Utilisez la procédure suivante pour intégrer un poste de travail RHEL 8.x à un domaine Active Directory (AD) pour la redirection de carte à puce.

Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.

Valeur d'espace réservé Description
dns_IP_ADDRESS Adresse IP de votre serveur de nom DNS
rhel8sc.rzview2.com Nom d'hôte complet de votre système RHEL 8.0
rhel8sc Nom d'hôte non qualifié de votre système RHEL 8.0
rzview2.com Nom DNS de votre domaine AD
RZVIEW2.COM Nom DNS de votre domaine AD en majuscules
RZVIEW2 Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules
rzviewdns.rzview2.com Nom d'hôte de votre serveur AD

Procédure

  1. Sur votre système RHEL 8.x, procédez comme suit.
    1. Configurez les paramètres réseau et DNS selon les besoins de votre organisation.
    2. Désactivez IPv6.
    3. Désactivez DNS automatique.
  2. Configurez le fichier de configuration /etc/hosts de sorte qu'il se présente comme dans l'exemple suivant.
    127.0.0.1        rhel8sc.rzview2.com rhel8sc localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
     
    dns_IP_ADDRESS   rzviewdns.rzview2.com
  3. Configurez le fichier de configuration /etc/resolv.conf afin qu'il se présente comme dans l'exemple suivant.
    # Generated by NetworkManager
    search rzview2.com
    nameserver dns_IP_ADDRESS
  4. Installez les modules souhaités pour l'intégration AD.
    # yum install -y samba-common-tools oddjob-mkhomedir
  5. Activez le service oddjobd.
    # systemctl enable oddjobd.service
    # systemctl start oddjobd.service
    
  6. Spécifiez l'identité système et les sources d'authentification.
    # authselect select sssd with-smartcard with-mkhomedir
    
    
  7. Démarrez le service oddjobd.
    # systemctl enable oddjobd.service
    # systemctl start oddjobd.service
    
  8. Pour prendre en charge l'authentification par carte à puce, créez le fichier /etc/sssd/sssd.conf.
    # touch /etc/sssd/sssd.conf
    # chmod 600 touch /etc/sssd/sssd.conf
    # chown root:root /etc/sssd/sssd.conf
  9. Ajoutez le contenu souhaité à /etc/sssd/sssd.conf, comme illustré dans l'exemple suivant. Dans la section [pam], spécifiez pam_cert_auth = True.
    [sssd]
    config_file_version = 2
    domains = rzview2.com
    services = nss, pam, pac
     
    [domain/RZVIEW2.COM]
    id_provider = ad
    auth_provider = ad
    chpass_provider = ad
    access_provider = ad
    cache_credentials = true
     
    [pam]
    pam_cert_auth = True
  10. Activez le service sssd.
    # systemctl enable sssd.service
    # systemctl start sssd.service
  11. Modifiez le fichier de configuration /etc/krb5.conf de sorte qu'il se présente comme dans l'exemple suivant.
    # To opt out of the system crypto-policies configuration of krb5, remove the
    # symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
    includedir /etc/krb5.conf.d/
     
    [logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
     
    [libdefaults]
        dns_lookup_realm = false
        ticket_lifetime = 24h
        renew_lifetime = 7d
        forwardable = true
        rdns = false
        pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
        spake_preauth_groups = edwards25519
        default_realm = RZVIEW2.COM
        default_ccache_name = KEYRING:persistent:%{uid}
     
    [realms]
     RZVIEW2.COM = {
         kdc = rzviewdns.rzview2.com
         admin_server = rzviewdns.rzview2.com
         default_domain = rzviewdns.rzview2.com
         pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
         pkinit_cert_match = <KU>digitalSignature
         pkinit_kdc_hostname = rzviewdns.rzview2.com
     }
     
    [domain_realm]
     .rzview2.com = RZVIEW2.COM
     rzview2.com = RZVIEW2.COM
  12. Modifiez le fichier de configuration /etc/samba/smb.conf de sorte qu'il se présente comme dans l'exemple suivant.
    [global]
            workgroup = RZVIEW2
            security = ads
            passdb backend = tdbsam
            printing = cups
            printcap name = cups
            load printers = yes
            cups options = raw
            password server = rzviewdns.rzview2.com
            realm = RZVIEW2.COM
            idmap config * : range = 16777216-33554431
            template homedir =/home/RZVIEW2/%U
            template shell = /bin/bash
            kerberos method = secrets and keytab
     
    [homes]
            comment = Home Directories
            valid users = %S, %D%w%S
            browseable = No
            read only = No
            inherit acls = Yes
     
    [printers]
            comment = All Printers
            path = /var/tmp
            printable = Yes
            create mask = 0600
            browseable = No
     
    [print$]
            comment = Printer Drivers
            path = /var/lib/samba/drivers
            write list = @printadmin root
            force group = @printadmin
            create mask = 0664
            directory mask = 0775
  13. Joignez le domaine AD, comme indiqué dans l'exemple suivant.
    # net ads join -U AdminUser
    L'exécution de la commande join renvoie un résultat similaire à l'exemple suivant.
    Enter AdminUser's password:
    Using short domain name -- RZVIEW2
    Joined 'RHEL8SC' to dns domain 'rzview2.com'
  14. Vérifiez que le poste de travail RHEL 8.x est correctement joint au domaine AD.
    # net ads testjoin
    
    Join is OK

Que faire ensuite

Configurer la redirection de carte à puce pour un poste de travail RHEL 8.x