Pour prendre en charge la redirection de carte à puce sur un poste de travail RHEL 7.x/6.x, intégrez le poste de travail à un domaine Active Directory (AD) à l'aide des solutions Samba et Winbind.

Utilisez la procédure suivante pour intégrer un poste de travail RHEL 7.x/6.x à un domaine AD pour la redirection de carte à puce.

Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.

Valeur d'espace réservé Description
dns_IP_ADDRESS Adresse IP de votre serveur de nom DNS
mydomain.com Nom DNS de votre domaine AD
MYDOMAIN.COM Nom DNS de votre domaine AD en majuscules
MYDOMAIN Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules
ads-hostname Nom d'hôte de votre serveur AD
Note : La redirection de carte à puce est prise en charge sur les postes de travail exécutant RHEL 6.0 ou version ultérieure ou RHEL 7.1 ou version ultérieure.

Procédure

  1. Sur votre poste de travail RHEL 7.x/6.x, installez les modules souhaités.
    # yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. Modifiez les paramètres réseau pour la connexion à votre système. Ouvrez le panneau de configuration NetworkManager et accédez à Paramètres IPv4 pour la connexion à votre système. Pour la méthode IPv4, sélectionnez Automatique (DHCP). Dans la zone de texte Serveur DNS, entrez l'adresse IP de votre serveur de nom DNS. Puis cliquez sur Appliquer.
  3. Exécutez la commande suivante et vérifiez que le système renvoie le nom de domaine complet de votre poste de travail RHEL.
    # hostname -f
  4. Modifiez le fichier de configuration /etc/resolv.conf, comme indiqué dans l'exemple suivant.
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. Désactivez Security-Enhanced Linux (SELinux) sur votre poste de travail RHEL. Modifiez le fichier de configuration /etc/selinux/config, comme indiqué dans l'exemple suivant.
    SELINUX=disabled
  6. Modifiez le fichier de configuration /etc/krb5.conf, comme indiqué dans l'exemple suivant.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  7. Modifiez le fichier de configuration /etc/samba/smb.conf, comme indiqué dans l'exemple suivant.
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  8. Ouvrez l'outil authconfig-gtk et configurez les paramètres comme suit.
    1. Sélectionnez l'onglet Identity & Authentication (Identité et authentification). Pour User Account Database (Base de données du compte d'utilisateur), sélectionnez Winbind.
    2. Sélectionnez l'onglet Advanced Options (Options avancées) et cochez la case Create home directories on the first login (Créer des répertoires de base lors de la première connexion).
    3. Sélectionnez l'onglet Identity & Authentication (Identité et authentification), puis cliquez sur Join Domain (Joindre le domaine). À l'alerte vous invitant à enregistrer les modifications, cliquez sur Save (Enregistrer).
    4. Lorsque vous y êtes invité, entrez le nom d'utilisateur et le mot de passe de l'administrateur de domaine, puis cliquez sur OK.
    Votre poste de travail RHEL est joint au domaine AD.
  9. Configurez la mise en cache de ticket sur PAM Winbind. Modifiez le fichier de configuration /etc/security/pam_winbind.conf afin qu'il inclue les lignes indiquées dans l'exemple suivant.
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  10. Redémarrez le service Winbind.
    # sudo service winbind restart
  11. Pour vérifier la jonction AD, exécutez les commandes suivantes et assurez-vous qu'elles renvoient le résultat correct.
    • net ads testjoin
    • net ads info
  12. Redémarrez votre système et reconnectez-vous.

Que faire ensuite

Configurer la redirection de carte à puce pour un poste de travail RHEL 7.x/6.x