Para admitir el redireccionamiento de tarjetas inteligentes en un escritorio SLED/SLES, integre el escritorio con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.

Utilice el siguiente procedimiento para integrar un escritorio SLED/SLES con un dominio de AD para el redireccionamiento de tarjetas inteligentes.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
DIRECCIÓN_IP_dns Dirección IP del servidor de nombres DNS
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas
MIDOMINIO Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas
nombredehost-ads Nombre de host del servidor de AD
nombredehost-ads.midominio.com Nombre de dominio completo (FQDN) del servidor de AD
miservidordetiempo.miempresa.com Nombre DNS del servidor de tiempo NTP
AdminUser Nombre de usuario del administrador del escritorio Linux

Procedimiento

  1. Configure los ajustes de red para el escritorio SLED/SLES.
    1. Para definir el nombre de host del escritorio, edite los archivos de configuración /etc/hostname y /etc/hosts.
    2. Configure la dirección IP del servidor DNS y deshabilite DNS automático. En SLES 12 SP3, deshabilite también Cambiar nombre de host mediante DHCP.
    3. Para configurar la sincronización de hora de red, agregue la información del servidor NTP al archivo /etc/ntp.conf, tal y como se muestra en el siguiente ejemplo.
      server miservidordetiempo.miempresa.com
  2. Instale los paquetes de unión de AD necesarios.
    # zypper in krb5-client samba-winbind
  3. Edite los archivos de configuración necesarios.
    1. Edite el archivo /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
      [global]
              workgroup = MIDOMINIO
              usershare allow guests = NO
              idmap gid = 10000-20000
              idmap uid = 10000-20000
              kerberos method = secrets and keytab
              realm = MIDOMINIO.COM
              security = ADS
              template homedir = /home/%D/%U
              template shell = /bin/bash
              winbind use default domain=true
              winbind offline logon = yes
              winbind refresh tickets = yes
      [homes]
              ...
    2. Edite el archivo /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
      [libdefaults]
              default_realm = MIDOMINIO.COM
              clockskew = 300 
      
      [realms]
              MIDOMINIO.COM = {
                      kdc = nombredehost-ads.midominio.com
                      default_domain = midominio.com 
                      admin_server = nombredehost-ads.midominio.com
              }
      
      [logging]
              kdc = FILE:/var/log/krb5/krb5kdc.log
              admin_server = FILE:/var/log/krb5/kadmind.log
              default = SYSLOG:NOTICE:DAEMON
      
      [domain_realm]
              .midominio.com = MIDOMINIO.COM
              midominio.com = MIDOMINIO.COM
      
      [appdefaults]
              pam = {
                      ticket_lifetime = 1d
                      renew_lifetime = 1d
                      forwardable = true
                      proxiable = false
                      minimum_uid = 1
              }
    3. Edite el archivo /etc/security/pam_winbind.conf, tal y como se muestra en el siguiente ejemplo.
      cached_login = yes
      krb5_auth = yes
      krb5_ccache_type = FILE
    4. Edite el archivo /etc/nsswitch.conf, tal y como se muestra en el siguiente ejemplo.
      passwd: compat winbind
      group: compat winbind
  4. Únase al dominio de AD, tal y como se muestra en el siguiente ejemplo.
    # net ads join -U AdminUser
  5. Habilite el servicio Winbind.
    1. Para habilitar e iniciar Winbind, ejecute la siguiente secuencia de comandos.
      # pam-config --add --winbind
      # pam-config -a --mkhomedir
      # systemctl enable winbind
      # systemctl start winbind
    2. Para asegurarse de que los usuarios de AD puedan iniciar sesión en el escritorio sin tener que reiniciar el servidor Linux, ejecute la siguiente secuencia de comandos.
      # systemctl stop nscd
      # nscd -i passwd
      # nscd -i group
      # systemctl start nscd
  6. Para confirmar que se unió correctamente a AD, ejecute los siguientes comandos y compruebe que devuelven el resultado correcto.
    # wbinfo -u
    
    # wbinfo -g

Qué hacer a continuación

Configurar el redireccionamiento de tarjetas inteligentes en un escritorio SLED/SLES