Integrieren Sie die virtuelle Basismaschine (VM) mithilfe von Samba und Winbind in eine Active Directory-Domäne (AD), um die Smartcard-Umleitung auf Ubuntu-/Debian-Desktops zu unterstützen.

Verwenden Sie das folgende Verfahren, um eine Ubuntu/Debian-VM für die Smartcard-Umleitung in eine AD-Domäne zu integrieren.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.

Platzhalterwert Beschreibung
dns_IP_ADDRESS IP-Adresse Ihres DNS-Namenservers
mydomain.com DNS-Name Ihrer Active Directory-Domäne
MYDOMAIN.COM DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
MYDOMAIN DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
ads-hostname Hostname Ihres AD-Servers
ads-hostname.mydomain.com Vollqualifizierter Domänenname (FQDN) Ihres AD-Servers
mytimeserver.mycompany.com DNS-Name Ihres NTP-Zeitservers
AdminUser Benutzername des VM-Administrators

Prozedur

  1. Definieren Sie auf der virtuellen Ubuntu-/Debian-Maschine den Hostnamen der VM, indem Sie die Konfigurationsdatei /etc/hostname bearbeiten.
  2. DNS konfigurieren.
    1. Fügen Sie den DNS-Servernamen und die IP-Adresse zur Konfigurationsdatei /etc/hosts hinzu.
    2. Fügen Sie die IP-Adresse Ihres DNS-Namensservers und den DNS-Namen Ihrer AD-Domäne zur Konfigurationsdatei /etc/network/interfaces hinzu, wie im folgenden Beispiel gezeigt.
      dns-nameservers dns_IP_ADDRESS
      dns-search mydomain.com
  3. Installieren Sie das Paket resolvconfig.
    1. Führen Sie den Installationsbefehl aus.
      apt-get install -y resolvconf
      Erlauben Sie dem System, das Paket zu installieren und einen Neustart durchzuführen.
    2. Überprüfen Sie Ihre DNS-Konfiguration in der Datei /etc/resolv.conf, indem Sie folgenden Befehl ausführen.
      cat /etc/resolv.conf
      Stellen Sie sicher, dass die Befehle eine Ausgabe ähnlich dem folgenden Beispiel zurückgeben.
      nameserver dns_IP_ADDRESS
      search mydomain.com
  4. Konfigurieren Sie die Synchronisierung der Netzwerkzeit.
    1. Installieren Sie das Paket ntpdate.
      apt-get install -y ntpdate
    2. Fügen Sie die NTP-Server Informationen zur Konfigurationsdatei /etc/systemd/timesyncd.conf hinzu, wie im folgenden Beispiel gezeigt.
      [Time]
      NTP=mytimeserver.mycompany.com
  5. Starten Sie den NTP-Dienst neu.
    sudo service ntpdate restart
  6. Installieren Sie die erforderlichen AD-Join-Pakete.
    1. Führen Sie den Installationsbefehl aus.
      apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
          libnss-winbind
    2. Geben Sie bei der Installationsaufforderung nach dem Standard-Kerberos-Bereich den DNS-Namen Ihrer AD-Domäne in Großbuchstaben ein (z. B. MYDOMAIN.COM). Wählen Sie dann Ok aus.
  7. Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, wie im folgenden Beispiel.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname.mydomain.com
                admin_server = ads-hostname.mydomain.com
                default_domain = ads-hostname.mydomain.com
                pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
                pkinit_cert_match = <KU>digitalSignature
                pkinit_kdc_hostname = ads-hostname.mydomain.com
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  8. Führen Sie die folgenden Befehle aus, um die Kerberos-Zertifizierung zu überprüfen.
    kinit Administrator@MYDOMAIN.COM
    
    klist
    Stellen Sie sicher, dass die Befehle die Ausgabe ähnlich dem folgenden Beispiel zurückgeben.
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
    2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
            renew until 2019-05-28T17:12:03    
    
  9. Bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf, wie im folgenden Beispiel.
    [global]
            workgroup = MYDOMAIN
            usershare allow guests = NO
            idmap gid = 10000-20000
            idmap uid = 10000-20000
            kerberos method = secrets and keytab
            realm = MYDOMAIN.COM
            security = ADS
            template homedir = /home/%D/%U
            template shell = /bin/bash
            winbind use default domain=true
            winbind offline logon = yes
            winbind refresh tickets = yes
  10. Treten Sie der AD-Domäne bei und überprüfen Sie die Integration.
    1. Führen Sie die AD-Join-Befehle aus.
      net ads join -U AdminUser@mydomain.com
      systemctl stop samba-ad-dc
      systemctl enable smbd nmbd winbind
      systemctl restart smbd nmbd winbind
    2. Passen Sie die Konfigurationsdatei /etc/nsswitch.conf an, wie im folgenden Beispiel gezeigt.
      passwd:    compat systemd winbind
      group:     compat systemd winbind
      shadow:    compat
      gshadow:   files
    3. Um das Ergebnis des AD-Beitritts zu überprüfen, führen Sie die folgenden Befehle aus und prüfen Sie, ob die richtige Ausgabe zurückgegeben wird.
      wbinfo -u
      
      wbinfo -g
    4. Führen Sie zum Prüfen des Winbind Name Service Switch die folgenden Befehle aus und prüfen Sie, ob die Ausgabe stimmt.
      getent group|grep 'domain admins'
      
      getent passwd|grep 'ads-hostname'
  11. Aktivieren Sie alle PAM-Profile.
    pam-auth-update
    Wählen Sie im Bildschirm „PAM-Konfiguration“ alle PAM-Profile aus, einschließlich Home-Verzeichnis bei Anmeldung erstellen, und wählen Sie dann Ok aus.

Nächste Maßnahme

Einrichten der Smartcard-Umleitung auf einer virtuellen Ubuntu/Debian-Maschine