Integrieren Sie den Desktop mithilfe von Samba und Winbind in eine Active Directory (AD)-Domäne, um die Smartcard-Umleitung auf einem SLED/SLES-Desktop zu unterstützen.

Wenden Sie das folgende Verfahren an, um einen SLED/SLES-Desktop für die Smartcard-Umleitung in eine AD-Domäne zu integrieren.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.

Platzhalterwert Beschreibung
dns_IP_ADDRESS IP-Adresse Ihres DNS-Namenservers
mydomain.com DNS-Name Ihrer Active Directory-Domäne
MYDOMAIN.COM DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
MYDOMAIN DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
ads-hostname Hostname Ihres AD-Servers
ads-hostname.mydomain.com Vollqualifizierter Domänenname (FQDN) Ihres AD-Servers
mytimeserver.mycompany.com DNS-Name Ihres NTP-Zeitservers
AdminUser Benutzername des Linux-Desktop-Administrators

Prozedur

  1. Konfigurieren Sie die Netzwerkeinstellungen für Ihren SLED/SLES-Desktop.
    1. Definieren Sie den Hostnamen des Desktops, indem Sie die Konfigurationsdateien /etc/hostname und /etc/hosts bearbeiten.
    2. Konfigurieren Sie die IP-Adresse des DNS-Servers und deaktivieren Sie Automatisches DNS. Deaktivieren Sie für SLES 12 SP3 auch Hostnamen über DHCP ändern.
    3. Um die Synchronisierung der Netzwerkzeit zu konfigurieren, fügen Sie Ihre NTP-Server Informationen der Datei /etc/ntp.conf hinzu, wie im folgenden Beispiel gezeigt.
      server mytimeserver.mycompany.com
  2. Installieren Sie die erforderlichen AD-Join-Pakete.
    # zypper in krb5-client samba-winbind
  3. Bearbeiten Sie die erforderlichen Konfigurationsdateien.
    1. Bearbeiten Sie die Datei /etc/samba/smb.conf, wie im folgenden Beispiel gezeigt.
      [global]
              workgroup = MYDOMAIN
              usershare allow guests = NO
              idmap gid = 10000-20000
              idmap uid = 10000-20000
              kerberos method = secrets and keytab
              realm = MYDOMAIN.COM
              security = ADS
              template homedir = /home/%D/%U
              template shell = /bin/bash
              winbind use default domain=true
              winbind offline logon = yes
              winbind refresh tickets = yes
      [homes]
              ...
    2. Bearbeiten Sie die Datei /etc/krb5.conf, wie im folgenden Beispiel gezeigt.
      [libdefaults]
              default_realm = MYDOMAIN.COM
              clockskew = 300 
      
      [realms]
              MYDOMAIN.COM = {
                      kdc = ads-hostname.mydomain.com
                      default_domain = mydomain.com 
                      admin_server = ads-hostname.mydomain.com
              }
      
      [logging]
              kdc = FILE:/var/log/krb5/krb5kdc.log
              admin_server = FILE:/var/log/krb5/kadmind.log
              default = SYSLOG:NOTICE:DAEMON
      
      [domain_realm]
              .mydomain.com = MYDOMAIN.COM
              mydomain.com = MYDOMAIN.COM
      
      [appdefaults]
              pam = {
                      ticket_lifetime = 1d
                      renew_lifetime = 1d
                      forwardable = true
                      proxiable = false
                      minimum_uid = 1
              }
    3. Bearbeiten Sie die Datei /etc/security/pam_winbind.conf, wie im folgenden Beispiel gezeigt.
      cached_login = yes
      krb5_auth = yes
      krb5_ccache_type = FILE
    4. Bearbeiten Sie die Datei /etc/nsswitch.conf, wie im folgenden Beispiel gezeigt.
      passwd: compat winbind
      group: compat winbind
  4. Treten Sie der AD-Domäne bei, wie im folgenden Beispiel gezeigt.
    # net ads join -U AdminUser
  5. Aktivieren Sie den Winbind-Dienst.
    1. Um Winbind zu aktivieren und zu starten, führen Sie die folgende Befehlssequenz aus.
      # pam-config --add --winbind
      # pam-config -a --mkhomedir
      # systemctl enable winbind
      # systemctl start winbind
    2. Um sicherzustellen, dass sich AD-Benutzer beim Desktop anmelden können, ohne den Linux-Server neu starten zu müssen, führen Sie die folgende Befehlssequenz aus.
      # systemctl stop nscd
      # nscd -i passwd
      # nscd -i group
      # systemctl start nscd
  6. Um den erfolgreichen AD-Beitritt zu prüfen, führen Sie die folgenden Befehle aus und prüfen Sie, ob die richtige Ausgabe zurückgegeben wird.
    # wbinfo -u
    
    # wbinfo -g

Nächste Maßnahme

Einrichten der Smartcard-Umleitung für einen SLED/SLES-Desktop