Integrieren Sie den Desktop mithilfe von Samba und Winbind in eine Active Directory (AD)-Domäne, um die Smartcard-Umleitung auf einem SLED/SLES-Desktop zu unterstützen.
Wenden Sie das folgende Verfahren an, um einen SLED/SLES-Desktop für die Smartcard-Umleitung in eine AD-Domäne zu integrieren.
In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.
| Platzhalterwert |
Beschreibung |
| dns_IP_ADDRESS |
IP-Adresse Ihres DNS-Namenservers |
| mydomain.com |
DNS-Name Ihrer Active Directory-Domäne |
| MYDOMAIN.COM |
DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben |
| MYDOMAIN |
DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben |
| ads-hostname |
Hostname Ihres AD-Servers |
| ads-hostname.mydomain.com |
Vollqualifizierter Domänenname (FQDN) Ihres AD-Servers |
| mytimeserver.mycompany.com |
DNS-Name Ihres NTP-Zeitservers |
| AdminUser |
Benutzername des Linux-Desktop-Administrators |
Prozedur
- Konfigurieren Sie die Netzwerkeinstellungen für Ihren SLED/SLES-Desktop.
- Definieren Sie den Hostnamen des Desktops, indem Sie die Konfigurationsdateien /etc/hostname und /etc/hosts bearbeiten.
- Konfigurieren Sie die IP-Adresse des DNS-Servers und deaktivieren Sie Automatisches DNS. Deaktivieren Sie für SLES 12 SP3 auch Hostnamen über DHCP ändern.
- Um die Synchronisierung der Netzwerkzeit zu konfigurieren, fügen Sie Ihre NTP-Server Informationen der Datei /etc/ntp.conf hinzu, wie im folgenden Beispiel gezeigt.
server mytimeserver.mycompany.com
- Installieren Sie die erforderlichen AD-Join-Pakete.
# zypper in krb5-client samba-winbind
- Bearbeiten Sie die erforderlichen Konfigurationsdateien.
- Bearbeiten Sie die Datei /etc/samba/smb.conf, wie im folgenden Beispiel gezeigt.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- Bearbeiten Sie die Datei /etc/krb5.conf, wie im folgenden Beispiel gezeigt.
[libdefaults]
default_realm = MYDOMAIN.COM
clockskew = 300
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
default_domain = mydomain.com
admin_server = ads-hostname.mydomain.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- Bearbeiten Sie die Datei /etc/security/pam_winbind.conf, wie im folgenden Beispiel gezeigt.
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- Bearbeiten Sie die Datei /etc/nsswitch.conf, wie im folgenden Beispiel gezeigt.
passwd: compat winbind
group: compat winbind
- Treten Sie der AD-Domäne bei, wie im folgenden Beispiel gezeigt.
# net ads join -U AdminUser
- Aktivieren Sie den Winbind-Dienst.
- Um Winbind zu aktivieren und zu starten, führen Sie die folgende Befehlssequenz aus.
# pam-config --add --winbind
# pam-config -a --mkhomedir
# systemctl enable winbind
# systemctl start winbind
- Um sicherzustellen, dass sich AD-Benutzer beim Desktop anmelden können, ohne den Linux-Server neu starten zu müssen, führen Sie die folgende Befehlssequenz aus.
# systemctl stop nscd
# nscd -i passwd
# nscd -i group
# systemctl start nscd
- Um den erfolgreichen AD-Beitritt zu prüfen, führen Sie die folgenden Befehle aus und prüfen Sie, ob die richtige Ausgabe zurückgegeben wird.
