Para oferecer suporte ao redirecionamento de smart card em desktops RHEL 7.9, integre a máquina virtual (VM) base ao seu domínio Active Directory (AD) usando as soluções Samba e Winbind.
Use o procedimento a seguir para integrar uma VM RHEL 7.9 ao seu domínio do AD para redirecionamento de cartão inteligente.
Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.
| Valor do espaço reservado |
Descrição |
| dns_IP_ADDRESS |
Endereço IP do seu servidor de nomes DNS |
| meudomínio.com |
Nome DNS do seu domínio do AD |
| MEUDOMÍNIO.COM |
Nome DNS do seu domínio do AD, em letras maiúsculas |
| MEUDOMÍNIO |
Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas |
| ads-hostname |
Nome do host do seu servidor AD |
Procedimento
- Na VM do RHEL 7.9, instale os pacotes necessários.
sudo yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
- Edite as configurações de rede para a conexão do sistema. Abra o painel de controle do NetworkManager e navegue até as Configurações de IPv4 (IPv4 Settings) para a conexão do sistema. Para Método IPv4, selecione Automático (DHCP) . Na caixa de texto DNS, digite o endereço IP do seu servidor de nomes DNS. Em seguida, clique em Aplicar (Apply).
- Execute o seguinte comando e verifique se ele retorna o nome de domínio totalmente qualificado (FQDN) da VM do RHEL 7.9.
- Edite o arquivo de configuração /etc/resolv.conf, conforme mostrado no exemplo a seguir.
search mydomain.com
nameserver dns_IP_ADDRESS
- Edite o arquivo de configuração /etc/krb5.conf, conforme mostrado no exemplo a seguir.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
default_domain = ads-hostname
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- Edite o arquivo de configuração /etc/samba/smb.conf, conforme mostrado no exemplo a seguir.
[global]
workgroup = MYDOMAIN
password server = ads-hostname
realm = MYDOMAIN.COM
security = ads
idmap config * : range = 16777216-33554431
template homedir =/home/MYDOMAIN/%U
template shell = /bin/bash
kerberos method = secrets and keytab
winbind use default domain = true
winbind offline logon = false
winbind refresh tickets = true
passdb backend = tdbsam
- Abra a ferramenta authconfig-gtk e defina as configurações da seguinte maneira.
- Selecione a guia Identidade e Autenticação (Identity & Authentication). Para Banco de dados de conta de usuário, selecione Winbind.
- Marque a guia Opções avançadas (Advanced Options) e marque a caixa de seleção Criar diretórios pessoais no primeiro login (Create home directories on the first login).
- Selecione a guia Identidade e autenticação (Identity & Authentication) e clique em Ingressar no domínio (Join Domain). No alerta solicitando que você salve as alterações, clique em Salvar (Save).
- Quando solicitado, digite o nome de usuário e a senha do administrador do domínio e clique em OK.
A VM do RHEL 7.9 ingressou no domínio do AD.
- Configure o cache de tíquete no PAM Winbind. Edite o arquivo de configuração /etc/security/pam_winbind.conf para que ele inclua as linhas mostradas no exemplo a seguir.
[global]
# authenticate using kerberos
;krb5_auth = yes
# create homedirectory on the fly
;mkhomedir = yes
- Reinicie o serviço Winbind.
sudo service winbind restart
- Para verificar a associação ao AD, execute os comandos a seguir e certifique-se de que eles retornem a saída correta.
sudo net ads testjoin
sudo net ads info
- Reinicie a VM do RHEL 7.9 e faça login novamente.
