Associar o SQL Server em um host Linux a um domínio do Ative Directory

Artigo
01/07/2025

Aplica-se a:SQL Server - Linux

Este artigo fornece orientação geral sobre como associar uma máquina host Linux do SQL Server a um domínio do Ative Directory. Há dois métodos: usar um pacote SSSD interno ou usar provedores do Ative Directory de terceiros. Exemplos de produtos de associação de domínio de terceiros são PowerBroker Identity Services (PBIS), One Identitye Centrify.

Este guia inclui etapas para verificar a configuração do Ative Directory. No entanto, não se destina a fornecer instruções sobre como associar uma máquina a um domínio ao usar utilitários de terceiros.

Observação

Para obter informações sobre como configurar o Ative Directory com versões mais recentes do Ubuntu, RHEL ou SLES, consulte Tutorial: Usar adutil para configurar a autenticação do Ative Directory com o SQL Server no Linux.

Pré-requisitos

Antes de configurar a autenticação do Ative Directory, você precisa configurar um controlador de domínio do Ative Directory, o Windows, na rede. Em seguida, associe seu SQL Server no host Linux a um domínio do Ative Directory.

As etapas de exemplo descritas neste artigo são apenas para orientação e referem-se aos sistemas operacionais Ubuntu 16.04, Red Hat Enterprise Linux (RHEL) 7.x e SUSE Linux Enterprise Server (SLES) 12. As etapas reais podem diferir ligeiramente em seu ambiente, dependendo de como seu ambiente geral está configurado e da versão do sistema operacional. Por exemplo, o Ubuntu 18.04 usa netplan, enquanto o Red Hat Enterprise Linux (RHEL) 8.x usa nmcli entre outras ferramentas para gerenciar e configurar a rede. Você deve envolver seus administradores de sistema e domínio para seu ambiente para ferramentas específicas, configuração, personalização e qualquer solução de problemas necessária.

DNS reverso (rDNS)

Quando configura um computador com o Windows Server como controlador de domínio, poderá não ter uma zona rDNS por predefinição. Verifique se existe uma zona rDNS aplicável para o controlador de domínio e o endereço IP da máquina Linux que executará o SQL Server.

Certifique-se também de que existe um registo PTR que aponte para os controladores de domínio.

Verificar a ligação a um controlador de domínio

Verifique se você pode entrar em contato com o controlador de domínio usando os nomes curtos e totalmente qualificados do domínio e usando o nome de host do controlador de domínio. O endereço IP do controlador de domínio deve também ser resolvido para o FQDN do controlador de domínio:

ping contoso
ping contoso.com
ping dc1.contoso.com
nslookup <IP address of dc1.contoso.com>

Dica

Este tutorial usa contoso.com e CONTOSO.COM como nomes de domínio e território de exemplo, respectivamente. Ele também usa DC1.CONTOSO.COM como o exemplo de nome de domínio totalmente qualificado do controlador de domínio. Você deve substituir esses nomes por seus próprios valores.

Para garantir a resolução adequada de nomes de domínio, é crucial atualizar o arquivo /etc/resolv.conf se forem encontradas discrepâncias durante as verificações de nome. O procedimento de atualização varia entre distribuições; Por isso, é aconselhável consultar a documentação oficial para uma orientação precisa. A lista a seguir fornece links para algumas distribuições e suas principais versões:

Distribuição	Artigo de referência
RHEL 8	Configurando manualmente o /etc/resolv.conf
RHEL 9	Configurando manualmente o /etc/resolv.conf
SLES 15	Configurações de NETCONFIG_DNS_STATIC_SEARCHLIST e NETCONFIG_DNS_STATIC_SERVERS
Ubuntu	Secção de Resolução de Nomes

O objetivo é configurar /etc/resolv.conf corretamente para sua distribuição para facilitar a resolução de nomes de domínio. Por exemplo, se o seu domínio for contoso.com e o endereço IP do Active Directory for 10.0.0.4, o /etc/resolv.conf deverá ser configurado de forma adequada para resolver nomes com sucesso a partir do host.

cat /etc/resolv.conf

Aqui está o conjunto de resultados.

# Generated by NetworkManager
search contoso.com com
nameserver 10.0.0.4

RHEL 7.x

Edite o arquivo /etc/sysconfig/network-scripts/ifcfg-eth0 para que seu domínio do Ative Directory esteja na lista de pesquisa de domínio. Ou edite outro arquivo de configuração de interface conforme apropriado:
```
sudo vi /etc/sysconfig/network-scripts/ifcfg-eth0
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
PEERDNS=no
DNS1=<Domain controller IP address>
DOMAIN="contoso.com com"
```
Depois de editar este ficheiro, reinicie o serviço de rede:
```
sudo systemctl restart network
```
Agora verifique se o arquivo /etc/resolv.conf contém uma linha como o exemplo a seguir:
```
sudo vi /etc/resolv.conf
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
search contoso.com com
nameserver <Domain controller IP address>
```
Se ainda não conseguir executar ping no controlador de domínio, localize o nome de domínio totalmente qualificado e o endereço IP do controlador de domínio. Um exemplo de nome de domínio é DC1.CONTOSO.COM. Adicione a seguinte entrada a /etc/hosts:
```
sudo vi /etc/hosts
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
<IP address> DC1.CONTOSO.COM CONTOSO.COM CONTOSO
```

SLES 12

Edite o arquivo /etc/sysconfig/network/config para que o IP do controlador de domínio seja usado para consultas DNS e o domínio do Ative Directory esteja na lista de pesquisa de domínio:
```
sudo vi /etc/sysconfig/network/config
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
NETCONFIG_DNS_STATIC_SEARCHLIST=""
NETCONFIG_DNS_STATIC_SERVERS="<Domain controller IP address>"
```
Depois de editar este ficheiro, reinicie o serviço de rede:
```
sudo systemctl restart network
```
Em seguida, verifique se o arquivo /etc/resolv.conf contém uma linha como o exemplo a seguir:
```
sudo vi /etc/resolv.conf
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
search contoso.com com
nameserver <Domain controller IP address>
```

Ubuntu 18.04

Edite o arquivo /etc/netplan/******.yaml para que seu domínio do Ative Directory esteja na lista de pesquisa de domínio:
```
sudo vi /etc/netplan/******.yaml
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
network:
  ethernets:
    eth0:
            dhcp4: true

            dhcp6: true
            nameservers:
                    addresses: [<Domain controller IP address>]
                    search: [<Active Directory domain name>]
  version: 2
```
Observação

A interface de rede, eth0, pode diferir para máquinas diferentes. Para descobrir qual você está usando, execute ifconfig. Em seguida, copie a interface que possui um endereço IP, bem como os bytes transmitidos e recebidos.
Depois de editar este ficheiro, reinicie o serviço de rede:
```
sudo netplan apply
```
Em seguida, verifique se o arquivo /etc/resolv.conf contém uma linha como o exemplo a seguir:
```
/etc/resolv.conf
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
search contoso.com com
nameserver <Domain controller IP address>
```

Ubuntu 16.04

Edite o arquivo /etc/network/interfaces para que seu domínio do Ative Directory esteja na lista de pesquisa de domínio:
```
sudo vi /etc/network/interfaces
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
# The primary network interface
auto eth0
iface eth0 inet dhcp
dns-nameservers <Domain controller IP address>
dns-search <Active Directory domain name>
```
Observação

A interface de rede, eth0, pode diferir para máquinas diferentes. Para descobrir qual você está usando, execute ifconfig. Em seguida, copie a interface que tem um endereço IP e bytes transmitidos e recebidos.
Depois de editar este ficheiro, reinicie o serviço de rede:
```
sudo ifdown eth0 && sudo ifup eth0
```
Em seguida, verifique se o arquivo /etc/resolv.conf contém uma linha como o exemplo a seguir:
```
sudo vi /etc/resolv.conf
```
O conteúdo deve ser semelhante ao exemplo a seguir:
```
search contoso.com com
nameserver <Domain controller IP address>
```

Ingressar no domínio do Ative Directory

Depois que a configuração básica e a conectividade com o controlador de domínio forem verificadas, há duas opções para ingressar em uma máquina host Linux do SQL Server com o controlador de domínio do Ative Directory:

Opção 1: Usar um pacote SSSD
Opção 2: Usar utilitários de provedor OpenLDAP de terceiros

Opção 1: Usar o pacote SSSD para ingressar no domínio do Ative Directory

Esse método une o host do SQL Server a um domínio do Active Directory usando os pacotes realmd e sssd.

Este é o método preferido de unir um host Linux a um controlador de domínio do Ative Directory.

Para obter as instruções mais atualizadas, consulte a documentação oficial fornecida pelos parceiros de distribuição.

Distribuição	Artigo de referência
RHEL 8	Descobrir e ingressar em um domínio do AD usando o SSSD
RHEL 9	Descobrir e ingressar em um domínio do AD usando o SSSD
SLES	Ingressando no Ative Directory usando a associação de domínio do Windows
Ubuntu	Como configurar o SSSD com o Ative Directory

Use as seguintes etapas para associar um host do SQL Server a um domínio do Ative Directory:

Use realmd para associar a sua máquina host ao seu Domínio do Active Directory. Você deve primeiro instalar os pacotes realmd e Kerberos na máquina host do SQL Server usando o gerenciador de pacotes da sua distribuição Linux:

RHEL:

sudo yum install realmd krb5-workstation

SLES 12:

Estas etapas são específicas para o SLES 12.

sudo zypper addrepo https://download.opensuse.org/repositories/network/SLE_12/network.repo
sudo zypper refresh
sudo zypper install realmd krb5-client sssd-ad

Ubuntu 18.04

sudo apt-get install realmd krb5-user software-properties-common python3-software-properties packagekit
sudo apt-get install adcli libpam-sss libnss-sss sssd sssd-tools

Ubuntu 16.04

sudo apt-get install realmd krb5-user software-properties-common python-software-properties packagekit

Se a instalação do pacote do cliente Kerberos solicitar um nome de território, digite seu nome de domínio em maiúsculas.

Depois de confirmar que o DNS está configurado corretamente, ingresse no domínio executando o seguinte comando. Você deve autenticar usando uma conta do Ative Directory que tenha privilégios suficientes no Ative Directory para ingressar uma nova máquina no domínio. Este comando cria uma nova conta de computador no Ative Directory, cria o arquivo keytab do host /etc/krb5.keytab, configura o domínio no /etc/sssd/sssd.confe atualiza /etc/krb5.conf.

Devido a um problema com realmd, primeiro atribua ao nome de host da máquina o FQDN ao invés do nome da máquina. Caso contrário, realmd pode não criar todos os SPNs necessários para a máquina e as entradas DNS não serão atualizadas automaticamente, mesmo que o controlador de domínio ofereça suporte a atualizações dinâmicas de DNS.

sudo hostname <old hostname>.contoso.com

Depois de executar esse comando, o arquivo /etc/hostname deve conter <old hostname>.contoso.com.

sudo realm join contoso.com -U 'user@CONTOSO.COM' -v

Você deve ver a mensagem, Successfully enrolled machine in realm.

A tabela a seguir lista algumas mensagens de erro que você pode receber e sugestões para resolvê-las:

Mensagem de erro	Recomendação
`Necessary packages are not installed`	Instale esses pacotes usando o gerenciador de pacotes da sua distribuição Linux antes de executar o comando realm join novamente.
`Insufficient permissions to join the domain`	Verifique com um administrador de domínio se você tem permissões suficientes para unir máquinas Linux ao seu domínio.
`KDC reply did not match expectations`	Talvez você não tenha especificado o nome de território correto para o usuário. Os nomes de realm são sensíveis a maiúsculas e minúsculas, geralmente aparecem em maiúsculas, e podem ser identificados com o comando realm discover contoso.com.

O SQL Server usa SSSD e NSS para mapear contas de usuário e grupos para identificadores de segurança (SIDs). O SSSD deve ser configurado e executado para que o SQL Server crie logons do Ative Directory com êxito. realmd geralmente faz isso automaticamente como parte da adesão ao domínio, mas, em alguns casos, você deve fazer isso separadamente.

Para obter mais informações, consulte como configurar o SSSD manualmentee configurar o NSS para funcionar com o SSSD.

Verifique se agora você pode coletar informações sobre um usuário do domínio e se pode adquirir um tíquete Kerberos como esse usuário. O exemplo a seguir usa os comandos id, kinite klist para isso.
```
id user@contoso.com

uid=1348601103(user@contoso.com) gid=1348600513(domain group@contoso.com) groups=1348600513(domain group@contoso.com)

kinit user@CONTOSO.COM

Password for user@CONTOSO.COM:

klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: user@CONTOSO.COM
```
Se id user\@contoso.com retornar, No such user, certifique-se de que o serviço SSSD foi iniciado com êxito executando o comando sudo systemctl status sssd. Se o serviço estiver em execução e ainda se visualizar o erro, tente habilitar o registo detalhado para o SSSD. Para obter mais informações, consulte a documentação da Red Hat para solução de problemas de SSSD.

Se kinit user\@CONTOSO.COM retornar, KDC reply didn't match expectations while getting initial credentials, certifique-se de especificar o domínio em maiúsculas.

Para obter mais informações, consulte a documentação da Red Hat sobre Discovering and Joining Identity Domains.

Opção 2: Usar utilitários de provedor OpenLDAP de terceiros

Você pode usar utilitários de terceiros, como PBIS, VASou Centrify. Este artigo não cobre passos para cada utilitário específico. Você deve primeiro usar um desses utilitários para associar o host Linux do SQL Server ao domínio antes de continuar.

O SQL Server não usa o código ou a biblioteca do integrador de terceiros para consultas relacionadas ao Ative Directory. O SQL Server sempre consulta o Ative Directory usando chamadas de biblioteca OpenLDAP diretamente nesta configuração. Os integradores de terceiros são usados apenas para unir o host Linux ao domínio do Ative Directory, e o SQL Server não tem nenhuma comunicação direta com esses utilitários.

Importante

Consulte as recomendações para usar a opção de configuração mssql-conf network.disablesssd na seção Opções de configuração adicionais do artigo Usar a autenticação do Ative Directory com o SQL Server no Linux.

Verifique se o /etc/krb5.conf está configurado corretamente. Para a maioria dos provedores do Ative Directory de terceiros, essa configuração é feita automaticamente. No entanto, verifique /etc/krb5.conf para os seguintes valores para evitar problemas futuros.

sudo vi /etc/krb5.conf

O conteúdo deve ser semelhante ao exemplo a seguir:

[libdefaults]
default_realm = CONTOSO.COM

[realms]
CONTOSO.COM = {
}

[domain_realm]
contoso.com = CONTOSO.COM
.contoso.com = CONTOSO.COM

Verifique se o DNS reverso está configurado corretamente

O comando a seguir deve retornar o nome de domínio totalmente qualificado (FQDN) do host que executa o SQL Server. Um exemplo é SqlHost.contoso.com.

host <IP address of SQL Server host>

A saída deste comando deve ser semelhante a <reversed IP address>.in-addr.arpa domain name pointer SqlHost.contoso.com. Se esse comando não retornar o FQDN do host ou se o FQDN estiver incorreto, adicione uma entrada DNS reversa para o SQL Server no host Linux ao servidor DNS.

Próximo passo

Neste artigo, você abordou como configurar um SQL Server em uma máquina host Linux com a Autenticação do Ative Directory. Para concluir a configuração do SQL Server no Linux para oferecer suporte a contas do Ative Directory, siga estas instruções.

Tutorial: Usar a autenticação do Ative Directory com o SQL Server no Linux

Partilhar via