Utilisez la procédure suivante pour intégrer une machine virtuelle (VM) RHEL ou Rocky Linux 9.x/8.x à un domaine Active Directory (AD) pour la redirection de carte à puce.

Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.

Valeur d'espace réservé Description
dns_IP_ADDRESS Adresse IP de votre serveur de nom DNS
rhelsc.domain.com Nom d'hôte complet de votre VM
rhelsc Nom d'hôte non qualifié de votre VM
domain.com Nom DNS de votre domaine AD
DOMAIN.COM Nom DNS de votre domaine AD en majuscules
DOMAINE Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules
dnsserver.domain.com Nom d'hôte de votre serveur AD

Procédure

  1. Sur la VM, procédez comme suit.
    1. Configurez les paramètres réseau et DNS selon les besoins de votre organisation.
    2. Désactivez IPv6.
    3. Désactivez DNS automatique.
  2. Configurez le fichier de configuration /etc/hosts de sorte qu'il se présente comme dans l'exemple suivant. 
    127.0.0.1        rhelsc.domain.com rhelsc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
 
dns_IP_ADDRESS   dnsserver.domain.com
  3. Configurez le fichier de configuration /etc/resolv.conf afin qu'il se présente comme dans l'exemple suivant. 
    # Generated by NetworkManager
search domain.com
nameserver dns_IP_ADDRESS
  4. Installez les modules souhaités pour l'intégration AD. 
    sudo yum install -y samba-common-tools oddjob-mkhomedir
  5. Spécifiez l'identité système et les sources d'authentification. 
    sudo authselect select sssd with-smartcard with-mkhomedir
  6. Démarrez le service oddjobd.
    • (RHEL ou Rocky Linux 8.x) Exécutez les commandes suivantes.
      sudo systemctl enable oddjobd.service
sudo systemctl start oddjobd.service
    • (RHEL ou Rocky Linux 9.x) Exécutez la commande suivante.
      sudo systemctl enable --now oddjobd.service
  7. Pour prendre en charge l'authentification par carte à puce, créez le fichier /etc/sssd/sssd.conf. 
    sudo touch /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf
sudo chown root:root /etc/sssd/sssd.conf
  8. Ajoutez le contenu souhaité à /etc/sssd/sssd.conf, comme illustré dans l'exemple suivant. Dans la section [pam], spécifiez pam_cert_auth = True. 
    [sssd]
config_file_version = 2
domains = domain.com
services = nss, pam, pac
 
[domain/DOMAIN.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
 
[pam]
pam_cert_auth = True
  9. (RHEL ou Rocky Linux 8.x) Activez le service sssd. 
    sudo systemctl enable sssd.service
sudo systemctl start sssd.service
  10. Modifiez le fichier de configuration /etc/krb5.conf de sorte qu'il se présente comme dans l'exemple suivant. 
    # To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
 
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = DOMAIN.COM
    default_ccache_name = KEYRING:persistent:%{uid}
 
[realms]
 DOMAIN.COM = {
     kdc = dnsserver.domain.com
     admin_server = dnsserver.domain.com
     default_domain = dnsserver.domain.com
     pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
     pkinit_cert_match = <KU>digitalSignature
     pkinit_kdc_hostname = dnsserver.domain.com
 }
 
[domain_realm]
 .domain.com = DOMAIN.COM
 domain.com = DOMAIN.COM
  11. Modifiez le fichier de configuration /etc/samba/smb.conf de sorte qu'il se présente comme dans l'exemple suivant. 
    [global]
        workgroup = DOMAIN
        security = ads
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw
        password server = dnsserver.domain.com
        realm = DOMAIN.COM
        idmap config * : range = 16777216-33554431
        template homedir =/home/DOMAIN/%U
        template shell = /bin/bash
        kerberos method = secrets and keytab
 
[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
 
[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
 
[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @printadmin root
        force group = @printadmin
        create mask = 0664
        directory mask = 0775
  12. Joignez le domaine AD, comme indiqué dans l'exemple suivant. 
    sudo net ads join -U AdminUser
    L'exécution de la commande join renvoie un résultat similaire à l'exemple suivant. 
    Enter AdminUser's password:
Using short domain name -- DOMAIN
Joined 'rhelsc' to dns domain 'domain.com'
  13. Vérifiez que la VM est jointe au domaine AD. 
    sudo net ads testjoin

    Une jonction AD réussie renvoie la sortie suivante.

    Join is OK

Que faire ensuite

Configurer la redirection de carte à puce sur une machine virtuelle RHEL ou Rocky Linux 9.x/8.x