Para oferecer suporte ao redirecionamento de cartão inteligente em áreas de trabalho SLED/SLES, integre a máquina virtual (VM) base a um domínio Active Directory (AD) usando as soluções Samba e Winbind.

Use o procedimento a seguir para integrar uma VM SLED/SLES a um domínio do AD para redirecionamento de cartão inteligente.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.

Valor do espaço reservado Descrição
dns_IP_ADDRESS Endereço IP do seu servidor de nomes DNS
meudomínio.com Nome DNS do seu domínio do AD
MEUDOMÍNIO.COM Nome DNS do seu domínio do AD, em letras maiúsculas
MEUDOMÍNIO Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas
ads-hostname Nome do host do seu servidor AD
ads-hostname.mydomain.com Nome de domínio totalmente qualificado (FQDN) do seu servidor AD
mytimeserver.mycompany.com Nome DNS do seu servidor de horário NTP
AdminUser Nome de usuário do administrador da VM

Pré-requisitos

Verifique se a VM do SLED/SLES atende aos requisitos de sistema descritos em Configurando o redirecionamento de cartão inteligente.

Procedimento

  1. Defina as configurações de rede para a VM do SLED/SLES.
    1. Defina o nome do host da VM editando os arquivos de configuração /etc/hostname e /etc/hosts.
    2. Configure o endereço IP do servidor DNS e desative DNS automático (Automatic DNS). Para uma VM do SLES, desative também Alterar nome do host via DHCP (Change Hostname via DHCP).
    3. Para configurar a sincronização de horário da rede, adicione as informações do servidor NTP ao arquivo /etc/ntp.conf, conforme mostrado no exemplo a seguir.
      server mytimeserver.mycompany.com
  2. Instale os pacotes de ingresso no AD necessários.
    sudo zypper in krb5-client samba-winbind
  3. Atualize a biblioteca krb5, conforme mostrado no exemplo a seguir.
    sudo zypper up krb5
  4. Edite os arquivos de configuração necessários.
    1. Edite o arquivo /etc/samba/smb.conf, conforme mostrado no exemplo a seguir.
      [global]
              workgroup = MYDOMAIN
              usershare allow guests = NO
              idmap gid = 10000-20000
              idmap uid = 10000-20000
              kerberos method = secrets and keytab
              realm = MYDOMAIN.COM
              security = ADS
              template homedir = /home/%D/%U
              template shell = /bin/bash
              winbind use default domain=true
              winbind offline logon = yes
              winbind refresh tickets = yes
      [homes]
              ...
    2. Edite o arquivo /etc/krb5.conf, conforme mostrado no exemplo a seguir.
      [libdefaults]
              default_realm = MYDOMAIN.COM
              clockskew = 300 
      
      [realms]
              MYDOMAIN.COM = {
                      kdc = ads-hostname.mydomain.com
                      default_domain = mydomain.com 
                      admin_server = ads-hostname.mydomain.com
              }
      
      [logging]
              kdc = FILE:/var/log/krb5/krb5kdc.log
              admin_server = FILE:/var/log/krb5/kadmind.log
              default = SYSLOG:NOTICE:DAEMON
      
      [domain_realm]
              .mydomain.com = MYDOMAIN.COM
              mydomain.com = MYDOMAIN.COM
      
      [appdefaults]
              pam = {
                      ticket_lifetime = 1d
                      renew_lifetime = 1d
                      forwardable = true
                      proxiable = false
                      minimum_uid = 1
              }
    3. Edite o arquivo /etc/security/pam_winbind.conf, conforme mostrado no exemplo a seguir.
      cached_login = yes
      krb5_auth = yes
      krb5_ccache_type = FILE
    4. Edite o arquivo /etc/nsswitch.conf, conforme mostrado no exemplo a seguir.
      passwd: compat winbind
      group: compat winbind
  5. Ingresse no domínio do AD, conforme mostrado no exemplo a seguir.
    sudo net ads join -U AdminUser
  6. Habilite o serviço Winbind.
    1. Para habilitar e iniciar o Winbind, execute a seguinte sequência de comandos.
      sudo pam-config --add --winbind
      sudo pam-config -a --mkhomedir
      sudo systemctl enable winbind
      sudo systemctl start winbind
    2. Para garantir que os usuários do AD possam fazer login em áreas de trabalho sem precisar reiniciar o servidor Linux, execute a seguinte sequência de comandos.
      sudo systemctl stop nscd
      sudo nscd -i passwd
      sudo nscd -i group
      sudo systemctl start nscd
  7. Para confirmar o êxito da associação do AD, execute os comandos a seguir e verifique se eles retornam a saída correta.
    sudo wbinfo -u
    sudo wbinfo -g

O que Fazer Depois

Prossiga para Configurar o redirecionamento de cartão inteligente em uma máquina virtual SLED/SLES.