Pour prendre en charge la redirection de carte à puce sur des postes de travail Ubuntu/Debian, intégrez la machine virtuelle (VM) de base à un domaine Active Directory (AD) à l'aide des solutions Samba et Winbind.
Utilisez la procédure suivante pour intégrer une VM Ubuntu/Debian à un domaine AD pour la redirection de carte à puce.
Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.
Valeur d'espace réservé |
Description |
dns_IP_ADDRESS |
Adresse IP de votre serveur de nom DNS |
mydomain.com |
Nom DNS de votre domaine AD |
MYDOMAIN.COM |
Nom DNS de votre domaine AD en majuscules |
MYDOMAIN |
Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules |
ads-hostname |
Nom d'hôte de votre serveur AD |
ads-hostname.mydomain.com |
Nom de domaine complet (FQDN) de votre serveur AD |
mytimeserver.mycompany.com |
Nom DNS de votre serveur de temps NTP |
AdminUser |
Nom d'utilisateur de l'administrateur de VM |
Procédure
- Sur la VM Ubuntu/Debian, définissez le nom d'hôte de la VM en modifiant le fichier de configuration /etc/hostname.
- Configurez DNS.
- Ajoutez le nom du serveur DNS et l'adresse IP au fichier de configuration /etc/hosts.
- Ajoutez l'adresse IP de votre serveur de nom DNS et le nom DNS de votre domaine AD au fichier de configuration /etc/network/interfaces, comme indiqué dans l'exemple suivant.
dns-nameservers dns_IP_ADDRESS
dns-search mydomain.com
- Installez le module resolvconfig.
- Exécutez la commande d'installation.
apt-get install -y resolvconf
Autorisez le système à installer le module et à redémarrer.
- Vérifiez votre configuration DNS dans le fichier /etc/resolv.conf en exécutant la commande suivante.
Vérifiez que la commande renvoie un résultat semblable à l'exemple suivant.
nameserver dns_IP_ADDRESS
search mydomain.com
- Configurez la synchronisation de l'heure du réseau.
- Installez le module ntpdate.
apt-get install -y ntpdate
- Ajoutez les informations du serveur NTP au fichier de configuration /etc/systemd/timesyncd.conf, comme indiqué dans l'exemple suivant.
[Time]
NTP=mytimeserver.mycompany.com
- Redémarrez le service NTP.
sudo service ntpdate restart
- Installez les modules de jonction AD requis.
- Exécutez la commande d'installation.
apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
libnss-winbind
- À l'invite d'installation demandant le domaine Kerberos par défaut, entrez le nom DNS de votre domaine AD en lettres majuscules (par exemple, MYDOMAIN.COM). Sélectionnez ensuite OK.
- Modifiez le fichier de configuration /etc/krb5.conf, comme indiqué dans l'exemple suivant.
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
admin_server = ads-hostname.mydomain.com
default_domain = ads-hostname.mydomain.com
pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
pkinit_cert_match = <KU>digitalSignature
pkinit_kdc_hostname = ads-hostname.mydomain.com
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- Pour vérifier la certification Kerberos, exécutez les commandes suivantes.
kinit Administrator@MYDOMAIN.COM
klist
Vérifiez que les commandes renvoient un résultat similaire à l'exemple suivant.
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.COMValid starting Expires Service principal
2019-05-27T17:12:03 2019-05-28T03:12:03 krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
renew until 2019-05-28T17:12:03
- Modifiez le fichier de configuration /etc/samba/smb.conf, comme indiqué dans l'exemple suivant.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
- Joignez le domaine AD et vérifiez l'intégration.
- Exécutez les commandes de jonction AD.
net ads join -U AdminUser@mydomain.com
systemctl stop samba-ad-dc
systemctl enable smbd nmbd winbind
systemctl restart smbd nmbd winbind
- Modifiez le fichier de configuration /etc/nsswitch.conf, comme indiqué dans l'exemple suivant.
passwd: compat systemd winbind
group: compat systemd winbind
shadow: compat
gshadow: files
- Pour vérifier les résultats de la jonction AD, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct.
- Pour vérifier Winbind Name Service Switch, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct.
getent group|grep 'domain admins'
getent passwd|grep 'ads-hostname'
- Activez tous les profils PAM.
Sur l'écran Configuration PAM, sélectionnez tous les profils PAM, y compris
Créer un répertoire de base lors de la connexion, puis sélectionnez
OK.