Para admitir el redireccionamiento de tarjetas inteligentes en escritorios RHEL 7.x/6.x, integre el escritorio con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.

Utilice el siguiente procedimiento para integrar un escritorio RHEL 7.x/6.x con un dominio de AD para el redireccionamiento de tarjetas inteligentes.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
DIRECCIÓN_IP_dns Dirección IP del servidor de nombres DNS
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas
MIDOMINIO Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas
nombredehost-ads Nombre de host del servidor de AD
Nota: El redireccionamiento de tarjetas inteligentes se admite en escritorios con RHEL 6.0, RHEL 7.1 o versiones posteriores.

Procedimiento

  1. En su escritorio RHEL 7.x/6.x, instale los paquetes requeridos.
    # yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. Edite la configuración de red de la conexión del sistema. Abra el panel de control de NetworkManager y desplácese a Ajustes de IPv4 de la conexión de su sistema. Para el método de IPv4, seleccione Automático (DHCP). En el cuadro de texto Servidores DNS, introduzca la dirección IP de su servidor de nombres DNS. A continuación, haga clic en Aplicar.
  3. Ejecute el siguiente comando y compruebe que devuelve el nombre de dominio completo (FQDN) de su escritorio RHEL.
    # hostname -f
  4. Edite el archivo de configuración /etc/resolv.conf, tal y como se muestra en el ejemplo siguiente.
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. Deshabilite Security-Enhanced Linux (SELinux) en el escritorio RHEL. Edite el archivo de configuración /etc/selinux/config, como se muestra en el ejemplo siguiente.
    SELINUX=disabled
  6. Edite el archivo de configuración /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  7. Edite el archivo de configuración /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  8. Abra la herramienta authconfig gtk y configure las opciones tal y como se muestra a continuación.
    1. Seleccione la pestaña Identidad & Autenticación. En Base de Datos de Cuentas de Usuarios, seleccione Winbind.
    2. Seleccione la pestaña Opciones avanzadas y seleccione la casilla de verificación Crear los directorios home (principales) al ingresar la primera vez.
    3. Seleccione la pestaña Identidad & Autenticación y, a continuación, haga clic en Unirse al Dominio . En la alerta que le solicita que guarde los cambios, haga clic en Guardar.
    4. Cuando se le solicite, introduzca el nombre de usuario y la contraseña del administrador del dominio y haga clic en Aceptar.
    Su escritorio RHEL se unió al dominio de AD.
  9. Configure almacenamiento en caché de ticket en PAM Winbind. Edite el archivo de configuración /etc/security/pam_winbind.conf para que incluya las líneas que se muestran en el ejemplo siguiente.
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  10. Reinicie el servicio Winbind.
    # sudo service winbind restart
  11. Para comprobar que se unió a AD, ejecute los siguientes comandos y asegúrese de que devuelven el resultado correcto.
    • net ads testjoin
    • net ads info
  12. Reinicie el sistema y vuelva a iniciar sesión.

Qué hacer a continuación

Configurar el redireccionamiento de tarjetas inteligentes en un escritorio RHEL 7.x/6.x