Integrieren Sie den Desktop mithilfe von Samba und Winbind in eine Active Directory(AD)-Domäne, um die Smartcard-Umleitung auf einem RHEL 7.x/6.x-Desktop zu unterstützen.

Wenden Sie das folgende Verfahren an, um einen RHEL 7.x/6.x-Desktop für die Smartcard-Umleitung in eine AD-Domäne zu integrieren.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.

Platzhalterwert Beschreibung
dns_IP_ADDRESS IP-Adresse Ihres DNS-Namenservers
mydomain.com DNS-Name Ihrer Active Directory-Domäne
MYDOMAIN.COM DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
MYDOMAIN DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
ads-hostname Hostname Ihres AD-Servers
Hinweis: Die Smartcard-Umleitung wird für Desktops unterstützt, auf denen RHEL 6.0 oder höher oder RHEL 7.1 oder höher ausgeführt wird.

Prozedur

  1. Installieren Sie die erforderlichen Pakete auf Ihrem RHEL 7.x/6.x-Desktop.
    # yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. Bearbeiten Sie die Netzwerkeinstellungen für Ihre Systemverbindung. Öffnen Sie die Einstellungen von NetworkManager und navigieren Sie zu den IPv4-Einstellungen für Ihre Systemverbindung. Wählen Sie als IPv4-Methode Automatisch (DHCP) aus. Geben Sie im Textfeld DNS die IP-Adresse Ihres DNS-Namenservers ein. Klicken Sie anschließend auf Anwenden.
  3. Führen Sie den folgenden Befehl aus und prüfen Sie, ob von Ihrem RHEL-Desktop der vollqualifizierte Domänenname (FQDN) zurückgegeben wird.
    # hostname -f
  4. Bearbeiten Sie die Konfigurationsdatei /etc/resolv.conf, wie im folgenden Beispiel.
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. Deaktivieren Sie Security-Enhanced Linux (SELinux) in Ihrem RHEL-Desktop. Bearbeiten Sie die Konfigurationsdatei /etc/selinux/config, wie im folgenden Beispiel.
    SELINUX=disabled
  6. Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, wie im folgenden Beispiel.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  7. Bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf, wie im folgenden Beispiel.
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  8. Öffnen Sie das Tool authconfig-gtk und konfigurieren Sie Einstellungen wie folgt.
    1. Wechseln Sie zur Registerkarte für Identität und Authentifizierung. Wählen Sie für die Benutzerkontodatenbank Winbind aus.
    2. Wechseln Sie zur Registerkarte für Erweiterte Optionen und aktivieren Sie das Kontrollkästchen für Home-Verzeichnisse bei der ersten Anmeldung erstellen.
    3. Wechseln Sie zur Registerkarte für Identität und Authentifizierung und klicken Sie auf Domäne beitreten. Klicken Sie in der Warnung, die Sie zum Speichern auffordert, auf Speichern.
    4. Geben Sie bei Aufforderung den Benutzernamen und das Kennwort des Domänenadministrators ein und klicken Sie auf OK.
    Ihr RHEL-Desktop wird zur AD-Domäne hinzugefügt.
  9. Richten Sie das Ticket-Caching in PAM Winbind ein. Bearbeiten Sie die Konfigurationsdatei /etc/security/pam_winbind.conf, damit sie die im folgenden Beispiel gezeigten Zeilen enthält.
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  10. Starten Sie den Winbind-Dienst neu.
    # sudo service winbind restart
  11. Um den AD-Beitritt zu prüfen, führen Sie die folgenden Befehle aus und prüfen Sie, ob die richtige Ausgabe zurückgegeben wird.
    • net ads testjoin
    • net ads info
  12. Starten Sie Ihr System neu und melden Sie sich an.

Nächste Maßnahme

Einrichten der Smartcard-Umleitung für einen RHEL 7.x/6.x-Desktop