Para oferecer suporte ao redirecionamento de cartão inteligente em áreas de trabalho Ubuntu, integre a máquina virtual (VM) base a um domínio Active Directory (AD) usando as soluções Samba e Winbind.

Use o procedimento a seguir para integrar uma VM Ubuntu a um domínio do AD para redirecionamento de cartão inteligente.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.

Valor do espaço reservado Descrição
dns_IP_ADDRESS Endereço IP do seu servidor de nomes DNS
meudomínio.com Nome DNS do seu domínio do AD
MEUDOMÍNIO.COM Nome DNS do seu domínio do AD, em letras maiúsculas
MEUDOMÍNIO Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas
ads-hostname Nome do host do seu servidor AD
ads-hostname.mydomain.com Nome de domínio totalmente qualificado (FQDN) do seu servidor AD
mytimeserver.mycompany.com Nome DNS do seu servidor de horário NTP
AdminUser Nome de usuário do administrador da VM

Procedimento

  1. Na VM Ubuntu, defina o nome do host da VM editando o arquivo de configuração /etc/hostname.
  2. Configure o DNS.
    1. Adicione o nome do servidor DNS e o endereço IP ao arquivo de configuração /etc/hosts.
    2. Adicione o endereço IP do seu servidor de nomes DNS e o nome DNS do seu domínio do AD ao arquivo de configuração /etc/network/interfaces, conforme mostrado no exemplo a seguir.
      dns-nameservers dns_IP_ADDRESS
      dns-search mydomain.com
  3. Instale o pacote resolvconfig.
    1. Execute o comando de instalação.
      apt-get install -y resolvconf
      Permita que o sistema instale o pacote e reinicialize.
    2. Verifique sua configuração de DNS no arquivo /etc/resolv.conf executando o seguinte comando.
      cat /etc/resolv.conf
      Verifique se o comando retorna uma saída semelhante ao exemplo a seguir.
      nameserver dns_IP_ADDRESS
      search mydomain.com
  4. Configure a sincronização de hora da rede.
    1. Instale o pacote ntpdate.
      apt-get install -y ntpdate
    2. Adicione as informações do servidor NTP ao arquivo de configuração /etc/systemd/timesyncd.conf, conforme mostrado no exemplo a seguir.
      [Time]
      NTP=mytimeserver.mycompany.com
  5. Reinicie o serviço NTP.
    sudo service ntpdate restart
  6. Instale os pacotes de ingresso no AD necessários.
    1. Execute o comando de instalação.
      apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
          libnss-winbind
    2. No prompt de instalação solicitando o realm Kerberos padrão, digite o nome DNS do seu domínio do AD em letras maiúsculas (por exemplo, MYDOMAIN.COM). Em seguida, selecione Ok.
  7. Edite o arquivo de configuração /etc/krb5.conf, conforme mostrado no exemplo a seguir.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname.mydomain.com
                admin_server = ads-hostname.mydomain.com
                default_domain = ads-hostname.mydomain.com
                pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
                pkinit_cert_match = <KU>digitalSignature
                pkinit_kdc_hostname = ads-hostname.mydomain.com
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  8. Para verificar a certificação Kerberos, execute os comandos a seguir.
    kinit Administrator@MYDOMAIN.COM
    
    klist
    Verifique se os comandos retornam uma saída semelhante ao exemplo a seguir.
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
    2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
            renew until 2019-05-28T17:12:03    
    
  9. Edite o arquivo de configuração /etc/samba/smb.conf, conforme mostrado no exemplo a seguir.
    [global]
          workgroup = MYDOMAIN  
          realm = MYDOMAIN.COM
          password server = ads-hostname.mydomain.com
          security = ads
          kerberos method = secrets only
          winbind use default domain = true
          winbind offline logon = false 
          template homedir =/home/%D/%U
          template shell = /bin/bash 
          client use spnego = yes
          client ntlmv2 auth = yes
          encrypt passwords = yes
          passdb backend = tdbsam
          winbind enum users = yes
          winbind enum groups = yes
          idmap uid = 10000-20000
          idmap gid = 10000-20000
  10. Ingresse no domínio do AD e verifique a integração.
    1. Execute os comandos de ingresso no AD.
      net ads join -U AdminUser@mydomain.com
      systemctl stop samba-ad-dc
      systemctl enable smbd nmbd winbind
      systemctl restart smbd nmbd winbind
    2. Modifique o arquivo de configuração /etc/nsswitch.conf, conforme mostrado no exemplo a seguir.
      passwd:    compat systemd winbind
      group:     compat systemd winbind
      shadow:    compat
      gshadow:   files
    3. Para verificar os resultados da associação ao AD, execute os comandos a seguir e verifique se eles retornam a saída correta.
      wbinfo -u
      
      wbinfo -g
    4. Para verificar a opção Winbind Name Service, execute os comandos a seguir e verifique se eles retornam a saída correta.
      getent group|grep 'domain admins'
      
      getent passwd|grep 'ads-hostname'
  11. Ative todos os perfis do PAM.
    pam-auth-update
    Na tela Configuração do PAM, selecione todos os perfis do PAM, incluindo Criar diretório inicial no login (Create home directory on login), e selecione Ok.

O que Fazer Depois

Configurar o redirecionamento de cartão inteligente em uma máquina virtual Ubuntu