Para admitir el redireccionamiento de tarjetas inteligentes en escritorios SLED/SLES, integre la máquina virtual base con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.
Utilice el siguiente procedimiento para integrar una máquina virtual SLED/SLES con un dominio de AD para el redireccionamiento de tarjetas inteligentes.
Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.
Valor del marcador de posición |
Descripción |
DIRECCIÓN_IP_dns |
Dirección IP del servidor de nombres DNS |
midominio.com |
Nombre DNS de su dominio de AD |
MIDOMINIO.COM |
Nombre DNS de su dominio de AD, en mayúsculas |
MIDOMINIO |
Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas |
nombredehost-ads |
Nombre de host del servidor de AD |
nombredehost-ads.midominio.com |
Nombre de dominio completo (FQDN) del servidor de AD |
miservidordetiempo.miempresa.com |
Nombre DNS del servidor de tiempo NTP |
AdminUser |
Nombre de usuario del administrador de la máquina virtual |
Procedimiento
- Configure los ajustes de red para la máquina virtual SLED/SLES.
- Para definir el nombre de host de la máquina virtual, edite los archivos de configuración /etc/hostname y /etc/hosts.
- Configure la dirección IP del servidor DNS y desactive DNS automático. En la máquina virtual SLES, desactive también Cambiar nombre de host mediante DHCP.
- Para configurar la sincronización de hora de red, agregue la información del servidor NTP al archivo /etc/ntp.conf, tal y como se muestra en el siguiente ejemplo.
server mytimeserver.mycompany.com
- Instale los paquetes de unión de AD necesarios.
zypper in krb5-client samba-winbind
- Actualice la biblioteca krb5 tal y como se muestra en el siguiente ejemplo.
- Edite los archivos de configuración necesarios.
- Edite el archivo /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- Edite el archivo /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
[libdefaults]
default_realm = MYDOMAIN.COM
clockskew = 300
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
default_domain = mydomain.com
admin_server = ads-hostname.mydomain.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- Edite el archivo /etc/security/pam_winbind.conf, tal y como se muestra en el siguiente ejemplo.
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- Edite el archivo /etc/nsswitch.conf, tal y como se muestra en el siguiente ejemplo.
passwd: compat winbind
group: compat winbind
- Únase al dominio de AD, tal y como se muestra en el siguiente ejemplo.
net ads join -U AdminUser
- Habilite el servicio Winbind.
- Para habilitar e iniciar Winbind, ejecute la siguiente secuencia de comandos.
pam-config --add --winbind
pam-config -a --mkhomedir
systemctl enable winbind
systemctl start winbind
- Para asegurarse de que los usuarios de AD puedan iniciar sesión en los escritorios sin tener que reiniciar el servidor Linux, ejecute la siguiente secuencia de comandos.
systemctl stop nscd
nscd -i passwd
nscd -i group
systemctl start nscd
- Para confirmar que se unió correctamente a AD, ejecute los siguientes comandos y compruebe que devuelven el resultado correcto.