストールします。realmについて学習する。手順については、Ubuntu と Red Hat のドキュメントをご覧ください。
以下はサンプル コマンドです。
Ubuntu 22.04 LTS 以降
apt-get update apt-get install realmd sssd packagekit
RHEL 8 以降
sudo yum install realmd oddjob oddjob-mkhomedir sssd adcli
必要なロール
このクイックスタートを完了するために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
-
Google Cloud Managed Identities 管理者 (
roles/managedidentities.admin) -
Compute インスタンス管理者(v1)(
roles/compute.instanceAdmin.v1) -
サービス アカウント ユーザー(
roles/iam.serviceAccountUser) -
サービス アカウント トークン作成者(
roles/iam.serviceAccountTokenCreator) -
Service Usage ユーザー(
roles/serviceusage.serviceUsageConsumer)
ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
Linux VM をドメインに参加させる
Linux VM をドメインに参加させるには、次の情報が必要です。
マネージド Microsoft AD ドメインのドメイン名。例:
mydomain.example.comVM をドメインに参加させるために必要な権限を持つアカウントのユーザー名とパスワード。デフォルトでは、
Cloud Service Domain Join Accountsグループのメンバーがこれらの権限を持っています。Managed Microsoft AD が作成するデフォルト グループの詳細については、グループをご覧ください。- ユーザー名は USERNAME@DOMAIN_NAME の形式にする必要があります。ユーザー名のドメイン名部分は大文字にする必要があります。例:
user@MYDOMAIN.EXAMPLE.COM
- ユーザー名は USERNAME@DOMAIN_NAME の形式にする必要があります。ユーザー名のドメイン名部分は大文字にする必要があります。例:
realm
join コマンドを使用して、Linux VM をマネージド Microsoft AD ドメインに参加させることができます。以下はサンプル コマンドです。
realm join DOMAIN_NAME -U 'USERNAME@DOMAIN_NAME'
詳細な出力を行うには、コマンドの最後に -v フラグを追加します。
realm join を使用してアカウントの場所を指定する
デフォルトでは、realm join コマンドで次の場所にあるマシンアカウントが作成されます。
CN=ACCOUNT_NAME,OU=Computers,OU=Cloud,DC=MACHINE,DC=MID_LEVEL,DC=EXTENSION
アカウントを作成する場所を指定するには、--computer-ou フラグを使用して、realm join コマンドのパスを指定します。次の例は、パスを指定する方法を示しています。
--computer-ou="OU=CUSTOM_OU,DC=MACHINE,DC=MID_LEVEL,DC=EXTENSION"
ユーザーが、指定した OU でのアカウントの作成に必要な権限を持っている必要があります。
ドメインから Linux VM を削除する
ドメインから Linux VM を削除するには、マネージド Microsoft AD ドメインのドメイン名とユーザー アカウントのユーザー名が必要です。
マネージド Microsoft AD ドメインから Linux VM を削除するには、realm
leave コマンドを使用します。以下はサンプル コマンドです。
realm leave DOMAIN_NAME -U 'USERNAME@DOMAIN_NAME'
次のステップ
- Managed Microsoft AD ドメインに接続する。
- 委任された管理者アカウントについて学習する。