Utilisez la procédure suivante pour intégrer un poste de travail RHEL 8.x à un domaine Active Directory (AD) pour la redirection de carte à puce.
Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.
Valeur d'espace réservé |
Description |
dns_IP_ADDRESS |
Adresse IP de votre serveur de nom DNS |
rhel8sc.rzview2.com |
Nom d'hôte complet de votre système RHEL 8.0 |
rhel8sc |
Nom d'hôte non qualifié de votre système RHEL 8.0 |
rzview2.com |
Nom DNS de votre domaine AD |
RZVIEW2.COM |
Nom DNS de votre domaine AD en majuscules |
RZVIEW2 |
Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules |
rzviewdns.rzview2.com |
Nom d'hôte de votre serveur AD |
Procédure
- Sur votre système RHEL 8.x, procédez comme suit.
- Configurez les paramètres réseau et DNS selon les besoins de votre organisation.
- Désactivez IPv6.
- Désactivez DNS automatique.
- Configurez le fichier de configuration /etc/hosts de sorte qu'il se présente comme dans l'exemple suivant.
127.0.0.1 rhel8sc.rzview2.com rhel8sc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
dns_IP_ADDRESS rzviewdns.rzview2.com
- Configurez le fichier de configuration /etc/resolv.conf afin qu'il se présente comme dans l'exemple suivant.
# Generated by NetworkManager
search rzview2.com
nameserver dns_IP_ADDRESS
- Installez les modules souhaités pour l'intégration AD.
# yum install -y samba-common-tools oddjob-mkhomedir
- Activez le service oddjobd.
# systemctl enable oddjobd.service
# systemctl start oddjobd.service
- Spécifiez l'identité système et les sources d'authentification.
# authselect select sssd with-smartcard with-mkhomedir
- Démarrez le service oddjobd.
# systemctl enable oddjobd.service
# systemctl start oddjobd.service
- Pour prendre en charge l'authentification par carte à puce, créez le fichier /etc/sssd/sssd.conf.
# touch /etc/sssd/sssd.conf
# chmod 600 touch /etc/sssd/sssd.conf
# chown root:root /etc/sssd/sssd.conf
- Ajoutez le contenu souhaité à /etc/sssd/sssd.conf, comme illustré dans l'exemple suivant. Dans la section [pam], spécifiez pam_cert_auth = True.
[sssd]
config_file_version = 2
domains = rzview2.com
services = nss, pam, pac
[domain/RZVIEW2.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
[pam]
pam_cert_auth = True
- Activez le service sssd.
# systemctl enable sssd.service
# systemctl start sssd.service
- Modifiez le fichier de configuration /etc/krb5.conf de sorte qu'il se présente comme dans l'exemple suivant.
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
spake_preauth_groups = edwards25519
default_realm = RZVIEW2.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
RZVIEW2.COM = {
kdc = rzviewdns.rzview2.com
admin_server = rzviewdns.rzview2.com
default_domain = rzviewdns.rzview2.com
pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
pkinit_cert_match = <KU>digitalSignature
pkinit_kdc_hostname = rzviewdns.rzview2.com
}
[domain_realm]
.rzview2.com = RZVIEW2.COM
rzview2.com = RZVIEW2.COM
- Modifiez le fichier de configuration /etc/samba/smb.conf de sorte qu'il se présente comme dans l'exemple suivant.
[global]
workgroup = RZVIEW2
security = ads
passdb backend = tdbsam
printing = cups
printcap name = cups
load printers = yes
cups options = raw
password server = rzviewdns.rzview2.com
realm = RZVIEW2.COM
idmap config * : range = 16777216-33554431
template homedir =/home/RZVIEW2/%U
template shell = /bin/bash
kerberos method = secrets and keytab
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @printadmin root
force group = @printadmin
create mask = 0664
directory mask = 0775
- Joignez le domaine AD, comme indiqué dans l'exemple suivant.
# net ads join -U AdminUser
L'exécution de la commande
join renvoie un résultat similaire à l'exemple suivant.
Enter AdminUser's password:
Using short domain name -- RZVIEW2
Joined 'RHEL8SC' to dns domain 'rzview2.com'
- Vérifiez que le poste de travail RHEL 8.x est correctement joint au domaine AD.
# net ads testjoin
Join is OK