Pour prendre en charge la redirection de carte à puce sur un poste de travail SLED/SLES, intégrez le poste de travail à un domaine Active Directory (AD) à l'aide des solutions Samba et Winbind.
Utilisez la procédure suivante pour intégrer un poste de travail SLED/SLES à un domaine AD pour la redirection de carte à puce.
Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.
| Valeur d'espace réservé |
Description |
| dns_IP_ADDRESS |
Adresse IP de votre serveur de nom DNS |
| mydomain.com |
Nom DNS de votre domaine AD |
| MYDOMAIN.COM |
Nom DNS de votre domaine AD en majuscules |
| MYDOMAIN |
Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules |
| ads-hostname |
Nom d'hôte de votre serveur AD |
| ads-hostname.mydomain.com |
Nom de domaine complet (FQDN) de votre serveur AD |
| mytimeserver.mycompany.com |
Nom DNS de votre serveur de temps NTP |
| AdminUser |
Nom d'utilisateur de l'administrateur de poste de travail Linux |
Procédure
- Configurez les paramètres réseau de votre poste de travail SLED/SLES.
- Définissez le nom d'hôte du poste de travail en modifiant les fichiers de configuration /etc/hostname et /etc/hosts.
- Configurez l'adresse IP du serveur DNS et désactivez DNS automatique. Pour SLES 12 SP3, désactivez également l'option Modifier le nom d'hôte via DHCP.
- Pour configurer la synchronisation de l'heure du réseau, ajoutez vos informations de serveur NTP au fichier /etc/ntp.conf, comme indiqué dans l'exemple suivant.
server mytimeserver.mycompany.com
- Installez les modules de jonction AD requis.
# zypper in krb5-client samba-winbind
- Modifiez les fichiers de configuration requis.
- Modifiez le fichier /etc/samba/smb.conf, comme indiqué dans l'exemple suivant.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- Modifiez le fichier /etc/krb5.conf, comme indiqué dans l'exemple suivant.
[libdefaults]
default_realm = MYDOMAIN.COM
clockskew = 300
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
default_domain = mydomain.com
admin_server = ads-hostname.mydomain.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- Modifiez le fichier /etc/security/pam_winbind.conf, comme indiqué dans l'exemple suivant.
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- Modifiez le fichier /etc/nsswitch.conf, comme indiqué dans l'exemple suivant.
passwd: compat winbind
group: compat winbind
- Joignez le domaine AD, comme indiqué dans l'exemple suivant.
# net ads join -U AdminUser
- Activez le service Winbind.
- Pour activer et démarrer Winbind, exécutez la séquence de commandes suivante.
# pam-config --add --winbind
# pam-config -a --mkhomedir
# systemctl enable winbind
# systemctl start winbind
- Pour vous assurer que les utilisateurs AD peuvent se connecter au poste de travail sans avoir à redémarrer le serveur Linux, exécutez la séquence de commandes suivante.
# systemctl stop nscd
# nscd -i passwd
# nscd -i group
# systemctl start nscd
- Pour vérifier que la jonction AD est réussie, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct.
