Para admitir el redireccionamiento de tarjetas inteligentes en escritorios Ubuntu/Debian, integre la máquina virtual base con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.

Utilice el siguiente procedimiento para integrar una máquina virtual Ubuntu/Debian con un dominio de AD para el redireccionamiento de tarjetas inteligentes.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
DIRECCIÓN_IP_dns Dirección IP del servidor de nombres DNS
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas
MIDOMINIO Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas
nombredehost-ads Nombre de host del servidor de AD
nombredehost-ads.midominio.com Nombre de dominio completo (FQDN) del servidor de AD
miservidordetiempo.miempresa.com Nombre DNS del servidor de tiempo NTP
AdminUser Nombre de usuario del administrador de la máquina virtual

Procedimiento

  1. En la máquina virtual Ubuntu/Debian, defina el nombre de host de la máquina virtual editando el archivo de configuración /etc/hostname.
  2. Configurar DNS.
    1. Agregue el nombre del servidor DNS y la dirección IP al archivo de configuración /etc/hosts.
    2. Agregue la dirección IP del servidor de nombres DNS y el nombre DNS de su dominio de AD al archivo de configuración /etc/network/interfaces, tal y como se muestra en el siguiente ejemplo.
      dns-nameservers dns_IP_ADDRESS
      dns-search mydomain.com
  3. Instale el paquete resolvconfig.
    1. Ejecute el comando de instalación.
      apt-get install -y resolvconf
      Permita que el sistema instale el paquete y se reinicie.
    2. Compruebe la configuración de DNS en el archivo /etc/resolv.conf ejecutando el siguiente comando.
      cat /etc/resolv.conf
      Compruebe que el comando devuelve un resultado similar al siguiente ejemplo.
      nameserver dns_IP_ADDRESS
      search mydomain.com
  4. Configure la sincronización de hora de red.
    1. Instale el paquete de ntpdate.
      apt-get install -y ntpdate
    2. Agregue la información del servidor NTP al archivo de configuración /etc/systemd/timesyncd.conf, tal y como se muestra en el siguiente ejemplo.
      [Time]
      NTP=mytimeserver.mycompany.com
  5. Reinicie el servicio NTP.
    sudo service ntpdate restart
  6. Instale los paquetes de unión de AD necesarios.
    1. Ejecute el comando de instalación.
      apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
          libnss-winbind
    2. En el mensaje de instalación que solicita el dominio Kerberos predeterminado, introduzca el nombre DNS de su dominio de AD en letras mayúsculas (por ejemplo, MIDOMINIO.COM). A continuación, seleccione Aceptar.
  7. Edite el archivo de configuración /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname.mydomain.com
                admin_server = ads-hostname.mydomain.com
                default_domain = ads-hostname.mydomain.com
                pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
                pkinit_cert_match = <KU>digitalSignature
                pkinit_kdc_hostname = ads-hostname.mydomain.com
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  8. Para comprobar la certificación Kerberos, ejecute los siguientes comandos.
    kinit Administrator@MYDOMAIN.COM
    
    klist
    Compruebe que los comandos devuelven un resultado similar al siguiente ejemplo.
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
    2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
            renew until 2019-05-28T17:12:03    
    
  9. Edite el archivo de configuración /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
    [global]
            workgroup = MYDOMAIN
            usershare allow guests = NO
            idmap gid = 10000-20000
            idmap uid = 10000-20000
            kerberos method = secrets and keytab
            realm = MYDOMAIN.COM
            security = ADS
            template homedir = /home/%D/%U
            template shell = /bin/bash
            winbind use default domain=true
            winbind offline logon = yes
            winbind refresh tickets = yes
  10. Únase al dominio de AD y compruebe la integración.
    1. Ejecute los comandos de unión de AD.
      net ads join -U AdminUser@mydomain.com
      systemctl stop samba-ad-dc
      systemctl enable smbd nmbd winbind
      systemctl restart smbd nmbd winbind
    2. Modifique el archivo de configuración /etc/nsswitch.conf, tal como se muestra en el siguiente ejemplo.
      passwd:    compat systemd winbind
      group:     compat systemd winbind
      shadow:    compat
      gshadow:   files
    3. Para comprobar el resultado de la unión a AD, ejecute los siguientes comandos y verifique que devuelven el resultado correcto.
      wbinfo -u
      
      wbinfo -g
    4. Para comprobar Winbind Name Service Switch, ejecute los siguientes comandos y compruebe que devuelven el resultado correcto.
      getent group|grep 'domain admins'
      
      getent passwd|grep 'ads-hostname'
  11. Habilite todos los perfiles de PAM.
    pam-auth-update
    En la pantalla de configuración de PAM, seleccione todos los perfiles de PAM, incluido Crear el directorio del usuario (home) al iniciar sesión y, a continuación, seleccione Aceptar.

Qué hacer a continuación

Configurar el redireccionamiento de tarjetas inteligentes en una máquina virtual Ubuntu/Debian