Integrieren Sie die virtuelle Basismaschine (VM) mithilfe von Samba und Winbind in Ihre Active Directory-Domäne (AD), um die Smartcard-Umleitung auf RHEL 7.9-Desktops zu unterstützen.

Verwenden Sie das folgende Verfahren, um eine RHEL 7.9-VM für die Smartcard-Umleitung in Ihre AD-Domäne zu integrieren.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.

Platzhalterwert Beschreibung
dns_IP_ADDRESS IP-Adresse Ihres DNS-Namenservers
mydomain.com DNS-Name Ihrer Active Directory-Domäne
MYDOMAIN.COM DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
MYDOMAIN DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
ads-hostname Hostname Ihres AD-Servers

Prozedur

  1. Installieren Sie auf der RHEL 7.9-VM die erforderlichen Pakete.
    sudo yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. Bearbeiten Sie die Netzwerkeinstellungen für Ihre Systemverbindung. Öffnen Sie die Einstellungen von NetworkManager und navigieren Sie zu den IPv4-Einstellungen für Ihre Systemverbindung. Wählen Sie als IPv4-Methode Automatisch (DHCP) aus. Geben Sie im Textfeld DNS die IP-Adresse Ihres DNS-Namenservers ein. Klicken Sie anschließend auf Anwenden.
  3. Führen Sie den folgenden Befehl aus und prüfen Sie, ob von Ihrer virtuellen RHEL 7.9-Maschine der vollqualifizierte Domänenname (FQDN) zurückgegeben wird.
    hostname -f
  4. Bearbeiten Sie die Konfigurationsdatei /etc/resolv.conf, wie im folgenden Beispiel.
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, wie im folgenden Beispiel.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  6. Bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf, wie im folgenden Beispiel.
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  7. Öffnen Sie das Tool authconfig-gtk und konfigurieren Sie Einstellungen wie folgt.
    1. Wechseln Sie zur Registerkarte für Identität und Authentifizierung. Wählen Sie für die Benutzerkontodatenbank Winbind aus.
    2. Wechseln Sie zur Registerkarte für Erweiterte Optionen und aktivieren Sie das Kontrollkästchen für Home-Verzeichnisse bei der ersten Anmeldung erstellen.
    3. Wechseln Sie zur Registerkarte für Identität und Authentifizierung und klicken Sie auf Domäne beitreten. Klicken Sie in der Warnung, die Sie zum Speichern auffordert, auf Speichern.
    4. Geben Sie bei Aufforderung den Benutzernamen und das Kennwort des Domänenadministrators ein und klicken Sie auf OK.
    Die virtuelle RHEL 7.9-Maschine tritt der AD-Domäne bei.
  8. Richten Sie das Ticket-Caching in PAM Winbind ein. Bearbeiten Sie die Konfigurationsdatei /etc/security/pam_winbind.conf, damit sie die im folgenden Beispiel gezeigten Zeilen enthält.
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  9. Starten Sie den Winbind-Dienst neu.
    sudo service winbind restart
  10. Um den AD-Beitritt zu prüfen, führen Sie die folgenden Befehle aus und prüfen Sie, ob die richtige Ausgabe zurückgegeben wird.
    sudo net ads testjoin
    
    sudo net ads info
  11. Starten Sie die RHEL 7.9-VM neu und melden Sie sich erneut an.

Nächste Maßnahme

Einrichten der Smartcard-Umleitung auf einer virtuellen RHEL 7.9-Maschine