Para admitir el redireccionamiento de tarjetas inteligentes en escritorios RHEL 7.x/6.x, integre el escritorio con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.

Utilice el siguiente procedimiento para integrar un escritorio RHEL 7.x/6.x con un dominio de AD para el redireccionamiento de tarjetas inteligentes.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
DIRECCIÓN_IP_dns Dirección IP del servidor de nombres DNS
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas
MIDOMINIO Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas
nombredehost-ads Nombre de host del servidor de AD
Nota: El redireccionamiento de tarjetas inteligentes se admite en escritorios con RHEL 6.0, RHEL 7.1 o versiones posteriores.

Procedimiento

  1. En su escritorio RHEL 7.x/6.x, instale los paquetes requeridos. 
    # yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. Edite la configuración de red de la conexión del sistema. Abra el panel de control de NetworkManager y desplácese a Ajustes de IPv4 de la conexión de su sistema. Para el método de IPv4, seleccione Automático (DHCP). En el cuadro de texto Servidores DNS, introduzca la dirección IP de su servidor de nombres DNS. A continuación, haga clic en Aplicar.
  3. Ejecute el siguiente comando y compruebe que devuelve el nombre de dominio completo (FQDN) de su escritorio RHEL. 
    # hostname -f
  4. Edite el archivo de configuración /etc/resolv.conf, tal y como se muestra en el ejemplo siguiente. 
    search mydomain.com
nameserver dns_IP_ADDRESS
  5. Deshabilite Security-Enhanced Linux (SELinux) en el escritorio RHEL. Edite el archivo de configuración /etc/selinux/config, como se muestra en el ejemplo siguiente. 
    SELINUX=disabled
  6. Edite el archivo de configuración /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo. 
    [libdefaults]
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_realm = MYDOMAIN.COM
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname
            admin_server = ads-hostname
            default_domain = ads-hostname
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM
  7. Edite el archivo de configuración /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo. 
    [global]
      workgroup = MYDOMAIN  
      password server = ads-hostname
      realm = MYDOMAIN.COM
      security = ads
      idmap config * : range = 16777216-33554431
      template homedir =/home/MYDOMAIN/%U
      template shell = /bin/bash 
      kerberos method = secrets and keytab
      winbind use default domain = true
      winbind offline logon = false 
      winbind refresh tickets = true
 
      passdb backend = tdbsam
  8. Abra la herramienta authconfig gtk y configure las opciones tal y como se muestra a continuación.
    1. Seleccione la pestaña Identidad & Autenticación. En Base de Datos de Cuentas de Usuarios, seleccione Winbind.
    2. Seleccione la pestaña Opciones avanzadas y seleccione la casilla de verificación Crear los directorios home (principales) al ingresar la primera vez.
    3. Seleccione la pestaña Identidad & Autenticación y, a continuación, haga clic en Unirse al Dominio . En la alerta que le solicita que guarde los cambios, haga clic en Guardar.
    4. Cuando se le solicite, introduzca el nombre de usuario y la contraseña del administrador del dominio y haga clic en Aceptar.
    Su escritorio RHEL se unió al dominio de AD.
  9. Configure almacenamiento en caché de ticket en PAM Winbind. Edite el archivo de configuración /etc/security/pam_winbind.conf para que incluya las líneas que se muestran en el ejemplo siguiente. 
    [global]

# authenticate using kerberos
;krb5_auth = yes 

# create homedirectory on the fly
;mkhomedir = yes
  10. Reinicie el servicio Winbind. 
    # sudo service winbind restart
  11. Para comprobar que se unió a AD, ejecute los siguientes comandos y asegúrese de que devuelven el resultado correcto.
    • net ads testjoin
    • net ads info
  12. Reinicie el sistema y vuelva a iniciar sesión.

Qué hacer a continuación

Configurar el redireccionamiento de tarjetas inteligentes en un escritorio RHEL 7.x/6.x