Para admitir el redireccionamiento de tarjetas inteligentes en un escritorio SLED/SLES, integre el escritorio con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.
Utilice el siguiente procedimiento para integrar un escritorio SLED/SLES con un dominio de AD para el redireccionamiento de tarjetas inteligentes.
Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.
Valor del marcador de posición |
Descripción |
DIRECCIÓN_IP_dns |
Dirección IP del servidor de nombres DNS |
midominio.com |
Nombre DNS de su dominio de AD |
MIDOMINIO.COM |
Nombre DNS de su dominio de AD, en mayúsculas |
MIDOMINIO |
Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas |
nombredehost-ads |
Nombre de host del servidor de AD |
nombredehost-ads.midominio.com |
Nombre de dominio completo (FQDN) del servidor de AD |
miservidordetiempo.miempresa.com |
Nombre DNS del servidor de tiempo NTP |
AdminUser |
Nombre de usuario del administrador del escritorio Linux |
Procedimiento
- Configure los ajustes de red para el escritorio SLED/SLES.
- Para definir el nombre de host del escritorio, edite los archivos de configuración /etc/hostname y /etc/hosts.
- Configure la dirección IP del servidor DNS y deshabilite DNS automático. En SLES 12 SP3, deshabilite también Cambiar nombre de host mediante DHCP.
- Para configurar la sincronización de hora de red, agregue la información del servidor NTP al archivo /etc/ntp.conf, tal y como se muestra en el siguiente ejemplo.
server miservidordetiempo.miempresa.com
- Instale los paquetes de unión de AD necesarios.
# zypper in krb5-client samba-winbind
- Edite los archivos de configuración necesarios.
- Edite el archivo /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
[global]
workgroup = MIDOMINIO
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MIDOMINIO.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- Edite el archivo /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
[libdefaults]
default_realm = MIDOMINIO.COM
clockskew = 300
[realms]
MIDOMINIO.COM = {
kdc = nombredehost-ads.midominio.com
default_domain = midominio.com
admin_server = nombredehost-ads.midominio.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.midominio.com = MIDOMINIO.COM
midominio.com = MIDOMINIO.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- Edite el archivo /etc/security/pam_winbind.conf, tal y como se muestra en el siguiente ejemplo.
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- Edite el archivo /etc/nsswitch.conf, tal y como se muestra en el siguiente ejemplo.
passwd: compat winbind
group: compat winbind
- Únase al dominio de AD, tal y como se muestra en el siguiente ejemplo.
# net ads join -U AdminUser
- Habilite el servicio Winbind.
- Para habilitar e iniciar Winbind, ejecute la siguiente secuencia de comandos.
# pam-config --add --winbind
# pam-config -a --mkhomedir
# systemctl enable winbind
# systemctl start winbind
- Para asegurarse de que los usuarios de AD puedan iniciar sesión en el escritorio sin tener que reiniciar el servidor Linux, ejecute la siguiente secuencia de comandos.
# systemctl stop nscd
# nscd -i passwd
# nscd -i group
# systemctl start nscd
- Para confirmar que se unió correctamente a AD, ejecute los siguientes comandos y compruebe que devuelven el resultado correcto.