Intégrer un poste de travail Ubuntu à Active Directory pour la redirection de carte à puce

Pour prendre en charge la redirection de carte à puce sur un poste de travail Ubuntu, intégrez le poste de travail à un domaine Active Directory (AD) à l'aide des solutions Samba et Winbind.

Utilisez la procédure suivante pour intégrer un poste de travail Ubuntu à un domaine AD pour la redirection de carte à puce.

Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.


Valeur d'espace réservé	Description
dns_IP_ADDRESS	Adresse IP de votre serveur de nom DNS
mydomain.com	Nom DNS de votre domaine AD
MYDOMAIN.COM	Nom DNS de votre domaine AD en majuscules
MYDOMAIN	Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules
ads-hostname	Nom d'hôte de votre serveur AD
ads-hostname.mydomain.com	Nom de domaine complet (FQDN) de votre serveur AD
mytimeserver.mycompany.com	Nom DNS de votre serveur de temps NTP
AdminUser	Nom d'utilisateur de l'administrateur de poste de travail Linux

Procédure

Sur votre poste de travail Ubuntu, définissez le nom d'hôte du poste de travail en modifiant le fichier de configuration /etc/hostname.
Configurez DNS.
1. Ajoutez le nom du serveur DNS et l'adresse IP au fichier de configuration /etc/hosts.
2. Ajoutez l'adresse IP de votre serveur de nom DNS et le nom DNS de votre domaine AD au fichier de configuration /etc/network/interfaces, comme indiqué dans l'exemple suivant.
```
dns-nameservers dns_IP_ADDRESS
dns-search mydomain.com
```
Installez le module resolvconfig.
1. Exécutez la commande d'installation.
```
apt-get install -y resolvconf
```
  Autorisez le système à installer le module et à redémarrer.
2. Vérifiez votre configuration DNS dans le fichier /etc/resolv.conf, comme indiqué dans l'exemple suivant.
```
cat /etc/resolv.conf
…
nameserver dns_IP_ADDRESS
search mydomain.com
```
Configurez la synchronisation de l'heure du réseau.
1. Installez le module ntpdate.
```
apt-get install -y ntpdate
```
2. Ajoutez les informations du serveur NTP au fichier de configuration /etc/systemd/timesyncd.conf, comme indiqué dans l'exemple suivant.
```
[Time]
NTP=mytimeserver.mycompany.com
```
Redémarrez le service NTP.
```
sudo service ntpdate restart
```
Installez les modules de jonction AD requis.
1. Exécutez la commande d'installation.
```
apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
    libnss-winbind
```
2. À l'invite d'installation demandant le domaine Kerberos par défaut, entrez le nom DNS de votre domaine AD en lettres majuscules (par exemple, MYDOMAIN.COM). Sélectionnez ensuite OK.

Modifiez le fichier de configuration /etc/krb5.conf, comme indiqué dans l'exemple suivant.

[libdefaults]
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_realm = MYDOMAIN.COM
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname.mydomain.com
            admin_server = ads-hostname.mydomain.com
            default_domain = ads-hostname.mydomain.com
            pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
            pkinit_cert_match = <KU>digitalSignature
            pkinit_kdc_hostname = ads-hostname.mydomain.com
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM

Pour vérifier la certification Kerberos, exécutez les commandes suivantes.

kinit Administrator@MYDOMAIN.COM

klist

Vérifiez que les commandes renvoient un résultat similaire à l'exemple suivant.

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
        renew until 2019-05-28T17:12:03

Modifiez le fichier de configuration /etc/samba/smb.conf, comme indiqué dans l'exemple suivant.

[global]
      workgroup = MYDOMAIN  
      realm = MYDOMAIN.COM
      password server = ads-hostname.mydomain.com
      security = ads
      kerberos method = secrets only
      winbind use default domain = true
      winbind offline logon = false 
      template homedir =/home/%D/%U
      template shell = /bin/bash 
      client use spnego = yes
      client ntlmv2 auth = yes
      encrypt passwords = yes
      passdb backend = tdbsam
      winbind enum users = yes
      winbind enum groups = yes
      idmap uid = 10000-20000
      idmap gid = 10000-20000

Joignez le domaine AD et vérifiez l'intégration.
1. Exécutez les commandes de jonction AD.
```
net ads join -U AdminUser@mydomain.com
systemctl stop samba-ad-dc
systemctl enable smbd nmbd winbind
systemctl restart smbd nmbd winbind
```
2. Modifiez le fichier de configuration /etc/nsswitch.conf, comme indiqué dans l'exemple suivant.
```
passwd:    compat systemd winbind
group:     compat systemd winbind
shadow:    compat
gshadow:   files
```
3. Pour vérifier les résultats de la jonction AD, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct.
```
wbinfo -u

wbinfo -g
```
4. Pour vérifier Winbind Name Service Switch, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct.
```
getent group|grep 'domain admins'

getent passwd|grep 'ads-hostname'
```
Activez tous les profils PAM.
```
pam-auth-update
```
Sur l'écran Configuration PAM, sélectionnez tous les profils PAM, y compris Créer un répertoire de base lors de la connexion, puis sélectionnez OK.
Sur Ubuntu 16.04, activez le commutateur d'utilisateur sur l'écran de connexion. Modifiez le fichier /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf, comme indiqué dans l'exemple suivant.
```
user-session=ubuntu
greeter-show-manual-login=true
```

Que faire ensuite

Configurer la redirection de carte à puce pour un poste de travail Ubuntu