要在 RHEL 7.x/6.x 桌面上支持智能卡重定向,请使用 Samba 和 Winbind 解决方案将该桌面与 Active Directory (AD) 域相集成。

可以使用以下过程将 RHEL 7.x/6.x 桌面与 AD 域相集成,以便进行智能卡重定向。

该过程中的一些示例使用占位符值以表示网络配置中的实体,例如,AD 域的 DNS 名称。请将占位符值替换为您的配置特定的信息,如下表中所述。

占位符值 说明
dns_IP_ADDRESS DNS 名称服务器的 IP 地址
mydomain.com AD 域的 DNS 名称
MYDOMAIN.COM AD 域的 DNS 名称,全部为大写字母
MYDOMAIN 包含 Samba 服务器的工作组或 NT 域的 DNS 名称,全部为大写字母
ads-hostname AD 服务器的主机名
注: 在运行 RHEL 6.0 或更高版本或者 RHEL 7.1 或更高版本的桌面上支持智能卡重定向。

过程

  1. 在 RHEL 7.x/6.x 桌面上,安装所需的软件包。
    # yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. 编辑系统连接的网络设置。打开 NetworkManager 控制面板,然后导航到系统连接的 IPv4 Settings (IPv4 设置)。对于 IPv4 Method (IPv4 方法),请选择 Automatic (DHCP) (自动 (DHCP))。在 DNS 文本框中,输入 DNS 名称服务器的 IP 地址。然后,单击 Apply (应用)
  3. 运行以下命令,并确认它返回 RHEL 桌面的完全限定域名 (Fully Qualified Domain Name, FQDN)。
    # hostname -f
  4. 编辑 /etc/resolv.conf 配置文件,如以下示例中所示。
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. 在 RHEL 桌面上禁用安全增强 Linux (SELinux)。编辑 /etc/selinux/config 配置文件,如以下示例中所示。
    SELINUX=disabled
  6. 编辑 /etc/krb5.conf 配置文件,如以下示例中所示。
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  7. 编辑 /etc/samba/smb.conf 配置文件,如以下示例中所示。
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  8. 打开 authconfig-gtk 工具并配置设置,如下所示。
    1. 选择 Identity & Authentication (身份和身份验证) 选项卡。对于 User Account Database (用户帐户数据库),请选择 Winbind
    2. 选择 Advanced Options (高级选项) 选项卡,然后选中 Create home directories on the first login (在首次登录时创建主目录) 复选框。
    3. 选择 Identity & Authentication (身份和身份验证) 选项卡,然后单击 Join Domain (加入域)。在显示警报以要求您保存更改时,请单击 Save (保存)
    4. 在出现提示时,输入域管理员的用户名和密码,然后单击 OK (确定)
    您的 RHEL 桌面将加入 AD 域。
  9. 在 PAM Winbind 上设置票证缓存。编辑 /etc/security/pam_winbind.conf 配置文件,以使其包含以下示例中显示的行。
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  10. 重新启动 Winbind 服务。
    # sudo service winbind restart
  11. 要验证 AD 加入,请运行以下命令,并确保它们返回正确的输出。
    • net ads testjoin
    • net ads info
  12. 重新引导系统,然后重新登录。

下一步做什么

为 RHEL 7.x/6.x 桌面设置智能卡重定向功能