Wenden Sie das folgende Verfahren an, um eine virtuelle RHEL oder Rocky Linux 9.x-/8.x-Maschine (VM) für die Smartcard-Umleitung in eine Active Directory-Domäne (AD) zu integrieren.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.

Platzhalterwert Beschreibung
dns_IP_ADDRESS IP-Adresse Ihres DNS-Namenservers
rhelsc.domain.com Vollqualifizierter Hostname Ihrer VM
rhelsc Nicht qualifizierter Hostname Ihrer VM
domain.com DNS-Name Ihrer Active Directory-Domäne
DOMAIN.COM DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
DOMAIN DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
dnsserver.domain.com Hostname Ihres AD-Servers

Prozedur

  1. Führen Sie auf der VM die folgenden Schritte aus.
    1. Konfigurieren Sie die Netzwerk- und DNS-Einstellungen gemäß den Anforderungen Ihrer Organisation.
    2. Schalten Sie IPv6 aus.
    3. Schalten Sie Automatisches DNS aus.
  2. Konfigurieren Sie die Konfigurationsdatei -/etc/hosts, sodass Sie dem folgenden Beispiel ähnelt. 
    127.0.0.1        rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
 
dns_IP_ADDRESS   dnsserver.domain.com
  3. Konfigurieren Sie die Konfigurationsdatei -/etc/resolv.conf, sodass Sie dem folgenden Beispiel ähnelt. 
    # Generated by NetworkManager
search domain.com
nameserver dns_IP_ADDRESS
  4. Installieren Sie die Pakete, die für die AD-Integration erforderlich sind. 
    sudo yum install -y samba-common-tools oddjob-mkhomedir
  5. Geben Sie die Systemidentität und die Authentifizierungsquellen an. 
    sudo authselect select sssd with-smartcard with-mkhomedir
  6. Starten Sie den oddjobd-Dienst.
    • (RHEL oder Rocky Linux 8.x) Führen Sie die folgenden Befehle aus.
      sudo systemctl enable oddjobd.service
sudo systemctl start oddjobd.service
    • (RHEL oder Rocky Linux 9.x) Führen Sie den folgenden Befehl aus.
      sudo systemctl enable --now oddjobd.service
  7. Um die Smartcard-Authentifizierung zu unterstützen, erstellen Sie die Datei /etc/sssd/sssd.conf. 
    sudo touch /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf
  8. Fügen Sie den erforderlichen Content zu /etc/sssd/sssd.conf wie im folgenden Beispiel gezeigt hinzu. Geben Sie im Abschnitt [pam] pam_cert_auth = True an. 
    [sssd]
config_file_version = 2
domains = domain.com
services = nss, pam, pac
 
[domain/DOMAIN.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
 
[pam]
pam_cert_auth = True
  9. (RHEL oder Rocky Linux 8.x) Aktivieren Sie den sssd-Dienst. 
    sudo systemctl enable sssd.service
sudo systemctl start sssd.service
  10. Bearbeiten Sie die Konfigurationsdatei /etc/krb5.conf, sodass Sie dem folgenden Beispiel ähnelt. 
    # To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
 
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = DOMAIN.COM
    default_ccache_name = KEYRING:persistent:%{uid}
 
[realms]
 DOMAIN.COM = {
     kdc = dnsserver.domain.com
     admin_server = dnsserver.domain.com
     default_domain = dnsserver.domain.com
     pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
     pkinit_cert_match = <KU>digitalSignature
     pkinit_kdc_hostname = dnsserver.domain.com
 }
 
[domain_realm]
 .domain.com = DOMAIN.COM
 domain.com = DOMAIN.COM
  11. Bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf, sodass Sie dem folgenden Beispiel ähnelt. 
    [global]
        workgroup = DOMAIN
        security = ads
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw
        password server = dnsserver.domain.com
        realm = DOMAIN.COM
        idmap config * : range = 16777216-33554431
        template homedir =/home/DOMAIN/%U
        template shell = /bin/bash
        kerberos method = secrets and keytab
 
[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
 
[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
 
[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @printadmin root
        force group = @printadmin
        create mask = 0664
        directory mask = 0775
  12. Treten Sie der AD-Domäne bei, wie im folgenden Beispiel gezeigt. 
    sudo net ads join -U AdminUser
    Durch Ausführen des Befehls join wird Ausgabe ähnlich dem folgenden Beispiel zurückgegeben. 
    Enter AdminUser's password:
Using short domain name -- DOMAIN
Joined 'rhelsc' to dns domain 'domain.com'
  13. Stellen Sie sicher, dass die VM erfolgreich der AD-Domäne beigetreten ist. 
    sudo net ads testjoin

    Bei einem erfolgreichen Beitritt zu AD wird folgende Ausgabe zurückgegeben.

    Join is OK

Nächste Maßnahme

Konfigurieren der Smartcard-Umleitung auf einer RHEL- oder Rocky Linux 9.x-/8.x-VM