Utilice el siguiente procedimiento para integrar una máquina virtual RHEL o Rocky Linux 9.x/8.x con un dominio de Active Directory (AD) para el redireccionamiento de tarjetas inteligentes.

Algunos ejemplos incluidos en el procedimiento utilizan valores de marcador de posición para representar entidades en su configuración de red, como el nombre de DNS de su dominio de AD. Reemplace los valores de marcador de posición con información específica de su configuración, tal y como se describe en la siguiente tabla.

Valor del marcador de posición Descripción
DIRECCIÓN_IP_dns Dirección IP del servidor de nombres DNS
rhelsc.domain.com Nombre de host completo de su máquina virtual
rhelsc Nombre de host no completo de su máquina virtual
domain.com Nombre DNS de su dominio de AD
DOMAIN.COM Nombre DNS de su dominio de AD, en mayúsculas
DOMINIO Nombre DNS del grupo de trabajo o el dominio NT que incluye su servidor Samba, en mayúsculas
dnsserver.domain.com Nombre de host del servidor de AD

Procedimiento

  1. En la máquina virtual, haga lo siguiente.
    1. Configure los ajustes DNS y de red según lo requiera su organización.
    2. Desactive IPv6.
    3. Desactive DNS automático.
  2. Edite el archivo de configuración /etc/hosts de forma que quede parecido a este ejemplo.
    127.0.0.1        rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
     
    dns_IP_ADDRESS   dnsserver.domain.com
  3. Edite el archivo de configuración /etc/resolv.conf de forma que quede parecido a este ejemplo.
    # Generated by NetworkManager
    search domain.com
    nameserver dns_IP_ADDRESS
  4. Instale los paquetes necesarios para la integración de AD.
    sudo yum install -y samba-common-tools oddjob-mkhomedir
  5. Especifique la identidad del sistema y las fuentes de autenticación.
    sudo authselect select sssd with-smartcard with-mkhomedir
    
    
  6. Inicie el servicio oddjobd.
    • (RHEL o Rocky Linux 8.x) Ejecute los siguientes comandos.
      sudo systemctl enable oddjobd.service
      sudo systemctl start oddjobd.service
      
    • (RHEL o Rocky Linux 9.x) Ejecute el siguiente comando.
      sudo systemctl enable --now oddjobd.service
  7. Para dar soporte a la autenticación de tarjetas inteligentes, cree el archivo /etc/sssd/sssd.conf.
    sudo touch /etc/sssd/sssd.conf
    sudo chmod 600 /etc/sssd/sssd.conf
    sudo chown root:root /etc/sssd/sssd.conf
  8. Añada el contenido necesario a /etc/sssd/sssd.conf, como se muestra en el siguiente ejemplo. En la sección [pam], especifique pam_cert_auth = True.
    [sssd]
    config_file_version = 2
    domains = domain.com
    services = nss, pam, pac
     
    [domain/DOMAIN.COM]
    id_provider = ad
    auth_provider = ad
    chpass_provider = ad
    access_provider = ad
    cache_credentials = true
     
    [pam]
    pam_cert_auth = True
  9. (RHEL o Rocky Linux 8.x) Habilite el servicio sssd.
    sudo systemctl enable sssd.service
    sudo systemctl start sssd.service
  10. Edite el archivo de configuración /etc/krb5.conf de forma que quede parecido a este ejemplo.
    # To opt out of the system crypto-policies configuration of krb5, remove the
    # symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
    includedir /etc/krb5.conf.d/
     
    [logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
     
    [libdefaults]
        dns_lookup_realm = false
        ticket_lifetime = 24h
        renew_lifetime = 7d
        forwardable = true
        rdns = false
        pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
        spake_preauth_groups = edwards25519
        default_realm = DOMAIN.COM
        default_ccache_name = KEYRING:persistent:%{uid}
     
    [realms]
     DOMAIN.COM = {
         kdc = dnsserver.domain.com
         admin_server = dnsserver.domain.com
         default_domain = dnsserver.domain.com
         pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
         pkinit_cert_match = <KU>digitalSignature
         pkinit_kdc_hostname = dnsserver.domain.com
     }
     
    [domain_realm]
     .domain.com = DOMAIN.COM
     domain.com = DOMAIN.COM
  11. Edite el archivo de configuración /etc/samba/smb.conf de forma que quede parecido a este ejemplo.
    [global]
            workgroup = DOMAIN
            security = ads
            passdb backend = tdbsam
            printing = cups
            printcap name = cups
            load printers = yes
            cups options = raw
            password server = dnsserver.domain.com
            realm = DOMAIN.COM
            idmap config * : range = 16777216-33554431
            template homedir =/home/DOMAIN/%U
            template shell = /bin/bash
            kerberos method = secrets and keytab
     
    [homes]
            comment = Home Directories
            valid users = %S, %D%w%S
            browseable = No
            read only = No
            inherit acls = Yes
     
    [printers]
            comment = All Printers
            path = /var/tmp
            printable = Yes
            create mask = 0600
            browseable = No
     
    [print$]
            comment = Printer Drivers
            path = /var/lib/samba/drivers
            write list = @printadmin root
            force group = @printadmin
            create mask = 0664
            directory mask = 0775
  12. Únase al dominio de AD, tal y como se muestra en el siguiente ejemplo.
    sudo net ads join -U AdminUser
    Al ejecutar el comando join, se obtiene un resultado similar al siguiente ejemplo.
    Enter AdminUser's password:
    Using short domain name -- DOMAIN
    Joined 'rhelsc' to dns domain 'domain.com'
  13. Compruebe que la máquina virtual se unió correctamente al dominio de AD.
    sudo net ads testjoin

    Una unión de AD correcta devuelve el siguiente resultado.

    Join is OK

Qué hacer a continuación

Configurar el redireccionamiento de tarjetas inteligentes en una máquina virtual RHEL o Rocky Linux 9.x/8.x