Integrieren eines RHEL 7.x/6.x-Desktops in Active Directory für die Smartcard-Umleitung

Integrieren Sie den Desktop mithilfe von Samba und Winbind in eine Active Directory(AD)-Domäne, um die Smartcard-Umleitung auf einem RHEL 7.x/6.x-Desktop zu unterstützen.

Wenden Sie das folgende Verfahren an, um einen RHEL 7.x/6.x-Desktop für die Smartcard-Umleitung in eine AD-Domäne zu integrieren.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.


Platzhalterwert	Beschreibung
dns_IP_ADDRESS	IP-Adresse Ihres DNS-Namenservers
mydomain.com	DNS-Name Ihrer Active Directory-Domäne
MYDOMAIN.COM	DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
MYDOMAIN	DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
ads-hostname	Hostname Ihres AD-Servers

Hinweis: Die Smartcard-Umleitung wird für Desktops unterstützt, auf denen RHEL 6.0 oder höher oder RHEL 7.1 oder höher ausgeführt wird.

Prozedur

Installieren Sie die erforderlichen Pakete auf Ihrem RHEL 7.x/6.x-Desktop.

# yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk

Bearbeiten Sie die Netzwerkeinstellungen für Ihre Systemverbindung. Öffnen Sie die Einstellungen von NetworkManager und navigieren Sie zu den IPv4-Einstellungen für Ihre Systemverbindung. Wählen Sie als IPv4-Methode Automatisch (DHCP) aus. Geben Sie im Textfeld DNS die IP-Adresse Ihres DNS-Namenservers ein. Klicken Sie anschließend auf Anwenden.
Führen Sie den folgenden Befehl aus und prüfen Sie, ob von Ihrem RHEL-Desktop der vollqualifizierte Domänenname (FQDN) zurückgegeben wird.
```
# hostname -f
```
Bearbeiten Sie die Konfigurationsdatei /etc/resolv.conf, wie im folgenden Beispiel.
```
search mydomain.com
nameserver dns_IP_ADDRESS
```
Deaktivieren Sie Security-Enhanced Linux (SELinux) in Ihrem RHEL-Desktop. Bearbeiten Sie die Konfigurationsdatei /etc/selinux/config, wie im folgenden Beispiel.
```
SELINUX=disabled
```

Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, wie im folgenden Beispiel.

[libdefaults]
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_realm = MYDOMAIN.COM
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname
            admin_server = ads-hostname
            default_domain = ads-hostname
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM

Bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf, wie im folgenden Beispiel.

[global]
      workgroup = MYDOMAIN  
      password server = ads-hostname
      realm = MYDOMAIN.COM
      security = ads
      idmap config * : range = 16777216-33554431
      template homedir =/home/MYDOMAIN/%U
      template shell = /bin/bash 
      kerberos method = secrets and keytab
      winbind use default domain = true
      winbind offline logon = false 
      winbind refresh tickets = true
 
      passdb backend = tdbsam

Öffnen Sie das Tool authconfig-gtk und konfigurieren Sie Einstellungen wie folgt.
1. Wechseln Sie zur Registerkarte für Identität und Authentifizierung. Wählen Sie für die Benutzerkontodatenbank Winbind aus.
2. Wechseln Sie zur Registerkarte für Erweiterte Optionen und aktivieren Sie das Kontrollkästchen für Home-Verzeichnisse bei der ersten Anmeldung erstellen.
3. Wechseln Sie zur Registerkarte für Identität und Authentifizierung und klicken Sie auf Domäne beitreten. Klicken Sie in der Warnung, die Sie zum Speichern auffordert, auf Speichern.
4. Geben Sie bei Aufforderung den Benutzernamen und das Kennwort des Domänenadministrators ein und klicken Sie auf OK.
Ihr RHEL-Desktop wird zur AD-Domäne hinzugefügt.
Richten Sie das Ticket-Caching in PAM Winbind ein. Bearbeiten Sie die Konfigurationsdatei /etc/security/pam_winbind.conf, damit sie die im folgenden Beispiel gezeigten Zeilen enthält.
```
[global]

# authenticate using kerberos
;krb5_auth = yes 

# create homedirectory on the fly
;mkhomedir = yes  
```
Starten Sie den Winbind-Dienst neu.
```
# sudo service winbind restart
```
Um den AD-Beitritt zu prüfen, führen Sie die folgenden Befehle aus und prüfen Sie, ob die richtige Ausgabe zurückgegeben wird.
- net ads testjoin
- net ads info
Starten Sie Ihr System neu und melden Sie sich an.

Nächste Maßnahme

Einrichten der Smartcard-Umleitung für einen RHEL 7.x/6.x-Desktop