Para oferecer suporte ao redirecionamento de cartão inteligente em áreas de trabalho Ubuntu/Debian, integre a máquina virtual (VM) base a um domínio Active Directory (AD) usando as soluções Samba e Winbind.
Use o procedimento a seguir para integrar uma VM Ubuntu/Debian a um domínio do AD para redirecionamento de cartão inteligente.
Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.
Valor do espaço reservado |
Descrição |
dns_IP_ADDRESS |
Endereço IP do seu servidor de nomes DNS |
meudomínio.com |
Nome DNS do seu domínio do AD |
MEUDOMÍNIO.COM |
Nome DNS do seu domínio do AD, em letras maiúsculas |
MEUDOMÍNIO |
Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas |
ads-hostname |
Nome do host do seu servidor AD |
ads-hostname.mydomain.com |
Nome de domínio totalmente qualificado (FQDN) do seu servidor AD |
mytimeserver.mycompany.com |
Nome DNS do seu servidor de horário NTP |
AdminUser |
Nome de usuário do administrador da VM |
Procedimento
- Na VM Ubuntu/Debian, defina o nome do host da VM editando o arquivo de configuração /etc/hostname.
- Configure o DNS.
- Adicione o nome do servidor DNS e o endereço IP ao arquivo de configuração /etc/hosts.
- Adicione o endereço IP do seu servidor de nomes DNS e o nome DNS do seu domínio do AD ao arquivo de configuração /etc/network/interfaces, conforme mostrado no exemplo a seguir.
dns-nameservers dns_IP_ADDRESS
dns-search mydomain.com
- Instale o pacote resolvconfig.
- Execute o comando de instalação.
sudo apt-get install -y resolvconf
Permita que o sistema instale o pacote e reinicialize.
- Verifique sua configuração de DNS no arquivo /etc/resolv.conf executando o seguinte comando.
sudo cat /etc/resolv.conf
Verifique se o comando retorna uma saída semelhante ao exemplo a seguir.
nameserver dns_IP_ADDRESS
search mydomain.com
- Configure a sincronização de hora da rede.
- Instale o pacote ntpdate.
sudo apt-get install -y ntpdate
- Adicione as informações do servidor NTP ao arquivo de configuração /etc/systemd/timesyncd.conf, conforme mostrado no exemplo a seguir.
[Time]
NTP=mytimeserver.mycompany.com
- Reinicie o serviço NTP.
sudo service ntpdate restart
- Instale os pacotes de ingresso no AD necessários.
- Execute o comando de instalação.
sudo apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
libnss-winbind
- No prompt de instalação solicitando o realm Kerberos padrão, digite o nome DNS do seu domínio do AD em letras maiúsculas (por exemplo, MYDOMAIN.COM). Em seguida, selecione Ok.
- Edite o arquivo de configuração /etc/krb5.conf, conforme mostrado no exemplo a seguir.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
admin_server = ads-hostname.mydomain.com
default_domain = ads-hostname.mydomain.com
pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
pkinit_cert_match = <KU>digitalSignature
pkinit_kdc_hostname = ads-hostname.mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- Para verificar a certificação Kerberos, execute os comandos a seguir.
sudo kinit Administrator@MYDOMAIN.COM
sudo klist
Verifique se os comandos retornam uma saída semelhante ao exemplo a seguir.
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.COMValid starting Expires Service principal
2019-05-27T17:12:03 2019-05-28T03:12:03 krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
renew until 2019-05-28T17:12:03
- Edite o arquivo de configuração /etc/samba/smb.conf, conforme mostrado no exemplo a seguir.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
- Ingresse no domínio do AD e verifique a integração.
- Execute os comandos de ingresso no AD.
sudo net ads join -U AdminUser@mydomain.com
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind
sudo systemctl restart smbd nmbd winbind
- Modifique o arquivo de configuração /etc/nsswitch.conf, conforme mostrado no exemplo a seguir.
passwd: compat systemd winbind
group: compat systemd winbind
shadow: compat
gshadow: files
- Para verificar os resultados da associação ao AD, execute os comandos a seguir e verifique se eles retornam a saída correta.
sudo wbinfo -u
sudo wbinfo -g
- Para verificar a opção Winbind Name Service, execute os comandos a seguir e verifique se eles retornam a saída correta.
sudo getent group|grep 'domain admins'
sudo getent passwd|grep 'ads-hostname'
- Ative todos os perfis do PAM.
Na tela Configuração do PAM, selecione todos os perfis do PAM, incluindo
Criar diretório inicial no login (Create home directory on login), e selecione
Ok.