Integrar una máquina virtual RHEL o Rocky Linux 9.x/8.x con AD para el redireccionamiento de tarjetas inteligentes

Utilice el siguiente procedimiento para integrar una máquina virtual RHEL o Rocky Linux 9.x/8.x con un dominio de Active Directory (AD) para el redireccionamiento de tarjetas inteligentes.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.


Valor del marcador de posición	Descripción
DIRECCIÓN_IP_dns	Dirección IP del servidor de nombres DNS
rhelsc.domain.com	Nombre de host completo de su máquina virtual
rhelsc	Nombre de host no completo de su máquina virtual
domain.com	Nombre DNS de su dominio de AD
DOMAIN.COM	Nombre DNS de su dominio de AD, en mayúsculas
DOMINIO	Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas
dnsserver.domain.com	Nombre de host del servidor de AD

Procedimiento

En la máquina virtual, haga lo siguiente.
1. Configure los ajustes DNS y de red según lo requiera su organización.
2. Desactive IPv6.
3. Desactive DNS automático.

Edite el archivo de configuración /etc/hosts de forma que quede parecido a este ejemplo.

127.0.0.1        rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
 
dns_IP_ADDRESS   dnsserver.domain.com

Edite el archivo de configuración /etc/resolv.conf de forma que quede parecido a este ejemplo.
```
# Generated by NetworkManager
search domain.com
nameserver dns_IP_ADDRESS
```
Instale los paquetes necesarios para la integración de AD.
```
sudo yum install -y samba-common-tools oddjob-mkhomedir
```
Especifique la identidad del sistema y las fuentes de autenticación.
```
sudo authselect select sssd with-smartcard with-mkhomedir
```
Inicie el servicio oddjobd.
- (RHEL o Rocky Linux 8.x) Ejecute los siguientes comandos.
```
sudo systemctl enable oddjobd.service
sudo systemctl start oddjobd.service
```
- (RHEL o Rocky Linux 9.x) Ejecute el siguiente comando.
```
sudo systemctl enable --now oddjobd.service
```

Para dar soporte a la autenticación de tarjetas inteligentes, cree el archivo /etc/sssd/sssd.conf.

sudo touch /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf

Añada el contenido necesario a /etc/sssd/sssd.conf, como se muestra en el siguiente ejemplo. En la sección [pam], especifique pam_cert_auth = True.

[sssd]
config_file_version = 2
domains = domain.com
services = nss, pam, pac
 
[domain/DOMAIN.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
 
[pam]
pam_cert_auth = True

(RHEL o Rocky Linux 8.x) Habilite el servicio sssd.

sudo systemctl enable sssd.service
sudo systemctl start sssd.service

Edite el archivo de configuración /etc/krb5.conf de forma que quede parecido a este ejemplo.

# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
 
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = DOMAIN.COM
    default_ccache_name = KEYRING:persistent:%{uid}
 
[realms]
 DOMAIN.COM = {
     kdc = dnsserver.domain.com
     admin_server = dnsserver.domain.com
     default_domain = dnsserver.domain.com
     pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
     pkinit_cert_match = <KU>digitalSignature
     pkinit_kdc_hostname = dnsserver.domain.com
 }
 
[domain_realm]
 .domain.com = DOMAIN.COM
 domain.com = DOMAIN.COM

Edite el archivo de configuración /etc/samba/smb.conf de forma que quede parecido a este ejemplo.

[global]
        workgroup = DOMAIN
        security = ads
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw
        password server = dnsserver.domain.com
        realm = DOMAIN.COM
        idmap config * : range = 16777216-33554431
        template homedir =/home/DOMAIN/%U
        template shell = /bin/bash
        kerberos method = secrets and keytab
 
[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
 
[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
 
[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @printadmin root
        force group = @printadmin
        create mask = 0664
        directory mask = 0775

Únase al dominio de AD, tal y como se muestra en el siguiente ejemplo.
```
sudo net ads join -U AdminUser
```
Al ejecutar el comando join, se obtiene un resultado similar al siguiente ejemplo.
```
Enter AdminUser's password:
Using short domain name -- DOMAIN
Joined 'rhelsc' to dns domain 'domain.com'
```
Compruebe que la máquina virtual se unió correctamente al dominio de AD.
```
sudo net ads testjoin
```
Una unión de AD correcta devuelve el siguiente resultado.
```
Join is OK
```

Qué hacer a continuación

Configurar el redireccionamiento de tarjetas inteligentes en una máquina virtual RHEL o Rocky Linux 9.x/8.x