Pour prendre en charge la redirection de carte à puce sur des postes de travail Ubuntu/Debian, intégrez la machine virtuelle (VM) de base à un domaine Active Directory (AD) à l'aide des solutions Samba et Winbind.

Utilisez la procédure suivante pour intégrer une VM Ubuntu/Debian à un domaine AD pour la redirection de carte à puce.

Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.

Valeur d'espace réservé Description
dns_IP_ADDRESS Adresse IP de votre serveur de nom DNS
mydomain.com Nom DNS de votre domaine AD
MYDOMAIN.COM Nom DNS de votre domaine AD en majuscules
MYDOMAIN Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules
ads-hostname Nom d'hôte de votre serveur AD
ads-hostname.mydomain.com Nom de domaine complet (FQDN) de votre serveur AD
mytimeserver.mycompany.com Nom DNS de votre serveur de temps NTP
AdminUser Nom d'utilisateur de l'administrateur de VM

Procédure

  1. Sur la VM Ubuntu/Debian, définissez le nom d'hôte de la VM en modifiant le fichier de configuration /etc/hostname.
  2. Configurez DNS.
    1. Ajoutez le nom du serveur DNS et l'adresse IP au fichier de configuration /etc/hosts.
    2. Ajoutez l'adresse IP de votre serveur de nom DNS et le nom DNS de votre domaine AD au fichier de configuration /etc/network/interfaces, comme indiqué dans l'exemple suivant.
      dns-nameservers dns_IP_ADDRESS
      dns-search mydomain.com
  3. Installez le module resolvconfig.
    1. Exécutez la commande d'installation.
      apt-get install -y resolvconf
      Autorisez le système à installer le module et à redémarrer.
    2. Vérifiez votre configuration DNS dans le fichier /etc/resolv.conf en exécutant la commande suivante.
      cat /etc/resolv.conf
      Vérifiez que la commande renvoie un résultat semblable à l'exemple suivant.
      nameserver dns_IP_ADDRESS
      search mydomain.com
  4. Configurez la synchronisation de l'heure du réseau.
    1. Installez le module ntpdate.
      apt-get install -y ntpdate
    2. Ajoutez les informations du serveur NTP au fichier de configuration /etc/systemd/timesyncd.conf, comme indiqué dans l'exemple suivant.
      [Time]
      NTP=mytimeserver.mycompany.com
  5. Redémarrez le service NTP.
    sudo service ntpdate restart
  6. Installez les modules de jonction AD requis.
    1. Exécutez la commande d'installation.
      apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
          libnss-winbind
    2. À l'invite d'installation demandant le domaine Kerberos par défaut, entrez le nom DNS de votre domaine AD en lettres majuscules (par exemple, MYDOMAIN.COM). Sélectionnez ensuite OK.
  7. Modifiez le fichier de configuration /etc/krb5.conf, comme indiqué dans l'exemple suivant.
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname.mydomain.com
                admin_server = ads-hostname.mydomain.com
                default_domain = ads-hostname.mydomain.com
                pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
                pkinit_cert_match = <KU>digitalSignature
                pkinit_kdc_hostname = ads-hostname.mydomain.com
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  8. Pour vérifier la certification Kerberos, exécutez les commandes suivantes.
    kinit Administrator@MYDOMAIN.COM
    
    klist
    Vérifiez que les commandes renvoient un résultat similaire à l'exemple suivant.
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
    2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
            renew until 2019-05-28T17:12:03    
    
  9. Modifiez le fichier de configuration /etc/samba/smb.conf, comme indiqué dans l'exemple suivant.
    [global]
            workgroup = MYDOMAIN
            usershare allow guests = NO
            idmap gid = 10000-20000
            idmap uid = 10000-20000
            kerberos method = secrets and keytab
            realm = MYDOMAIN.COM
            security = ADS
            template homedir = /home/%D/%U
            template shell = /bin/bash
            winbind use default domain=true
            winbind offline logon = yes
            winbind refresh tickets = yes
  10. Joignez le domaine AD et vérifiez l'intégration.
    1. Exécutez les commandes de jonction AD.
      net ads join -U AdminUser@mydomain.com
      systemctl stop samba-ad-dc
      systemctl enable smbd nmbd winbind
      systemctl restart smbd nmbd winbind
    2. Modifiez le fichier de configuration /etc/nsswitch.conf, comme indiqué dans l'exemple suivant.
      passwd:    compat systemd winbind
      group:     compat systemd winbind
      shadow:    compat
      gshadow:   files
    3. Pour vérifier les résultats de la jonction AD, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct.
      wbinfo -u
      
      wbinfo -g
    4. Pour vérifier Winbind Name Service Switch, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct.
      getent group|grep 'domain admins'
      
      getent passwd|grep 'ads-hostname'
  11. Activez tous les profils PAM.
    pam-auth-update
    Sur l'écran Configuration PAM, sélectionnez tous les profils PAM, y compris Créer un répertoire de base lors de la connexion, puis sélectionnez OK.

Que faire ensuite

Configurer la redirection de carte à puce sur une machine virtuelle Ubuntu/Debian