Para oferecer suporte ao redirecionamento de cartão inteligente em áreas de trabalho SLED/SLES, integre a máquina virtual (VM) base a um domínio Active Directory (AD) usando as soluções Samba e Winbind.
Use o procedimento a seguir para integrar uma VM SLED/SLES a um domínio do AD para redirecionamento de cartão inteligente.
Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.
Valor do espaço reservado |
Descrição |
dns_IP_ADDRESS |
Endereço IP do seu servidor de nomes DNS |
meudomínio.com |
Nome DNS do seu domínio do AD |
MEUDOMÍNIO.COM |
Nome DNS do seu domínio do AD, em letras maiúsculas |
MEUDOMÍNIO |
Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas |
ads-hostname |
Nome do host do seu servidor AD |
ads-hostname.mydomain.com |
Nome de domínio totalmente qualificado (FQDN) do seu servidor AD |
mytimeserver.mycompany.com |
Nome DNS do seu servidor de horário NTP |
AdminUser |
Nome de usuário do administrador da VM |
Procedimento
- Defina as configurações de rede para a VM do SLED/SLES.
- Defina o nome do host da VM editando os arquivos de configuração /etc/hostname e /etc/hosts.
- Configure o endereço IP do servidor DNS e desative DNS automático (Automatic DNS). Para uma VM do SLES, desative também Alterar nome do host via DHCP (Change Hostname via DHCP).
- Para configurar a sincronização de horário da rede, adicione as informações do servidor NTP ao arquivo /etc/ntp.conf, conforme mostrado no exemplo a seguir.
server mytimeserver.mycompany.com
- Instale os pacotes de ingresso no AD necessários.
sudo zypper in krb5-client samba-winbind
- Atualize a biblioteca krb5, conforme mostrado no exemplo a seguir.
- Edite os arquivos de configuração necessários.
- Edite o arquivo /etc/samba/smb.conf, conforme mostrado no exemplo a seguir.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- Edite o arquivo /etc/krb5.conf, conforme mostrado no exemplo a seguir.
[libdefaults]
default_realm = MYDOMAIN.COM
clockskew = 300
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
default_domain = mydomain.com
admin_server = ads-hostname.mydomain.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- Edite o arquivo /etc/security/pam_winbind.conf, conforme mostrado no exemplo a seguir.
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- Edite o arquivo /etc/nsswitch.conf, conforme mostrado no exemplo a seguir.
passwd: compat winbind
group: compat winbind
- Ingresse no domínio do AD, conforme mostrado no exemplo a seguir.
sudo net ads join -U AdminUser
- Habilite o serviço Winbind.
- Para habilitar e iniciar o Winbind, execute a seguinte sequência de comandos.
sudo pam-config --add --winbind
sudo pam-config -a --mkhomedir
sudo systemctl enable winbind
sudo systemctl start winbind
- Para garantir que os usuários do AD possam fazer login em áreas de trabalho sem precisar reiniciar o servidor Linux, execute a seguinte sequência de comandos.
sudo systemctl stop nscd
sudo nscd -i passwd
sudo nscd -i group
sudo systemctl start nscd
- Para confirmar o êxito da associação do AD, execute os comandos a seguir e verifique se eles retornam a saída correta.
sudo wbinfo -u
sudo wbinfo -g