Integrieren Sie die virtuelle Basismaschine (VM) mithilfe von Samba und Winbind in eine Active Directory (AD)-Domäne, um die Smartcard-Umleitung auf SLED/SLES-Desktops zu unterstützen.
Wenden Sie das folgende Verfahren an, um eine SLED/SLES-VM für die Smartcard-Umleitung in eine AD-Domäne zu integrieren.
In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.
| Platzhalterwert |
Beschreibung |
| dns_IP_ADDRESS |
IP-Adresse Ihres DNS-Namenservers |
| mydomain.com |
DNS-Name Ihrer Active Directory-Domäne |
| MYDOMAIN.COM |
DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben |
| MYDOMAIN |
DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben |
| ads-hostname |
Hostname Ihres AD-Servers |
| ads-hostname.mydomain.com |
Vollqualifizierter Domänenname (FQDN) Ihres AD-Servers |
| mytimeserver.mycompany.com |
DNS-Name Ihres NTP-Zeitservers |
| AdminUser |
Benutzername des VM-Administrators |
Prozedur
- Konfigurieren Sie die Netzwerkeinstellungen für die SLED/SLES-VM.
- Definieren Sie den Hostnamen der VM, indem Sie die Konfigurationsdateien /etc/hostname und /etc/hosts bearbeiten.
- Konfigurieren Sie die IP-Adresse des DNS-Servers und deaktivieren Sie Automatisches DNS. Deaktivieren Sie für eine SLES-VM auch Hostnamen über DHCP ändern.
- Um die Synchronisierung der Netzwerkzeit zu konfigurieren, fügen Sie Ihre NTP-Server Informationen der Datei /etc/ntp.conf hinzu, wie im folgenden Beispiel gezeigt.
server mytimeserver.mycompany.com
- Installieren Sie die erforderlichen AD-Join-Pakete.
zypper in krb5-client samba-winbind
- Aktualisieren Sie die krb5-Bibliothek, wie im folgenden Beispiel gezeigt.
- Bearbeiten Sie die erforderlichen Konfigurationsdateien.
- Bearbeiten Sie die Datei /etc/samba/smb.conf, wie im folgenden Beispiel gezeigt.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- Bearbeiten Sie die Datei /etc/krb5.conf, wie im folgenden Beispiel gezeigt.
[libdefaults]
default_realm = MYDOMAIN.COM
clockskew = 300
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
default_domain = mydomain.com
admin_server = ads-hostname.mydomain.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- Bearbeiten Sie die Datei /etc/security/pam_winbind.conf, wie im folgenden Beispiel gezeigt.
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- Bearbeiten Sie die Datei /etc/nsswitch.conf, wie im folgenden Beispiel gezeigt.
passwd: compat winbind
group: compat winbind
- Treten Sie der AD-Domäne bei, wie im folgenden Beispiel gezeigt.
net ads join -U AdminUser
- Aktivieren Sie den Winbind-Dienst.
- Um Winbind zu aktivieren und zu starten, führen Sie die folgende Befehlssequenz aus.
pam-config --add --winbind
pam-config -a --mkhomedir
systemctl enable winbind
systemctl start winbind
- Um sicherzustellen, dass sich AD-Benutzer bei Desktops anmelden können, ohne den Linux-Server neu starten zu müssen, führen Sie die folgende Befehlssequenz aus.
systemctl stop nscd
nscd -i passwd
nscd -i group
systemctl start nscd
- Um den erfolgreichen AD-Beitritt zu prüfen, führen Sie die folgenden Befehle aus und prüfen Sie, ob die richtige Ausgabe zurückgegeben wird.
