Integrieren einer virtuellen RHEL 8.x-Maschine in Active Directory für die Smartcard-Umleitung

Wenden Sie das folgende Verfahren an, um eine virtuelle RHEL 8.x-Maschine (VM) für die Smartcard-Umleitung in eine Active Directory(AD)-Domäne zu integrieren.

Hinweis: RHEL 8.x-Desktops unterstützen nicht gleichzeitig die Smartcard-Umleitung und Active Directory Single Sign-On (SSO). Wenn Sie eine Smartcard-Umleitung auf einem RHEL 8.x-Desktop einrichten, funktioniert Active Directory SSO nicht.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.


Platzhalterwert	Beschreibung
dns_IP_ADDRESS	IP-Adresse Ihres DNS-Namenservers
rhel8sc.domain.com	Vollqualifizierter Hostname Ihrer RHEL 8.x-VM
rhel8sc	Nicht qualifizierter Hostname Ihres RHEL 8.x-VM
domain.com	DNS-Name Ihrer Active Directory-Domäne
DOMAIN.COM	DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
DOMAIN	DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
dnsserver.domain.com	Hostname Ihres AD-Servers

Prozedur

Führen Sie auf der RHEL 8.x-VM die folgenden Schritte aus.
1. Konfigurieren Sie die Netzwerk- und DNS-Einstellungen gemäß den Anforderungen Ihrer Organisation.
2. Deaktivieren Sie IPv6.
3. Deaktivieren Sie Automatisches DNS.

Konfigurieren Sie die Konfigurationsdatei -/etc/hosts, sodass Sie dem folgenden Beispiel ähnelt.

127.0.0.1        rhel8sc.domain.com rhel8sc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
 
dns_IP_ADDRESS   dnsserver.domain.com

Konfigurieren Sie die Konfigurationsdatei -/etc/resolv.conf, sodass Sie dem folgenden Beispiel ähnelt.
```
# Generated by NetworkManager
search domain.com
nameserver dns_IP_ADDRESS
```
Installieren Sie die Pakete, die für die AD-Integration erforderlich sind.
```
# yum install -y samba-common-tools oddjob-mkhomedir
```

Aktivieren Sie den oddjobd-Dienst.

# systemctl enable oddjobd.service
# systemctl start oddjobd.service

Geben Sie die Systemidentität und die Authentifizierungsquellen an.
```
# authselect select sssd with-smartcard with-mkhomedir
```

Starten Sie den oddjobd-Dienst.

# systemctl enable oddjobd.service
# systemctl start oddjobd.service

Um die Smartcard-Authentifizierung zu unterstützen, erstellen Sie die Datei /etc/sssd/sssd.conf.

# touch /etc/sssd/sssd.conf
# chmod 600 /etc/sssd/sssd.conf
# chown root:root /etc/sssd/sssd.conf

Fügen Sie den erforderlichen Content zu /etc/sssd/sssd.conf wie im folgenden Beispiel gezeigt hinzu. Geben Sie im Abschnitt [pam] pam_cert_auth = True an.

[sssd]
config_file_version = 2
domains = domain.com
services = nss, pam, pac
 
[domain/DOMAIN.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
 
[pam]
pam_cert_auth = True

Aktivieren Sie den sssd-Dienst.

# systemctl enable sssd.service
# systemctl start sssd.service

Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, sodass Sie dem folgenden Beispiel ähnelt.

# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
 
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = DOMAIN.COM
    default_ccache_name = KEYRING:persistent:%{uid}
 
[realms]
 DOMAIN.COM = {
     kdc = dnsserver.domain.com
     admin_server = dnsserver.domain.com
     default_domain = dnsserver.domain.com
     pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
     pkinit_cert_match = <KU>digitalSignature
     pkinit_kdc_hostname = dnsserver.domain.com
 }
 
[domain_realm]
 .domain.com = DOMAIN.COM
 domain.com = DOMAIN.COM

Bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf, sodass Sie dem folgenden Beispiel ähnelt.

[global]
        workgroup = DOMAIN
        security = ads
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw
        password server = dnsserver.domain.com
        realm = DOMAIN.COM
        idmap config * : range = 16777216-33554431
        template homedir =/home/DOMAIN/%U
        template shell = /bin/bash
        kerberos method = secrets and keytab
 
[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
 
[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
 
[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @printadmin root
        force group = @printadmin
        create mask = 0664
        directory mask = 0775

Treten Sie der AD-Domäne bei, wie im folgenden Beispiel gezeigt.
```
# net ads join -U AdminUser
```
Durch Ausführen des Befehls join wird Ausgabe ähnlich dem folgenden Beispiel zurückgegeben.
```
Enter AdminUser's password:
Using short domain name -- DOMAIN
Joined 'RHEL8SC' to dns domain 'domain.com'
```
Stellen Sie sicher, dass die virtuelle RHEL 8.x-Maschine erfolgreich der AD-Domäne beigetreten ist.
```
# net ads testjoin

Join is OK
```

Nächste Maßnahme

Konfigurieren der Smartcard-Umleitung auf einer virtuellen RHEL 8.x-Maschine