Wenden Sie das folgende Verfahren an, um eine virtuelle RHEL oder Rocky Linux 9.x-/8.x-Maschine (VM) für die Smartcard-Umleitung in eine Active Directory-Domäne (AD) zu integrieren.
In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.
Platzhalterwert |
Beschreibung |
dns_IP_ADDRESS |
IP-Adresse Ihres DNS-Namenservers |
rhelsc.domain.com |
Vollqualifizierter Hostname Ihrer VM |
rhelsc |
Nicht qualifizierter Hostname Ihrer VM |
domain.com |
DNS-Name Ihrer Active Directory-Domäne |
DOMAIN.COM |
DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben |
DOMAIN |
DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben |
dnsserver.domain.com |
Hostname Ihres AD-Servers |
Prozedur
- Führen Sie auf der VM die folgenden Schritte aus.
- Konfigurieren Sie die Netzwerk- und DNS-Einstellungen gemäß den Anforderungen Ihrer Organisation.
- Schalten Sie IPv6 aus.
- Schalten Sie Automatisches DNS aus.
- Konfigurieren Sie die Konfigurationsdatei -/etc/hosts, sodass Sie dem folgenden Beispiel ähnelt.
127.0.0.1 rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
dns_IP_ADDRESS dnsserver.domain.com
- Konfigurieren Sie die Konfigurationsdatei -/etc/resolv.conf, sodass Sie dem folgenden Beispiel ähnelt.
# Generated by NetworkManager
search domain.com
nameserver dns_IP_ADDRESS
- Installieren Sie die Pakete, die für die AD-Integration erforderlich sind.
sudo yum install -y samba-common-tools oddjob-mkhomedir
- Geben Sie die Systemidentität und die Authentifizierungsquellen an.
sudo authselect select sssd with-smartcard with-mkhomedir
- Starten Sie den oddjobd-Dienst.
- Um die Smartcard-Authentifizierung zu unterstützen, erstellen Sie die Datei /etc/sssd/sssd.conf.
sudo touch /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf
- Fügen Sie den erforderlichen Content zu /etc/sssd/sssd.conf wie im folgenden Beispiel gezeigt hinzu. Geben Sie im Abschnitt [pam] pam_cert_auth = True an.
[sssd]
config_file_version = 2
domains = domain.com
services = nss, pam, pac
[domain/DOMAIN.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
[pam]
pam_cert_auth = True
- (RHEL oder Rocky Linux 8.x) Aktivieren Sie den sssd-Dienst.
sudo systemctl enable sssd.service
sudo systemctl start sssd.service
- Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, sodass Sie dem folgenden Beispiel ähnelt.
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
spake_preauth_groups = edwards25519
default_realm = DOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
DOMAIN.COM = {
kdc = dnsserver.domain.com
admin_server = dnsserver.domain.com
default_domain = dnsserver.domain.com
pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
pkinit_cert_match = <KU>digitalSignature
pkinit_kdc_hostname = dnsserver.domain.com
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
- Bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf, sodass Sie dem folgenden Beispiel ähnelt.
[global]
workgroup = DOMAIN
security = ads
passdb backend = tdbsam
printing = cups
printcap name = cups
load printers = yes
cups options = raw
password server = dnsserver.domain.com
realm = DOMAIN.COM
idmap config * : range = 16777216-33554431
template homedir =/home/DOMAIN/%U
template shell = /bin/bash
kerberos method = secrets and keytab
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @printadmin root
force group = @printadmin
create mask = 0664
directory mask = 0775
- Treten Sie der AD-Domäne bei, wie im folgenden Beispiel gezeigt.
sudo net ads join -U AdminUser
Durch Ausführen des Befehls
join wird Ausgabe ähnlich dem folgenden Beispiel zurückgegeben.
Enter AdminUser's password:
Using short domain name -- DOMAIN
Joined 'rhelsc' to dns domain 'domain.com'
- Stellen Sie sicher, dass die VM erfolgreich der AD-Domäne beigetreten ist.
sudo net ads testjoin
Bei einem erfolgreichen Beitritt zu AD wird folgende Ausgabe zurückgegeben.
Join is OK