Use o procedimento a seguir para integrar uma máquina virtual (VM) RHEL ou Rocky Linux 9.x/8.x a um domínio Active Directory (AD) para redirecionamento de cartão inteligente.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.

Valor do espaço reservado Descrição
dns_IP_ADDRESS Endereço IP do seu servidor de nomes DNS
rhelsc.domain.com Nome do host totalmente qualificado da sua VM
rhelsc Nome do host não qualificado da sua VM
domain.com Nome DNS do seu domínio do AD
DOMAIN.COM Nome DNS do seu domínio do AD, em letras maiúsculas
DOMÍNIO Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas
dnsserver.domain.com Nome do host do seu servidor AD

Procedimento

  1. Na VM, faça o seguinte.
    1. Defina as configurações de rede e DNS conforme exigido pela sua organização.
    2. Desative o IPv6.
    3. Desative o DNS automático (Automatic DNS).
  2. Configure o arquivo de configuração /etc/hosts para que ele se pareça com o exemplo a seguir.
    127.0.0.1        rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
     
    dns_IP_ADDRESS   dnsserver.domain.com
  3. Configure o arquivo de configuração /etc/resolv.conf para que ele se pareça com o exemplo a seguir.
    # Generated by NetworkManager
    search domain.com
    nameserver dns_IP_ADDRESS
  4. Instale os pacotes necessários para a integração do AD.
    sudo yum install -y samba-common-tools oddjob-mkhomedir
  5. Especifique a identidade do sistema e as origens de autenticação.
    sudo authselect select sssd with-smartcard with-mkhomedir
    
    
  6. Inicie o serviço oddjobd.
    • (RHEL ou Rocky Linux 8.x) Execute os seguintes comandos.
      sudo systemctl enable oddjobd.service
      sudo systemctl start oddjobd.service
      
    • (RHEL ou Rocky Linux 9.x) Execute o seguinte comando.
      sudo systemctl enable --now oddjobd.service
  7. Para oferecer suporte à autenticação de cartão inteligente, crie o arquivo /etc/sssd/sssd.conf.
    sudo touch /etc/sssd/sssd.conf
    sudo chmod 600 /etc/sssd/sssd.conf
    sudo chown root:root /etc/sssd/sssd.conf
  8. Adicione o conteúdo necessário a /etc/sssd/sssd.conf, conforme mostrado no exemplo a seguir. Na seção [pam], especifique pam_cert_auth = True.
    [sssd]
    config_file_version = 2
    domains = domain.com
    services = nss, pam, pac
     
    [domain/DOMAIN.COM]
    id_provider = ad
    auth_provider = ad
    chpass_provider = ad
    access_provider = ad
    cache_credentials = true
     
    [pam]
    pam_cert_auth = True
  9. (RHEL ou Rocky Linux 8.x) Ative o serviço sssd.
    sudo systemctl enable sssd.service
    sudo systemctl start sssd.service
  10. Edite o arquivo de configuração /etc/krb5.conf para que ele se pareça com o exemplo a seguir.
    # To opt out of the system crypto-policies configuration of krb5, remove the
    # symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
    includedir /etc/krb5.conf.d/
     
    [logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
     
    [libdefaults]
        dns_lookup_realm = false
        ticket_lifetime = 24h
        renew_lifetime = 7d
        forwardable = true
        rdns = false
        pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
        spake_preauth_groups = edwards25519
        default_realm = DOMAIN.COM
        default_ccache_name = KEYRING:persistent:%{uid}
     
    [realms]
     DOMAIN.COM = {
         kdc = dnsserver.domain.com
         admin_server = dnsserver.domain.com
         default_domain = dnsserver.domain.com
         pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
         pkinit_cert_match = <KU>digitalSignature
         pkinit_kdc_hostname = dnsserver.domain.com
     }
     
    [domain_realm]
     .domain.com = DOMAIN.COM
     domain.com = DOMAIN.COM
  11. Edite o arquivo de configuração /etc/samba/smb.conf para que ele se pareça com o exemplo a seguir.
    [global]
            workgroup = DOMAIN
            security = ads
            passdb backend = tdbsam
            printing = cups
            printcap name = cups
            load printers = yes
            cups options = raw
            password server = dnsserver.domain.com
            realm = DOMAIN.COM
            idmap config * : range = 16777216-33554431
            template homedir =/home/DOMAIN/%U
            template shell = /bin/bash
            kerberos method = secrets and keytab
     
    [homes]
            comment = Home Directories
            valid users = %S, %D%w%S
            browseable = No
            read only = No
            inherit acls = Yes
     
    [printers]
            comment = All Printers
            path = /var/tmp
            printable = Yes
            create mask = 0600
            browseable = No
     
    [print$]
            comment = Printer Drivers
            path = /var/lib/samba/drivers
            write list = @printadmin root
            force group = @printadmin
            create mask = 0664
            directory mask = 0775
  12. Ingresse no domínio do AD, conforme mostrado no exemplo a seguir.
    sudo net ads join -U AdminUser
    A execução do comando join retorna uma saída semelhante ao exemplo a seguir.
    Enter AdminUser's password:
    Using short domain name -- DOMAIN
    Joined 'rhelsc' to dns domain 'domain.com'
  13. Verifique se a VM ingressou com êxito no domínio do AD.
    sudo net ads testjoin

    Uma junção do AD bem-sucedida retorna a seguinte saída.

    Join is OK

O que Fazer Depois

Configurar o redirecionamento de cartão inteligente em uma máquina virtual RHEL ou Rocky Linux 9.x/8.x