Para oferecer suporte ao redirecionamento de cartão inteligente em áreas de trabalho Ubuntu/Debian, integre a máquina virtual (VM) base a um domínio Active Directory (AD) usando as soluções Samba e Winbind.

Use o procedimento a seguir para integrar uma VM Ubuntu/Debian a um domínio do AD para redirecionamento de cartão inteligente.

Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.

Valor do espaço reservado Descrição
dns_IP_ADDRESS Endereço IP do seu servidor de nomes DNS
meudomínio.com Nome DNS do seu domínio do AD
MEUDOMÍNIO.COM Nome DNS do seu domínio do AD, em letras maiúsculas
MEUDOMÍNIO Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas
ads-hostname Nome do host do seu servidor AD
ads-hostname.mydomain.com Nome de domínio totalmente qualificado (FQDN) do seu servidor AD
mytimeserver.mycompany.com Nome DNS do seu servidor de horário NTP
AdminUser Nome de usuário do administrador da VM

Procedimento

  1. Na VM Ubuntu/Debian, defina o nome do host da VM editando o arquivo de configuração /etc/hostname.
  2. Configure o DNS.
    1. Adicione o nome do servidor DNS e o endereço IP ao arquivo de configuração /etc/hosts.
    2. Adicione o endereço IP do seu servidor de nomes DNS e o nome DNS do seu domínio do AD ao arquivo de configuração /etc/network/interfaces, conforme mostrado no exemplo a seguir. 
      dns-nameservers dns_IP_ADDRESS
dns-search mydomain.com
  3. Instale o pacote resolvconfig.
    1. Execute o comando de instalação. 
      sudo apt-get install -y resolvconf
      Permita que o sistema instale o pacote e reinicialize.
    2. Verifique sua configuração de DNS no arquivo /etc/resolv.conf executando o seguinte comando. 
      sudo cat /etc/resolv.conf
      Verifique se o comando retorna uma saída semelhante ao exemplo a seguir. 
      nameserver dns_IP_ADDRESS
search mydomain.com
  4. Configure a sincronização de hora da rede.
    1. Instale o pacote ntpdate. 
      sudo apt-get install -y ntpdate
    2. Adicione as informações do servidor NTP ao arquivo de configuração /etc/systemd/timesyncd.conf, conforme mostrado no exemplo a seguir. 
      [Time]
NTP=mytimeserver.mycompany.com
  5. Reinicie o serviço NTP. 
    sudo service ntpdate restart
  6. Instale os pacotes de ingresso no AD necessários.
    1. Execute o comando de instalação. 
      sudo apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
    libnss-winbind
    2. No prompt de instalação solicitando o realm Kerberos padrão, digite o nome DNS do seu domínio do AD em letras maiúsculas (por exemplo, MYDOMAIN.COM). Em seguida, selecione Ok.
  7. Edite o arquivo de configuração /etc/krb5.conf, conforme mostrado no exemplo a seguir. 
    [libdefaults]
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_realm = MYDOMAIN.COM
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname.mydomain.com
            admin_server = ads-hostname.mydomain.com
            default_domain = ads-hostname.mydomain.com
            pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
            pkinit_cert_match = <KU>digitalSignature
            pkinit_kdc_hostname = ads-hostname.mydomain.com
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM
  8. Para verificar a certificação Kerberos, execute os comandos a seguir. 
    sudo kinit Administrator@MYDOMAIN.COM

sudo klist
    Verifique se os comandos retornam uma saída semelhante ao exemplo a seguir. 
    Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
        renew until 2019-05-28T17:12:03
  9. Edite o arquivo de configuração /etc/samba/smb.conf, conforme mostrado no exemplo a seguir. 
    [global]
        workgroup = MYDOMAIN
        usershare allow guests = NO
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        kerberos method = secrets and keytab
        realm = MYDOMAIN.COM
        security = ADS
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind use default domain=true
        winbind offline logon = yes
        winbind refresh tickets = yes
  10. Ingresse no domínio do AD e verifique a integração.
    1. Execute os comandos de ingresso no AD. 
      sudo net ads join -U AdminUser@mydomain.com
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind
sudo systemctl restart smbd nmbd winbind
    2. Modifique o arquivo de configuração /etc/nsswitch.conf, conforme mostrado no exemplo a seguir. 
      passwd:    compat systemd winbind
group:     compat systemd winbind
shadow:    compat
gshadow:   files
    3. Para verificar os resultados da associação ao AD, execute os comandos a seguir e verifique se eles retornam a saída correta. 
      sudo wbinfo -u

sudo wbinfo -g
    4. Para verificar a opção Winbind Name Service, execute os comandos a seguir e verifique se eles retornam a saída correta. 
      sudo getent group|grep 'domain admins'

sudo getent passwd|grep 'ads-hostname'
  11. Ative todos os perfis do PAM. 
    pam-auth-update
    Na tela Configuração do PAM, selecione todos os perfis do PAM, incluindo Criar diretório inicial no login (Create home directory on login), e selecione Ok.

O que Fazer Depois

Configurar o redirecionamento de cartão inteligente em uma VM Ubuntu/Debian