Para oferecer suporte ao redirecionamento de cartão inteligente em áreas de trabalho Ubuntu/Debian, integre a máquina virtual (VM) base a um domínio Active Directory (AD) usando as soluções Samba e Winbind.

Use o procedimento a seguir para integrar uma VM Ubuntu/Debian a um domínio do AD para redirecionamento de cartão inteligente.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.

Valor do espaço reservado Descrição
dns_IP_ADDRESS Endereço IP do seu servidor de nomes DNS
meudomínio.com Nome DNS do seu domínio do AD
MEUDOMÍNIO.COM Nome DNS do seu domínio do AD, em letras maiúsculas
MEUDOMÍNIO Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas
ads-hostname Nome do host do seu servidor AD
ads-hostname.mydomain.com Nome de domínio totalmente qualificado (FQDN) do seu servidor AD
mytimeserver.mycompany.com Nome DNS do seu servidor de horário NTP
AdminUser Nome de usuário do administrador da VM

Procedimento

  1. Na VM Ubuntu/Debian, defina o nome do host da VM editando o arquivo de configuração /etc/hostname.
  2. Configure o DNS.
    1. Adicione o nome do servidor DNS e o endereço IP ao arquivo de configuração /etc/hosts.
    2. Adicione o endereço IP do seu servidor de nomes DNS e o nome DNS do seu domínio do AD ao arquivo de configuração /etc/network/interfaces, conforme mostrado no exemplo a seguir.
      dns-nameservers dns_IP_ADDRESS
      dns-search mydomain.com
  3. Instale o pacote resolvconfig.
    1. Execute o comando de instalação.
      sudo apt-get install -y resolvconf
      Permita que o sistema instale o pacote e reinicialize.
    2. Verifique sua configuração de DNS no arquivo /etc/resolv.conf executando o seguinte comando.
      sudo cat /etc/resolv.conf
      Verifique se o comando retorna uma saída semelhante ao exemplo a seguir.
      nameserver dns_IP_ADDRESS
      search mydomain.com
  4. Configure a sincronização de hora da rede.
    1. Instale o pacote ntpdate.
      sudo apt-get install -y ntpdate
    2. Adicione as informações do servidor NTP ao arquivo de configuração /etc/systemd/timesyncd.conf, conforme mostrado no exemplo a seguir.
      [Time]
      NTP=mytimeserver.mycompany.com
  5. Reinicie o serviço NTP.
    sudo service ntpdate restart
  6. Instale os pacotes de ingresso no AD necessários.
    1. Execute o comando de instalação.
      sudo apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
          libnss-winbind
    2. No prompt de instalação solicitando o realm Kerberos padrão, digite o nome DNS do seu domínio do AD em letras maiúsculas (por exemplo, MYDOMAIN.COM). Em seguida, selecione Ok.
  7. Edite o arquivo de configuração /etc/krb5.conf, conforme mostrado no exemplo a seguir.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname.mydomain.com
                admin_server = ads-hostname.mydomain.com
                default_domain = ads-hostname.mydomain.com
                pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
                pkinit_cert_match = <KU>digitalSignature
                pkinit_kdc_hostname = ads-hostname.mydomain.com
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  8. Para verificar a certificação Kerberos, execute os comandos a seguir.
    sudo kinit Administrator@MYDOMAIN.COM
    
    sudo klist
    Verifique se os comandos retornam uma saída semelhante ao exemplo a seguir.
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
    2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
            renew until 2019-05-28T17:12:03    
    
  9. Edite o arquivo de configuração /etc/samba/smb.conf, conforme mostrado no exemplo a seguir.
    [global]
            workgroup = MYDOMAIN
            usershare allow guests = NO
            idmap gid = 10000-20000
            idmap uid = 10000-20000
            kerberos method = secrets and keytab
            realm = MYDOMAIN.COM
            security = ADS
            template homedir = /home/%D/%U
            template shell = /bin/bash
            winbind use default domain=true
            winbind offline logon = yes
            winbind refresh tickets = yes
  10. Ingresse no domínio do AD e verifique a integração.
    1. Execute os comandos de ingresso no AD.
      sudo net ads join -U AdminUser@mydomain.com
      sudo systemctl stop samba-ad-dc
      sudo systemctl enable smbd nmbd winbind
      sudo systemctl restart smbd nmbd winbind
    2. Modifique o arquivo de configuração /etc/nsswitch.conf, conforme mostrado no exemplo a seguir.
      passwd:    compat systemd winbind
      group:     compat systemd winbind
      shadow:    compat
      gshadow:   files
    3. Para verificar os resultados da associação ao AD, execute os comandos a seguir e verifique se eles retornam a saída correta.
      sudo wbinfo -u
      
      sudo wbinfo -g
    4. Para verificar a opção Winbind Name Service, execute os comandos a seguir e verifique se eles retornam a saída correta.
      sudo getent group|grep 'domain admins'
      
      sudo getent passwd|grep 'ads-hostname'
  11. Ative todos os perfis do PAM.
    pam-auth-update
    Na tela Configuração do PAM, selecione todos os perfis do PAM, incluindo Criar diretório inicial no login (Create home directory on login), e selecione Ok.

O que Fazer Depois

Configurar o redirecionamento de cartão inteligente em uma VM Ubuntu/Debian