Para admitir el redireccionamiento de tarjetas inteligentes en escritorios SLED/SLES, integre la máquina virtual base con un dominio de Active Directory (AD) mediante las soluciones Samba y Winbind.

Utilice el siguiente procedimiento para integrar una máquina virtual SLED/SLES con un dominio de AD para el redireccionamiento de tarjetas inteligentes.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
DIRECCIÓN_IP_dns Dirección IP del servidor de nombres DNS
midominio.com Nombre DNS de su dominio de AD
MIDOMINIO.COM Nombre DNS de su dominio de AD, en mayúsculas
MIDOMINIO Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas
nombredehost-ads Nombre de host del servidor de AD
nombredehost-ads.midominio.com Nombre de dominio completo (FQDN) del servidor de AD
miservidordetiempo.miempresa.com Nombre DNS del servidor de tiempo NTP
AdminUser Nombre de usuario del administrador de la máquina virtual

Requisitos previos

Compruebe que la máquina virtual SLED/SLES cumple los requisitos del sistema descritos en Configurar el redireccionamiento de tarjeta inteligente.

Procedimiento

  1. Configure los ajustes de red para la máquina virtual SLED/SLES.
    1. Para definir el nombre de host de la máquina virtual, edite los archivos de configuración /etc/hostname y /etc/hosts.
    2. Configure la dirección IP del servidor DNS y desactive DNS automático. En la máquina virtual SLES, desactive también Cambiar nombre de host mediante DHCP.
    3. Para configurar la sincronización de hora de red, agregue la información del servidor NTP al archivo /etc/ntp.conf, tal y como se muestra en el siguiente ejemplo.
      server mytimeserver.mycompany.com
  2. Instale los paquetes de unión de AD necesarios.
    zypper in krb5-client samba-winbind
  3. Actualice la biblioteca krb5 tal y como se muestra en el siguiente ejemplo.
    zypper up krb5
  4. Edite los archivos de configuración necesarios.
    1. Edite el archivo /etc/samba/smb.conf, tal y como se muestra en el siguiente ejemplo.
      [global]
              workgroup = MYDOMAIN
              usershare allow guests = NO
              idmap gid = 10000-20000
              idmap uid = 10000-20000
              kerberos method = secrets and keytab
              realm = MYDOMAIN.COM
              security = ADS
              template homedir = /home/%D/%U
              template shell = /bin/bash
              winbind use default domain=true
              winbind offline logon = yes
              winbind refresh tickets = yes
      [homes]
              ...
    2. Edite el archivo /etc/krb5.conf, tal y como se muestra en el siguiente ejemplo.
      [libdefaults]
              default_realm = MYDOMAIN.COM
              clockskew = 300 
      
      [realms]
              MYDOMAIN.COM = {
                      kdc = ads-hostname.mydomain.com
                      default_domain = mydomain.com 
                      admin_server = ads-hostname.mydomain.com
              }
      
      [logging]
              kdc = FILE:/var/log/krb5/krb5kdc.log
              admin_server = FILE:/var/log/krb5/kadmind.log
              default = SYSLOG:NOTICE:DAEMON
      
      [domain_realm]
              .mydomain.com = MYDOMAIN.COM
              mydomain.com = MYDOMAIN.COM
      
      [appdefaults]
              pam = {
                      ticket_lifetime = 1d
                      renew_lifetime = 1d
                      forwardable = true
                      proxiable = false
                      minimum_uid = 1
              }
    3. Edite el archivo /etc/security/pam_winbind.conf, tal y como se muestra en el siguiente ejemplo.
      cached_login = yes
      krb5_auth = yes
      krb5_ccache_type = FILE
    4. Edite el archivo /etc/nsswitch.conf, tal y como se muestra en el siguiente ejemplo.
      passwd: compat winbind
      group: compat winbind
  5. Únase al dominio de AD, tal y como se muestra en el siguiente ejemplo.
    net ads join -U AdminUser
  6. Habilite el servicio Winbind.
    1. Para habilitar e iniciar Winbind, ejecute la siguiente secuencia de comandos.
      pam-config --add --winbind
      pam-config -a --mkhomedir
      systemctl enable winbind
      systemctl start winbind
    2. Para asegurarse de que los usuarios de AD puedan iniciar sesión en los escritorios sin tener que reiniciar el servidor Linux, ejecute la siguiente secuencia de comandos.
      systemctl stop nscd
      nscd -i passwd
      nscd -i group
      systemctl start nscd
  7. Para confirmar que se unió correctamente a AD, ejecute los siguientes comandos y compruebe que devuelven el resultado correcto.
    wbinfo -u
    wbinfo -g

Qué hacer a continuación

Vaya a Configurar el redireccionamiento de tarjetas inteligentes en una máquina virtual SLED/SLES.