Wenden Sie das folgende Verfahren an, um eine virtuelle RHEL oder Rocky Linux 9.x-/8.x-Maschine (VM) für die Smartcard-Umleitung in eine Active Directory-Domäne (AD) zu integrieren.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.

Platzhalterwert Beschreibung
dns_IP_ADDRESS IP-Adresse Ihres DNS-Namenservers
rhelsc.domain.com Vollqualifizierter Hostname Ihrer VM
rhelsc Nicht qualifizierter Hostname Ihrer VM
domain.com DNS-Name Ihrer Active Directory-Domäne
DOMAIN.COM DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
DOMAIN DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
dnsserver.domain.com Hostname Ihres AD-Servers

Prozedur

  1. Führen Sie auf der VM die folgenden Schritte aus.
    1. Konfigurieren Sie die Netzwerk- und DNS-Einstellungen gemäß den Anforderungen Ihrer Organisation.
    2. Schalten Sie IPv6 aus.
    3. Schalten Sie Automatisches DNS aus.
  2. Konfigurieren Sie die Konfigurationsdatei -/etc/hosts, sodass Sie dem folgenden Beispiel ähnelt.
    127.0.0.1        rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
     
    dns_IP_ADDRESS   dnsserver.domain.com
  3. Konfigurieren Sie die Konfigurationsdatei -/etc/resolv.conf, sodass Sie dem folgenden Beispiel ähnelt.
    # Generated by NetworkManager
    search domain.com
    nameserver dns_IP_ADDRESS
  4. Installieren Sie die Pakete, die für die AD-Integration erforderlich sind.
    sudo yum install -y samba-common-tools oddjob-mkhomedir
  5. Geben Sie die Systemidentität und die Authentifizierungsquellen an.
    sudo authselect select sssd with-smartcard with-mkhomedir
    
    
  6. Starten Sie den oddjobd-Dienst.
    • (RHEL oder Rocky Linux 8.x) Führen Sie die folgenden Befehle aus.
      sudo systemctl enable oddjobd.service
      sudo systemctl start oddjobd.service
      
    • (RHEL oder Rocky Linux 9.x) Führen Sie den folgenden Befehl aus.
      sudo systemctl enable --now oddjobd.service
  7. Um die Smartcard-Authentifizierung zu unterstützen, erstellen Sie die Datei /etc/sssd/sssd.conf.
    sudo touch /etc/sssd/sssd.conf
    sudo chmod 600 /etc/sssd/sssd.conf
    sudo chown root:root /etc/sssd/sssd.conf
  8. Fügen Sie den erforderlichen Content zu /etc/sssd/sssd.conf wie im folgenden Beispiel gezeigt hinzu. Geben Sie im Abschnitt [pam] pam_cert_auth = True an.
    [sssd]
    config_file_version = 2
    domains = domain.com
    services = nss, pam, pac
     
    [domain/DOMAIN.COM]
    id_provider = ad
    auth_provider = ad
    chpass_provider = ad
    access_provider = ad
    cache_credentials = true
     
    [pam]
    pam_cert_auth = True
  9. (RHEL oder Rocky Linux 8.x) Aktivieren Sie den sssd-Dienst.
    sudo systemctl enable sssd.service
    sudo systemctl start sssd.service
  10. Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, sodass Sie dem folgenden Beispiel ähnelt.
    # To opt out of the system crypto-policies configuration of krb5, remove the
    # symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
    includedir /etc/krb5.conf.d/
     
    [logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
     
    [libdefaults]
        dns_lookup_realm = false
        ticket_lifetime = 24h
        renew_lifetime = 7d
        forwardable = true
        rdns = false
        pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
        spake_preauth_groups = edwards25519
        default_realm = DOMAIN.COM
        default_ccache_name = KEYRING:persistent:%{uid}
     
    [realms]
     DOMAIN.COM = {
         kdc = dnsserver.domain.com
         admin_server = dnsserver.domain.com
         default_domain = dnsserver.domain.com
         pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
         pkinit_cert_match = <KU>digitalSignature
         pkinit_kdc_hostname = dnsserver.domain.com
     }
     
    [domain_realm]
     .domain.com = DOMAIN.COM
     domain.com = DOMAIN.COM
  11. Bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf, sodass Sie dem folgenden Beispiel ähnelt.
    [global]
            workgroup = DOMAIN
            security = ads
            passdb backend = tdbsam
            printing = cups
            printcap name = cups
            load printers = yes
            cups options = raw
            password server = dnsserver.domain.com
            realm = DOMAIN.COM
            idmap config * : range = 16777216-33554431
            template homedir =/home/DOMAIN/%U
            template shell = /bin/bash
            kerberos method = secrets and keytab
     
    [homes]
            comment = Home Directories
            valid users = %S, %D%w%S
            browseable = No
            read only = No
            inherit acls = Yes
     
    [printers]
            comment = All Printers
            path = /var/tmp
            printable = Yes
            create mask = 0600
            browseable = No
     
    [print$]
            comment = Printer Drivers
            path = /var/lib/samba/drivers
            write list = @printadmin root
            force group = @printadmin
            create mask = 0664
            directory mask = 0775
  12. Treten Sie der AD-Domäne bei, wie im folgenden Beispiel gezeigt.
    sudo net ads join -U AdminUser
    Durch Ausführen des Befehls join wird Ausgabe ähnlich dem folgenden Beispiel zurückgegeben.
    Enter AdminUser's password:
    Using short domain name -- DOMAIN
    Joined 'rhelsc' to dns domain 'domain.com'
  13. Stellen Sie sicher, dass die VM erfolgreich der AD-Domäne beigetreten ist.
    sudo net ads testjoin

    Bei einem erfolgreichen Beitritt zu AD wird folgende Ausgabe zurückgegeben.

    Join is OK

Nächste Maßnahme

Konfigurieren der Smartcard-Umleitung auf einer RHEL- oder Rocky Linux 9.x-/8.x-VM