要在 RHEL 7.x 桌面上支持智能卡重定向,需使用 Samba 和 Winbind 解决方案将基础虚拟机 (VM) 与 Active Directory (AD) 域集成在一起。
可以使用以下过程将 RHEL 7.x 虚拟机与 AD 域集成以进行智能卡重定向。
该过程中的一些示例使用占位符值以表示网络配置中的实体,例如,AD 域的 DNS 名称。请将占位符值替换为您的配置特定的信息,如下表中所述。
占位符值 |
说明 |
dns_IP_ADDRESS |
DNS 名称服务器的 IP 地址 |
mydomain.com |
AD 域的 DNS 名称 |
MYDOMAIN.COM |
AD 域的 DNS 名称,全部为大写字母 |
MYDOMAIN |
包含 Samba 服务器的工作组或 NT 域的 DNS 名称,全部为大写字母 |
ads-hostname |
AD 服务器的主机名 |
注: 运行 RHEL 7.2 或更高版本的桌面支持智能卡重定向。
过程
- 在 RHEL 7.x 虚拟机上,安装所需的软件包。
# yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
- 编辑系统连接的网络设置。打开 NetworkManager 控制面板,然后导航到系统连接的 IPv4 Settings (IPv4 设置)。对于 IPv4 Method (IPv4 方法),请选择 Automatic (DHCP) (自动 (DHCP))。在 DNS 文本框中,输入 DNS 名称服务器的 IP 地址。然后,单击 Apply (应用)。
- 运行以下命令,并确认它返回 RHEL 7.x 虚拟机的完全限定域名 (Fully Qualified Domain Name, FQDN)。
- 编辑 /etc/resolv.conf 配置文件,如以下示例中所示。
search mydomain.com
nameserver dns_IP_ADDRESS
- 在 RHEL 7.x 虚拟机上关闭安全增强 Linux (SELinux)。编辑 /etc/selinux/config 配置文件,如以下示例中所示。
- 编辑 /etc/krb5.conf 配置文件,如以下示例中所示。
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
default_domain = ads-hostname
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- 编辑 /etc/samba/smb.conf 配置文件,如以下示例中所示。
[global]
workgroup = MYDOMAIN
password server = ads-hostname
realm = MYDOMAIN.COM
security = ads
idmap config * : range = 16777216-33554431
template homedir =/home/MYDOMAIN/%U
template shell = /bin/bash
kerberos method = secrets and keytab
winbind use default domain = true
winbind offline logon = false
winbind refresh tickets = true
passdb backend = tdbsam
- 打开 authconfig-gtk 工具并配置设置,如下所示。
- 选择 Identity & Authentication (身份和身份验证) 选项卡。对于 User Account Database (用户帐户数据库),请选择 Winbind。
- 选择 Advanced Options (高级选项) 选项卡,然后选中 Create home directories on the first login (在首次登录时创建主目录) 复选框。
- 选择 Identity & Authentication (身份和身份验证) 选项卡,然后单击 Join Domain (加入域)。在显示警报以要求您保存更改时,请单击 Save (保存)。
- 在出现提示时,输入域管理员的用户名和密码,然后单击 OK (确定)。
此时,RHEL 7.x 虚拟机将会加入 AD 域。
- 在 PAM Winbind 上设置票证缓存。编辑 /etc/security/pam_winbind.conf 配置文件,以使其包含以下示例中显示的行。
[global]
# authenticate using kerberos
;krb5_auth = yes
# create homedirectory on the fly
;mkhomedir = yes
- 重新启动 Winbind 服务。
# sudo service winbind restart
- 要验证 AD 加入,请运行以下命令,并确保它们返回正确的输出。
- net ads testjoin
- net ads info
- 重新启动 RHEL 7.x 虚拟机,然后重新登录。