Leider ist mir nicht bekannt wie verbreitet die Azure AD Login Extension für Azure Virtual Machines und Azure Arc verwaltete Computer ist. Daher möchte ich hier meine Erfahrungen damit teilen. Zunächst ein paar Grundlagen. Die Azure AD Login Extension erlaubt es EntraID (vormals Azure AD) Benutzern sich an einer Azure Virtuellen Maschine oder einem Azure Arc verwalteten Computer anzumelden.
Für die Anmeldung ist neben der installierten Extension eine entsprechende RBAC (Role Based Access Control) Rolle notwendig.
Virtual Machine Administrator Login
Virtual Machine User Login
Die Extension existiert für Windows und Linux. Der Windows Login mit EntraID Benutzerkonto ist dabei sicher etwas gängiger da bereits bekannt von EntraID Joined Devices. Kommen wir daher zum Linux EntraID Login. Die Grundlage für den Login auf einem Linux System ist die installierte Extension. Clientseitig wird die Azure Cli mit SSH Extension benötigt. Die Azure Cli wird genutzt um die Anmeldung an EntraID durchzuführen.
az login
Nach erfolgter Anmeldung steht der Azure Cli das SSH Zertifikat für die Anmeldung zur Verfügung. Über die SSH Extension der Azure Cli findet schließlich der Login statt. Es ist keine weitere Eingabe mehr erforderlich.
az ssh vm --ip <ip-address>
Auch können beliebte SSH Clients wie z.B. PuTTY verwendet werden, wenngleich das Prozedere etwas umständlich erscheint. Um das SSH Zertifikat in PuTTY zu benutzen muss dieses zunächst mit der Azure Cli exportiert werden.
az ssh config --file ..ssh\ --ip <ip-address>
Leider kann PuTTY den exportierten Private Key nicht direkt verwenden. Der Private Key muss zunächst mit PuTTYgen (im PuTTY installer enthalten) in das ppk format konvertiert werden.
Mit „Save private key“ wird die entsprechende ppk Datei erzeugt. Die ppk Datei und das Public Zertifikat .pub können anschließend in PuTTY verwendet werden um sich an dem Zielcomputer anzumelden.
Für einen nahtlosen Login kann der Benutzername noch in PuTTY hinterlegt werden.
Was zurückbleibt ist ein etwas komplizierter Prozess um den Private Key zu extrahieren. Zudem ist der Key ab Zeitpunkt des Exports nur eine Stunde gültig (leider im Augenblick auch nicht konfigurierbar). Somit ist davon auszugehen das die Prozedur bei fast jeder neuen Anmeldung zu wiederholen ist.
