Utilice el siguiente procedimiento para integrar una máquina virtual RHEL o Rocky Linux 9.x/8.x con un dominio de Active Directory (AD) para el redireccionamiento de tarjetas inteligentes.
Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.
Valor del marcador de posición |
Descripción |
DIRECCIÓN_IP_dns |
Dirección IP del servidor de nombres DNS |
rhelsc.domain.com |
Nombre de host completo de su máquina virtual |
rhelsc |
Nombre de host no completo de su máquina virtual |
domain.com |
Nombre DNS de su dominio de AD |
DOMAIN.COM |
Nombre DNS de su dominio de AD, en mayúsculas |
DOMINIO |
Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas |
dnsserver.domain.com |
Nombre de host del servidor de AD |
Procedimiento
- En la máquina virtual, haga lo siguiente.
- Configure los ajustes DNS y de red según lo requiera su organización.
- Desactive IPv6.
- Desactive DNS automático.
- Edite el archivo de configuración /etc/hosts de forma que quede parecido a este ejemplo.
127.0.0.1 rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
dns_IP_ADDRESS dnsserver.domain.com
- Edite el archivo de configuración /etc/resolv.conf de forma que quede parecido a este ejemplo.
# Generated by NetworkManager
search domain.com
nameserver dns_IP_ADDRESS
- Instale los paquetes necesarios para la integración de AD.
sudo yum install -y samba-common-tools oddjob-mkhomedir
- Especifique la identidad del sistema y las fuentes de autenticación.
sudo authselect select sssd with-smartcard with-mkhomedir
- Inicie el servicio oddjobd.
- Para dar soporte a la autenticación de tarjetas inteligentes, cree el archivo /etc/sssd/sssd.conf.
sudo touch /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf
- Añada el contenido necesario a /etc/sssd/sssd.conf, como se muestra en el siguiente ejemplo. En la sección [pam], especifique pam_cert_auth = True.
[sssd]
config_file_version = 2
domains = domain.com
services = nss, pam, pac
[domain/DOMAIN.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
[pam]
pam_cert_auth = True
- (RHEL o Rocky Linux 8.x) Habilite el servicio sssd.
sudo systemctl enable sssd.service
sudo systemctl start sssd.service
- Edite el archivo de configuración /etc/krb5.conf de forma que quede parecido a este ejemplo.
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
spake_preauth_groups = edwards25519
default_realm = DOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
DOMAIN.COM = {
kdc = dnsserver.domain.com
admin_server = dnsserver.domain.com
default_domain = dnsserver.domain.com
pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
pkinit_cert_match = <KU>digitalSignature
pkinit_kdc_hostname = dnsserver.domain.com
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
- Edite el archivo de configuración /etc/samba/smb.conf de forma que quede parecido a este ejemplo.
[global]
workgroup = DOMAIN
security = ads
passdb backend = tdbsam
printing = cups
printcap name = cups
load printers = yes
cups options = raw
password server = dnsserver.domain.com
realm = DOMAIN.COM
idmap config * : range = 16777216-33554431
template homedir =/home/DOMAIN/%U
template shell = /bin/bash
kerberos method = secrets and keytab
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @printadmin root
force group = @printadmin
create mask = 0664
directory mask = 0775
- Únase al dominio de AD, tal y como se muestra en el siguiente ejemplo.
sudo net ads join -U AdminUser
Al ejecutar el comando
join, se obtiene un resultado similar al siguiente ejemplo.
Enter AdminUser's password:
Using short domain name -- DOMAIN
Joined 'rhelsc' to dns domain 'domain.com'
- Compruebe que la máquina virtual se unió correctamente al dominio de AD.
sudo net ads testjoin
Una unión de AD correcta devuelve el siguiente resultado.
Join is OK