Integrieren Sie die virtuelle Basismaschine (VM) mithilfe von Samba und Winbind in eine Active Directory (AD)-Domäne, um die Smartcard-Umleitung auf SLED/SLES-Desktops zu unterstützen.

Wenden Sie das folgende Verfahren an, um eine SLED/SLES-VM für die Smartcard-Umleitung in eine AD-Domäne zu integrieren.

In einigen der Beispiele im Verfahren werden Platzhalterwerte verwendet, um Entitäten in Ihrer Netzwerkkonfiguration darzustellen, z. B. den DNS-Namen Ihrer Active Directory-Domäne. Ersetzen Sie die Platzhalterwerte durch spezifische Informationen für Ihre Konfiguration, wie in der folgenden Tabelle gezeigt.

Platzhalterwert Beschreibung
dns_IP_ADDRESS IP-Adresse Ihres DNS-Namenservers
mydomain.com DNS-Name Ihrer Active Directory-Domäne
MYDOMAIN.COM DNS-Name Ihrer Active Directory-Domäne in Großbuchstaben
MYDOMAIN DNS-Name der Arbeitsgruppe oder NT-Domäne, in der sich Ihr Samba-Server befindet, in Großbuchstaben
ads-hostname Hostname Ihres AD-Servers
ads-hostname.mydomain.com Vollqualifizierter Domänenname (FQDN) Ihres AD-Servers
mytimeserver.mycompany.com DNS-Name Ihres NTP-Zeitservers
AdminUser Benutzername des VM-Administrators

Voraussetzungen

Stellen Sie sicher, dass die SLED/SLES-VM die in Einrichten der Smartcard-Umleitung für Linux-Desktops beschriebenen Systemanforderungen erfüllt.

Prozedur

  1. Konfigurieren Sie die Netzwerkeinstellungen für die SLED/SLES-VM.
    1. Definieren Sie den Hostnamen der VM, indem Sie die Konfigurationsdateien /etc/hostname und /etc/hosts bearbeiten.
    2. Konfigurieren Sie die IP-Adresse des DNS-Servers und deaktivieren Sie Automatisches DNS. Deaktivieren Sie für eine SLES-VM auch Hostnamen über DHCP ändern.
    3. Um die Synchronisierung der Netzwerkzeit zu konfigurieren, fügen Sie Ihre NTP-Server Informationen der Datei /etc/ntp.conf hinzu, wie im folgenden Beispiel gezeigt.
      server mytimeserver.mycompany.com
  2. Installieren Sie die erforderlichen AD-Join-Pakete.
    sudo zypper in krb5-client samba-winbind
  3. Aktualisieren Sie die krb5-Bibliothek, wie im folgenden Beispiel gezeigt.
    sudo zypper up krb5
  4. Bearbeiten Sie die erforderlichen Konfigurationsdateien.
    1. Bearbeiten Sie die Datei /etc/samba/smb.conf, wie im folgenden Beispiel gezeigt.
      [global] workgroup = MYDOMAIN usershare allow guests = NO idmap gid = 10000-20000 idmap uid = 10000-20000 kerberos method = secrets and keytab realm = MYDOMAIN.COM security = ADS template homedir = /home/%D/%U template shell = /bin/bash winbind use default domain=true winbind offline logon = yes winbind refresh tickets = yes [homes] ...
    2. Bearbeiten Sie die Datei /etc/krb5.conf, wie im folgenden Beispiel gezeigt.
      [libdefaults] default_realm = MYDOMAIN.COM clockskew = 300 [realms] MYDOMAIN.COM = { kdc = ads-hostname.mydomain.com default_domain = mydomain.com admin_server = ads-hostname.mydomain.com } [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON [domain_realm] .mydomain.com = MYDOMAIN.COM mydomain.com = MYDOMAIN.COM [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false minimum_uid = 1 }
    3. Bearbeiten Sie die Datei /etc/security/pam_winbind.conf, wie im folgenden Beispiel gezeigt.
      cached_login = yes krb5_auth = yes krb5_ccache_type = FILE
    4. Bearbeiten Sie die Datei /etc/nsswitch.conf, wie im folgenden Beispiel gezeigt.
      passwd: compat winbind group: compat winbind
  5. Treten Sie der AD-Domäne bei, wie im folgenden Beispiel gezeigt.
    sudo net ads join -U AdminUser
  6. Aktivieren Sie den Winbind-Dienst.
    1. Um Winbind zu aktivieren und zu starten, führen Sie die folgende Befehlssequenz aus.
      sudo pam-config --add --winbind sudo pam-config -a --mkhomedir sudo systemctl enable winbind sudo systemctl start winbind
    2. Um sicherzustellen, dass sich AD-Benutzer bei Desktops anmelden können, ohne den Linux-Server neu starten zu müssen, führen Sie die folgende Befehlssequenz aus.
      sudo systemctl stop nscd sudo nscd -i passwd sudo nscd -i group sudo systemctl start nscd
  7. Um den erfolgreichen AD-Beitritt zu prüfen, führen Sie die folgenden Befehle aus und prüfen Sie, ob die richtige Ausgabe zurückgegeben wird.
    sudo wbinfo -u sudo wbinfo -g

Nächste Maßnahme

Fahren Sie mit Einrichten der Smartcard-Umleitung auf einer SLED/SLES-VM fort.