Para admitir el redireccionamiento de tarjetas inteligentes en escritorios RHEL 7.x/6.x, integre el escritorio con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.
Utilice el siguiente procedimiento para integrar un escritorio RHEL 7.x/6.x con un dominio de AD para el redireccionamiento de tarjetas inteligentes.
Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.
Valor del marcador de posición |
Descripción |
DIRECCIÓN_IP_dns |
Dirección IP del servidor de nombres DNS |
midominio.com |
Nombre DNS de su dominio de AD |
MIDOMINIO.COM |
Nombre DNS de su dominio de AD, en mayúsculas |
MIDOMINIO |
Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas |
nombredehost-ads |
Nombre de host del servidor de AD |
Nota: El redireccionamiento de tarjetas inteligentes se admite en escritorios con RHEL 6.0, RHEL 7.1 o versiones posteriores.
Procedimiento
- En su escritorio RHEL 7.x/6.x, instale los paquetes requeridos.
# yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
- Edite la configuración de red de la conexión del sistema. Abra el panel de control de NetworkManager y desplácese a Ajustes de IPv4 de la conexión de su sistema. Para el método de IPv4, seleccione Automático (DHCP). En el cuadro de texto Servidores DNS, introduzca la dirección IP de su servidor de nombres DNS. A continuación, haga clic en Aplicar.
- Ejecute el siguiente comando y compruebe que devuelve el nombre de dominio completo (FQDN) de su escritorio RHEL.
- Edite el archivo de configuración /etc/resolv.conf, tal y como se muestra en el ejemplo siguiente.
search mydomain.com
nameserver dns_IP_ADDRESS
- Deshabilite Security-Enhanced Linux (SELinux) en el escritorio RHEL. Edite el archivo de configuración /etc/selinux/config, como se muestra en el ejemplo siguiente.
- Edite el archivo de configuración /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
default_domain = ads-hostname
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- Edite el archivo de configuración /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
[global]
workgroup = MYDOMAIN
password server = ads-hostname
realm = MYDOMAIN.COM
security = ads
idmap config * : range = 16777216-33554431
template homedir =/home/MYDOMAIN/%U
template shell = /bin/bash
kerberos method = secrets and keytab
winbind use default domain = true
winbind offline logon = false
winbind refresh tickets = true
passdb backend = tdbsam
- Abra la herramienta authconfig gtk y configure las opciones tal y como se muestra a continuación.
- Seleccione la pestaña Identidad & Autenticación. En Base de Datos de Cuentas de Usuarios, seleccione Winbind.
- Seleccione la pestaña Opciones avanzadas y seleccione la casilla de verificación Crear los directorios home (principales) al ingresar la primera vez.
- Seleccione la pestaña Identidad & Autenticación y, a continuación, haga clic en Unirse al Dominio . En la alerta que le solicita que guarde los cambios, haga clic en Guardar.
- Cuando se le solicite, introduzca el nombre de usuario y la contraseña del administrador del dominio y haga clic en Aceptar.
Su escritorio RHEL se unió al dominio de AD.
- Configure almacenamiento en caché de ticket en PAM Winbind. Edite el archivo de configuración /etc/security/pam_winbind.conf para que incluya las líneas que se muestran en el ejemplo siguiente.
[global]
# authenticate using kerberos
;krb5_auth = yes
# create homedirectory on the fly
;mkhomedir = yes
- Reinicie el servicio Winbind.
# sudo service winbind restart
- Para comprobar que se unió a AD, ejecute los siguientes comandos y asegúrese de que devuelven el resultado correcto.
- net ads testjoin
- net ads info
- Reinicie el sistema y vuelva a iniciar sesión.