Para oferecer suporte ao redirecionamento de cartão inteligente em áreas de trabalho Ubuntu, integre a máquina virtual (VM) base a um domínio Active Directory (AD) usando as soluções Samba e Winbind.

Use o procedimento a seguir para integrar uma VM Ubuntu a um domínio do AD para redirecionamento de cartão inteligente.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.

Valor do espaço reservado Descrição
dns_IP_ADDRESS Endereço IP do seu servidor de nomes DNS
meudomínio.com Nome DNS do seu domínio do AD
MEUDOMÍNIO.COM Nome DNS do seu domínio do AD, em letras maiúsculas
MEUDOMÍNIO Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas
ads-hostname Nome do host do seu servidor AD
ads-hostname.mydomain.com Nome de domínio totalmente qualificado (FQDN) do seu servidor AD
mytimeserver.mycompany.com Nome DNS do seu servidor de horário NTP
AdminUser Nome de usuário do administrador da VM

Procedimento

  1. Na VM Ubuntu, defina o nome do host da VM editando o arquivo de configuração /etc/hostname.
  2. Configure o DNS.
    1. Adicione o nome do servidor DNS e o endereço IP ao arquivo de configuração /etc/hosts.
    2. Adicione o endereço IP do seu servidor de nomes DNS e o nome DNS do seu domínio do AD ao arquivo de configuração /etc/network/interfaces, conforme mostrado no exemplo a seguir. 
      dns-nameservers dns_IP_ADDRESS
dns-search mydomain.com
  3. Instale o pacote resolvconfig.
    1. Execute o comando de instalação. 
      apt-get install -y resolvconf
      Permita que o sistema instale o pacote e reinicialize.
    2. Verifique sua configuração de DNS no arquivo /etc/resolv.conf executando o seguinte comando. 
      cat /etc/resolv.conf
      Verifique se o comando retorna uma saída semelhante ao exemplo a seguir. 
      nameserver dns_IP_ADDRESS
search mydomain.com
  4. Configure a sincronização de hora da rede.
    1. Instale o pacote ntpdate. 
      apt-get install -y ntpdate
    2. Adicione as informações do servidor NTP ao arquivo de configuração /etc/systemd/timesyncd.conf, conforme mostrado no exemplo a seguir. 
      [Time]
NTP=mytimeserver.mycompany.com
  5. Reinicie o serviço NTP. 
    sudo service ntpdate restart
  6. Instale os pacotes de ingresso no AD necessários.
    1. Execute o comando de instalação. 
      apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
    libnss-winbind
    2. No prompt de instalação solicitando o realm Kerberos padrão, digite o nome DNS do seu domínio do AD em letras maiúsculas (por exemplo, MYDOMAIN.COM). Em seguida, selecione Ok.
  7. Edite o arquivo de configuração /etc/krb5.conf, conforme mostrado no exemplo a seguir. 
    [libdefaults]
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_realm = MYDOMAIN.COM
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname.mydomain.com
            admin_server = ads-hostname.mydomain.com
            default_domain = ads-hostname.mydomain.com
            pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
            pkinit_cert_match = <KU>digitalSignature
            pkinit_kdc_hostname = ads-hostname.mydomain.com
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM
  8. Para verificar a certificação Kerberos, execute os comandos a seguir. 
    kinit Administrator@MYDOMAIN.COM

klist
    Verifique se os comandos retornam uma saída semelhante ao exemplo a seguir. 
    Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
        renew until 2019-05-28T17:12:03
  9. Edite o arquivo de configuração /etc/samba/smb.conf, conforme mostrado no exemplo a seguir. 
    [global]
      workgroup = MYDOMAIN  
      realm = MYDOMAIN.COM
      password server = ads-hostname.mydomain.com
      security = ads
      kerberos method = secrets only
      winbind use default domain = true
      winbind offline logon = false 
      template homedir =/home/%D/%U
      template shell = /bin/bash 
      client use spnego = yes
      client ntlmv2 auth = yes
      encrypt passwords = yes
      passdb backend = tdbsam
      winbind enum users = yes
      winbind enum groups = yes
      idmap uid = 10000-20000
      idmap gid = 10000-20000
  10. Ingresse no domínio do AD e verifique a integração.
    1. Execute os comandos de ingresso no AD. 
      net ads join -U AdminUser@mydomain.com
systemctl stop samba-ad-dc
systemctl enable smbd nmbd winbind
systemctl restart smbd nmbd winbind
    2. Modifique o arquivo de configuração /etc/nsswitch.conf, conforme mostrado no exemplo a seguir. 
      passwd:    compat systemd winbind
group:     compat systemd winbind
shadow:    compat
gshadow:   files
    3. Para verificar os resultados da associação ao AD, execute os comandos a seguir e verifique se eles retornam a saída correta. 
      wbinfo -u

wbinfo -g
    4. Para verificar a opção Winbind Name Service, execute os comandos a seguir e verifique se eles retornam a saída correta. 
      getent group|grep 'domain admins'

getent passwd|grep 'ads-hostname'
  11. Ative todos os perfis do PAM. 
    pam-auth-update
    Na tela Configuração do PAM, selecione todos os perfis do PAM, incluindo Criar diretório inicial no login (Create home directory on login), e selecione Ok.

O que Fazer Depois

Configurar o redirecionamento de cartão inteligente em uma máquina virtual Ubuntu