Para oferecer suporte ao redirecionamento de cartão inteligente em áreas de trabalho Ubuntu/Debian, integre a máquina virtual (VM) base a um domínio Active Directory (AD) usando as soluções Samba e Winbind.

Use o procedimento a seguir para integrar uma VM Ubuntu/Debian a um domínio do AD para redirecionamento de cartão inteligente.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.

Valor do espaço reservado Descrição
dns_IP_ADDRESS Endereço IP do seu servidor de nomes DNS
meudomínio.com Nome DNS do seu domínio do AD
MEUDOMÍNIO.COM Nome DNS do seu domínio do AD, em letras maiúsculas
MEUDOMÍNIO Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas
ads-hostname Nome do host do seu servidor AD
ads-hostname.mydomain.com Nome de domínio totalmente qualificado (FQDN) do seu servidor AD
mytimeserver.mycompany.com Nome DNS do seu servidor de horário NTP
AdminUser Nome de usuário do administrador da VM

Procedimento

  1. Na VM Ubuntu/Debian, defina o nome do host da VM editando o arquivo de configuração /etc/hostname.
  2. Configure o DNS.
    1. Adicione o nome do servidor DNS e o endereço IP ao arquivo de configuração /etc/hosts.
    2. Adicione o endereço IP do seu servidor de nomes DNS e o nome DNS do seu domínio do AD ao arquivo de configuração /etc/network/interfaces, conforme mostrado no exemplo a seguir.
      dns-nameservers dns_IP_ADDRESS dns-search mydomain.com
  3. Instale o pacote resolvconfig.
    1. Execute o comando de instalação.
      sudo apt-get install -y resolvconf
      Permita que o sistema instale o pacote e reinicialize.
    2. Verifique sua configuração de DNS no arquivo /etc/resolv.conf executando o seguinte comando.
      sudo cat /etc/resolv.conf
      Verifique se o comando retorna uma saída semelhante ao exemplo a seguir.
      nameserver dns_IP_ADDRESS search mydomain.com
  4. Configure a sincronização de hora da rede.
    1. Instale o pacote ntpdate.
      sudo apt-get install -y ntpdate
    2. Adicione as informações do servidor NTP ao arquivo de configuração /etc/systemd/timesyncd.conf, conforme mostrado no exemplo a seguir.
      [Time] NTP=mytimeserver.mycompany.com
  5. Reinicie o serviço NTP.
    sudo service ntpdate restart
  6. Instale os pacotes de ingresso no AD necessários.
    1. Execute o comando de instalação.
      sudo apt-get install -y samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
    2. No prompt de instalação solicitando o realm Kerberos padrão, digite o nome DNS do seu domínio do AD em letras maiúsculas (por exemplo, MYDOMAIN.COM). Em seguida, selecione Ok.
  7. Edite o arquivo de configuração /etc/krb5.conf, conforme mostrado no exemplo a seguir.
    [libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_realm = MYDOMAIN.COM default_ccache_name = KEYRING:persistent:%{uid} [realms] MYDOMAIN.COM = { kdc = ads-hostname.mydomain.com admin_server = ads-hostname.mydomain.com default_domain = ads-hostname.mydomain.com pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem pkinit_cert_match = <KU>digitalSignature pkinit_kdc_hostname = ads-hostname.mydomain.com } [domain_realm] .mydomain.com = MYDOMAIN.COM mydomain.com = MYDOMAIN.COM
  8. Para verificar a certificação Kerberos, execute os comandos a seguir.
    sudo kinit Administrator@MYDOMAIN.COM sudo klist
    Verifique se os comandos retornam uma saída semelhante ao exemplo a seguir.
    Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@MYDOMAIN.COMValid starting Expires Service principal 2019-05-27T17:12:03 2019-05-28T03:12:03 krbtgt/MYDOMAIN.COM@MYDOMAIN.COM renew until 2019-05-28T17:12:03
  9. Edite o arquivo de configuração /etc/samba/smb.conf, conforme mostrado no exemplo a seguir.
    [global] workgroup = MYDOMAIN usershare allow guests = NO idmap gid = 10000-20000 idmap uid = 10000-20000 kerberos method = secrets and keytab realm = MYDOMAIN.COM security = ADS template homedir = /home/%D/%U template shell = /bin/bash winbind use default domain=true winbind offline logon = yes winbind refresh tickets = yes
  10. Ingresse no domínio do AD e verifique a integração.
    1. Execute os comandos de ingresso no AD.
      sudo net ads join -U AdminUser@mydomain.com sudo systemctl stop samba-ad-dc sudo systemctl enable smbd nmbd winbind sudo systemctl restart smbd nmbd winbind
    2. Modifique o arquivo de configuração /etc/nsswitch.conf, conforme mostrado no exemplo a seguir.
      passwd: compat systemd winbind group: compat systemd winbind shadow: compat gshadow: files
    3. Para verificar os resultados da associação ao AD, execute os comandos a seguir e verifique se eles retornam a saída correta.
      sudo wbinfo -u sudo wbinfo -g
    4. Para verificar a opção Winbind Name Service, execute os comandos a seguir e verifique se eles retornam a saída correta.
      sudo getent group|grep 'domain admins' sudo getent passwd|grep 'ads-hostname'
  11. Ative todos os perfis do PAM.
    pam-auth-update
    Na tela Configuração do PAM, selecione todos os perfis do PAM, incluindo Criar diretório inicial no login (Create home directory on login), e selecione Ok.

O que Fazer Depois

Configurar o redirecionamento de cartão inteligente em uma máquina virtual Ubuntu/Debian