Pour prendre en charge la redirection de carte à puce sur des postes de travail Ubuntu/Debian, intégrez la machine virtuelle (VM) de base à un domaine Active Directory (AD) à l'aide des solutions Samba et Winbind.

Utilisez la procédure suivante pour intégrer une VM Ubuntu/Debian à un domaine AD pour la redirection de carte à puce.

Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.

Valeur d'espace réservé Description
dns_IP_ADDRESS Adresse IP de votre serveur de nom DNS
mydomain.com Nom DNS de votre domaine AD
MYDOMAIN.COM Nom DNS de votre domaine AD en majuscules
MYDOMAIN Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules
ads-hostname Nom d'hôte de votre serveur AD
ads-hostname.mydomain.com Nom de domaine complet (FQDN) de votre serveur AD
mytimeserver.mycompany.com Nom DNS de votre serveur de temps NTP
AdminUser Nom d'utilisateur de l'administrateur de VM

Procédure

  1. Sur la VM Ubuntu/Debian, définissez le nom d'hôte de la VM en modifiant le fichier de configuration /etc/hostname.
  2. Configurez DNS.
    1. Ajoutez le nom du serveur DNS et l'adresse IP au fichier de configuration /etc/hosts.
    2. Ajoutez l'adresse IP de votre serveur de nom DNS et le nom DNS de votre domaine AD au fichier de configuration /etc/network/interfaces, comme indiqué dans l'exemple suivant. 
      dns-nameservers dns_IP_ADDRESS
dns-search mydomain.com
  3. Installez le module resolvconfig.
    1. Exécutez la commande d'installation. 
      sudo apt-get install -y resolvconf
      Autorisez le système à installer le module et à redémarrer.
    2. Vérifiez votre configuration DNS dans le fichier /etc/resolv.conf en exécutant la commande suivante. 
      sudo cat /etc/resolv.conf
      Vérifiez que la commande renvoie un résultat semblable à l'exemple suivant. 
      nameserver dns_IP_ADDRESS
search mydomain.com
  4. Configurez la synchronisation de l'heure du réseau.
    1. Installez le module ntpdate. 
      sudo apt-get install -y ntpdate
    2. Ajoutez les informations du serveur NTP au fichier de configuration /etc/systemd/timesyncd.conf, comme indiqué dans l'exemple suivant. 
      [Time]
NTP=mytimeserver.mycompany.com
  5. Redémarrez le service NTP. 
    sudo service ntpdate restart
  6. Installez les modules de jonction AD requis.
    1. Exécutez la commande d'installation. 
      sudo apt-get install -y samba krb5-config krb5-user winbind libpam-winbind
    libnss-winbind
    2. À l'invite d'installation demandant le domaine Kerberos par défaut, entrez le nom DNS de votre domaine AD en lettres majuscules (par exemple, MYDOMAIN.COM). Sélectionnez ensuite OK.
  7. Modifiez le fichier de configuration /etc/krb5.conf, comme indiqué dans l'exemple suivant. 
    [libdefaults]
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_realm = MYDOMAIN.COM
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname.mydomain.com
            admin_server = ads-hostname.mydomain.com
            default_domain = ads-hostname.mydomain.com
            pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
            pkinit_cert_match = <KU>digitalSignature
            pkinit_kdc_hostname = ads-hostname.mydomain.com
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM
  8. Pour vérifier la certification Kerberos, exécutez les commandes suivantes. 
    sudo kinit Administrator@MYDOMAIN.COM

sudo klist
    Vérifiez que les commandes renvoient un résultat similaire à l'exemple suivant. 
    Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.COMValid starting        Expires                Service principal
2019-05-27T17:12:03   2019-05-28T03:12:03    krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
        renew until 2019-05-28T17:12:03
  9. Modifiez le fichier de configuration /etc/samba/smb.conf, comme indiqué dans l'exemple suivant. 
    [global]
        workgroup = MYDOMAIN
        usershare allow guests = NO
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        kerberos method = secrets and keytab
        realm = MYDOMAIN.COM
        security = ADS
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind use default domain=true
        winbind offline logon = yes
        winbind refresh tickets = yes
  10. Joignez le domaine AD et vérifiez l'intégration.
    1. Exécutez les commandes de jonction AD. 
      sudo net ads join -U AdminUser@mydomain.com
sudo systemctl stop samba-ad-dc
sudo systemctl enable smbd nmbd winbind
sudo systemctl restart smbd nmbd winbind
    2. Modifiez le fichier de configuration /etc/nsswitch.conf, comme indiqué dans l'exemple suivant. 
      passwd:    compat systemd winbind
group:     compat systemd winbind
shadow:    compat
gshadow:   files
    3. Pour vérifier les résultats de la jonction AD, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct. 
      sudo wbinfo -u

sudo wbinfo -g
    4. Pour vérifier Winbind Name Service Switch, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct. 
      sudo getent group|grep 'domain admins'

sudo getent passwd|grep 'ads-hostname'
  11. Activez tous les profils PAM. 
    pam-auth-update
    Sur l'écran Configuration PAM, sélectionnez tous les profils PAM, y compris Créer un répertoire de base lors de la connexion, puis sélectionnez OK.

Que faire ensuite

Configurer la redirection de carte à puce sur une machine virtuelle Ubuntu/Debian