Para admitir el redireccionamiento de tarjetas inteligentes en escritorios Ubuntu, integre la máquina virtual base con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.

Utilice el siguiente procedimiento para integrar una máquina virtual Ubuntu con un dominio de AD para el redireccionamiento de tarjetas inteligentes.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
DIRECCIÓN_IP_dns Dirección IP del servidor de nombres DNS
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas
MIDOMINIO Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas
nombredehost-ads Nombre de host del servidor de AD
nombredehost-ads.midominio.com Nombre de dominio completo (FQDN) del servidor de AD
miservidordetiempo.miempresa.com Nombre DNS del servidor de tiempo NTP
AdminUser Nombre de usuario del administrador de la máquina virtual

Procedimiento

  1. En la máquina virtual Ubuntu, defina el nombre de host de la máquina virtual editando el archivo de configuración /etc/hostname.
  2. Configurar DNS.
    1. Agregue el nombre del servidor DNS y la dirección IP al archivo de configuración /etc/hosts.
    2. Agregue la dirección IP del servidor de nombres DNS y el nombre DNS de su dominio de AD al archivo de configuración /etc/network/interfaces, tal y como se muestra en el siguiente ejemplo.
      dns-nameservers dns_IP_ADDRESS
      dns-search mydomain.com
  3. Instale el paquete resolvconfig.
    1. Ejecute el comando de instalación.
      apt-get install -y resolvconf
      Permita que el sistema instale el paquete y se reinicie.
    2. Compruebe la configuración de DNS en el archivo /etc/resolv.conf, tal y como se muestra en el siguiente ejemplo.
      cat /etc/resolv.conf
      …
      nameserver dns_IP_ADDRESS
      search mydomain.com
  4. Configure la sincronización de hora de red.
    1. Instale el paquete de ntpdate.
      apt-get install -y ntpdate
    2. Agregue la información del servidor NTP al archivo de configuración /etc/systemd/timesyncd.conf, tal y como se muestra en el siguiente ejemplo.
      [Time]
      NTP=mytimeserver.mycompany.com
  5. Reinicie el servicio NTP.
    sudo service ntpdate restart
  6. Instale los paquetes de unión de AD necesarios.
    1. Ejecute el comando de instalación.
      apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
          libnss-winbind
    2. En el mensaje de instalación que solicita el dominio Kerberos predeterminado, introduzca el nombre DNS de su dominio de AD en letras mayúsculas (por ejemplo, MIDOMINIO.COM). A continuación, seleccione Aceptar.
  7. Edite el archivo de configuración /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname.mydomain.com
                admin_server = ads-hostname.mydomain.com
                default_domain = ads-hostname.mydomain.com
                pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
                pkinit_cert_match = <KU>digitalSignature
                pkinit_kdc_hostname = ads-hostname.mydomain.com
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  8. Para comprobar la certificación Kerberos, ejecute los siguientes comandos.
    kinit Administrator@MYDOMAIN.COM
    
    klist
    Compruebe que los comandos devuelven un resultado similar al siguiente ejemplo.
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
    2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
            renew until 2019-05-28T17:12:03    
    
  9. Edite el archivo de configuración /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
    [global]
          workgroup = MYDOMAIN  
          realm = MYDOMAIN.COM
          password server = ads-hostname.mydomain.com
          security = ads
          kerberos method = secrets only
          winbind use default domain = true
          winbind offline logon = false 
          template homedir =/home/%D/%U
          template shell = /bin/bash 
          client use spnego = yes
          client ntlmv2 auth = yes
          encrypt passwords = yes
          passdb backend = tdbsam
          winbind enum users = yes
          winbind enum groups = yes
          idmap uid = 10000-20000
          idmap gid = 10000-20000
  10. Únase al dominio de AD y compruebe la integración.
    1. Ejecute los comandos de unión de AD.
      net ads join -U AdminUser@mydomain.com
      systemctl stop samba-ad-dc
      systemctl enable smbd nmbd winbind
      systemctl restart smbd nmbd winbind
    2. Modifique el archivo de configuración /etc/nsswitch.conf, tal como se muestra en el siguiente ejemplo.
      passwd:    compat systemd winbind
      group:     compat systemd winbind
      shadow:    compat
      gshadow:   files
    3. Para comprobar el resultado de la unión a AD, ejecute los siguientes comandos y verifique que devuelven el resultado correcto.
      wbinfo -u
      
      wbinfo -g
    4. Para comprobar Winbind Name Service Switch, ejecute los siguientes comandos y compruebe que devuelven el resultado correcto.
      getent group|grep 'domain admins'
      
      getent passwd|grep 'ads-hostname'
  11. Habilite todos los perfiles de PAM.
    pam-auth-update
    En la pantalla de configuración de PAM, seleccione todos los perfiles de PAM, incluido Crear el directorio del usuario (home) al iniciar sesión y, a continuación, seleccione Aceptar.

Qué hacer a continuación

Configurar el redireccionamiento de tarjetas inteligentes en una máquina virtual Ubuntu