Para admitir el redireccionamiento de tarjetas inteligentes en escritorios Ubuntu/Debian, integre la máquina virtual base con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.
Utilice el siguiente procedimiento para integrar una máquina virtual Ubuntu/Debian con un dominio de AD para el redireccionamiento de tarjetas inteligentes.
Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.
Valor del marcador de posición |
Descripción |
DIRECCIÓN_IP_dns |
Dirección IP del servidor de nombres DNS |
midominio.com |
Nombre DNS de su dominio de AD |
MIDOMINIO.COM |
Nombre DNS de su dominio de AD, en mayúsculas |
MIDOMINIO |
Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas |
nombredehost-ads |
Nombre de host del servidor de AD |
nombredehost-ads.midominio.com |
Nombre de dominio completo (FQDN) del servidor de AD |
miservidordetiempo.miempresa.com |
Nombre DNS del servidor de tiempo NTP |
AdminUser |
Nombre de usuario del administrador de la máquina virtual |
Procedimiento
- En la máquina virtual Ubuntu/Debian, defina el nombre de host de la máquina virtual editando el archivo de configuración /etc/hostname.
- Configurar DNS.
- Agregue el nombre del servidor DNS y la dirección IP al archivo de configuración /etc/hosts.
- Agregue la dirección IP del servidor de nombres DNS y el nombre DNS de su dominio de AD al archivo de configuración /etc/network/interfaces, tal y como se muestra en el siguiente ejemplo.
dns-nameservers dns_IP_ADDRESS
dns-search mydomain.com
- Instale el paquete resolvconfig.
- Ejecute el comando de instalación.
apt-get install -y resolvconf
Permita que el sistema instale el paquete y se reinicie.
- Compruebe la configuración de DNS en el archivo /etc/resolv.conf ejecutando el siguiente comando.
Compruebe que el comando devuelve un resultado similar al siguiente ejemplo.
nameserver dns_IP_ADDRESS
search mydomain.com
- Configure la sincronización de hora de red.
- Instale el paquete de ntpdate.
apt-get install -y ntpdate
- Agregue la información del servidor NTP al archivo de configuración /etc/systemd/timesyncd.conf, tal y como se muestra en el siguiente ejemplo.
[Time]
NTP=mytimeserver.mycompany.com
- Reinicie el servicio NTP.
sudo service ntpdate restart
- Instale los paquetes de unión de AD necesarios.
- Ejecute el comando de instalación.
apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
libnss-winbind
- En el mensaje de instalación que solicita el dominio Kerberos predeterminado, introduzca el nombre DNS de su dominio de AD en letras mayúsculas (por ejemplo, MIDOMINIO.COM). A continuación, seleccione Aceptar.
- Edite el archivo de configuración /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
admin_server = ads-hostname.mydomain.com
default_domain = ads-hostname.mydomain.com
pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
pkinit_cert_match = <KU>digitalSignature
pkinit_kdc_hostname = ads-hostname.mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- Para comprobar la certificación Kerberos, ejecute los siguientes comandos.
kinit Administrator@MYDOMAIN.COM
klist
Compruebe que los comandos devuelven un resultado similar al siguiente ejemplo.
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.COMValid starting Expires Service principal
2019-05-27T17:12:03 2019-05-28T03:12:03 krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
renew until 2019-05-28T17:12:03
- Edite el archivo de configuración /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
- Únase al dominio de AD y compruebe la integración.
- Ejecute los comandos de unión de AD.
net ads join -U AdminUser@mydomain.com
systemctl stop samba-ad-dc
systemctl enable smbd nmbd winbind
systemctl restart smbd nmbd winbind
- Modifique el archivo de configuración /etc/nsswitch.conf, tal como se muestra en el siguiente ejemplo.
passwd: compat systemd winbind
group: compat systemd winbind
shadow: compat
gshadow: files
- Para comprobar el resultado de la unión a AD, ejecute los siguientes comandos y verifique que devuelven el resultado correcto.
- Para comprobar Winbind Name Service Switch, ejecute los siguientes comandos y compruebe que devuelven el resultado correcto.
getent group|grep 'domain admins'
getent passwd|grep 'ads-hostname'
- Habilite todos los perfiles de PAM.
En la pantalla de configuración de PAM, seleccione todos los perfiles de PAM, incluido
Crear el directorio del usuario (home) al iniciar sesión y, a continuación, seleccione
Aceptar.