Integrar uma máquina virtual RHEL ou Rocky Linux 9.x/8.x com Active Directory para redirecionamento de cartão inteligente

Use o procedimento a seguir para integrar uma máquina virtual (VM) RHEL ou Rocky Linux 9.x/8.x a um domínio Active Directory (AD) para redirecionamento de cartão inteligente.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.


Valor do espaço reservado	Descrição
dns_IP_ADDRESS	Endereço IP do seu servidor de nomes DNS
rhelsc.domain.com	Nome do host totalmente qualificado da sua VM
rhelsc	Nome do host não qualificado da sua VM
domain.com	Nome DNS do seu domínio do AD
DOMAIN.COM	Nome DNS do seu domínio do AD, em letras maiúsculas
DOMÍNIO	Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas
dnsserver.domain.com	Nome do host do seu servidor AD

Procedimento

Na VM, faça o seguinte.
1. Defina as configurações de rede e DNS conforme exigido pela sua organização.
2. Desative o IPv6.
3. Desative o DNS automático (Automatic DNS).

Configure o arquivo de configuração /etc/hosts para que ele se pareça com o exemplo a seguir.

127.0.0.1        rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
 
dns_IP_ADDRESS   dnsserver.domain.com

Configure o arquivo de configuração /etc/resolv.conf para que ele se pareça com o exemplo a seguir.
```
# Generated by NetworkManager
search domain.com
nameserver dns_IP_ADDRESS
```
Instale os pacotes necessários para a integração do AD.
```
sudo yum install -y samba-common-tools oddjob-mkhomedir
```
Especifique a identidade do sistema e as origens de autenticação.
```
sudo authselect select sssd with-smartcard with-mkhomedir
```
Inicie o serviço oddjobd.
- (RHEL ou Rocky Linux 8.x) Execute os seguintes comandos.
```
sudo systemctl enable oddjobd.service
sudo systemctl start oddjobd.service
```
- (RHEL ou Rocky Linux 9.x) Execute o seguinte comando.
```
sudo systemctl enable --now oddjobd.service
```

Para oferecer suporte à autenticação de cartão inteligente, crie o arquivo /etc/sssd/sssd.conf.

sudo touch /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

Adicione o conteúdo necessário a /etc/sssd/sssd.conf, conforme mostrado no exemplo a seguir. Na seção [pam], especifique pam_cert_auth = True.

[sssd]
config_file_version = 2
domains = domain.com
services = nss, pam, pac
 
[domain/DOMAIN.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
 
[pam]
pam_cert_auth = True

(RHEL ou Rocky Linux 8.x) Ative o serviço sssd.

sudo systemctl enable sssd.service
sudo systemctl start sssd.service

Edite o arquivo de configuração /etc/krb5.conf para que ele se pareça com o exemplo a seguir.

# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
 
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = DOMAIN.COM
    default_ccache_name = KEYRING:persistent:%{uid}
 
[realms]
 DOMAIN.COM = {
     kdc = dnsserver.domain.com
     admin_server = dnsserver.domain.com
     default_domain = dnsserver.domain.com
     pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
     pkinit_cert_match = <KU>digitalSignature
     pkinit_kdc_hostname = dnsserver.domain.com
 }
 
[domain_realm]
 .domain.com = DOMAIN.COM
 domain.com = DOMAIN.COM

Edite o arquivo de configuração /etc/samba/smb.conf para que ele se pareça com o exemplo a seguir.

[global]
        workgroup = DOMAIN
        security = ads
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw
        password server = dnsserver.domain.com
        realm = DOMAIN.COM
        idmap config * : range = 16777216-33554431
        template homedir =/home/DOMAIN/%U
        template shell = /bin/bash
        kerberos method = secrets and keytab
 
[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
 
[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
 
[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @printadmin root
        force group = @printadmin
        create mask = 0664
        directory mask = 0775

Ingresse no domínio do AD, conforme mostrado no exemplo a seguir.
```
sudo net ads join -U AdminUser
```
A execução do comando join retorna uma saída semelhante ao exemplo a seguir.
```
Enter AdminUser's password:
Using short domain name -- DOMAIN
Joined 'rhelsc' to dns domain 'domain.com'
```
Verifique se a VM ingressou com êxito no domínio do AD.
```
sudo net ads testjoin
```
Uma junção do AD bem-sucedida retorna a seguinte saída.
```
Join is OK
```

O que Fazer Depois

Configurar o redirecionamento de cartão inteligente em uma máquina virtual RHEL ou Rocky Linux 9.x/8.x