Pour prendre en charge la redirection de carte à puce sur des postes de travail SLED/SLES, intégrez la machine virtuelle (VM) de base à un domaine Active Directory (AD) à l'aide des solutions Samba et Winbind.
Utilisez la procédure suivante pour intégrer une VM SLED/SLES à un domaine AD pour la redirection de carte à puce.
Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.
| Valeur d'espace réservé |
Description |
| dns_IP_ADDRESS |
Adresse IP de votre serveur de nom DNS |
| mydomain.com |
Nom DNS de votre domaine AD |
| MYDOMAIN.COM |
Nom DNS de votre domaine AD en majuscules |
| MYDOMAIN |
Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules |
| ads-hostname |
Nom d'hôte de votre serveur AD |
| ads-hostname.mydomain.com |
Nom de domaine complet (FQDN) de votre serveur AD |
| mytimeserver.mycompany.com |
Nom DNS de votre serveur de temps NTP |
| AdminUser |
Nom d'utilisateur de l'administrateur de VM |
Procédure
- Configurez les paramètres réseau de votre VM SLED/SLES.
- Définissez le nom d'hôte de la VM en modifiant les fichiers de configuration /etc/hostname et /etc/hosts.
- Configurez l'adresse IP du serveur DNS, puis désactivez DNS automatique. Pour une VM SLES, désactivez également l'option Modifier le nom d'hôte via DHCP.
- Pour configurer la synchronisation de l'heure du réseau, ajoutez vos informations de serveur NTP au fichier /etc/ntp.conf, comme indiqué dans l'exemple suivant.
server mytimeserver.mycompany.com
- Installez les modules de jonction AD requis.
sudo zypper in krb5-client samba-winbind
- Mettez à jour la bibliothèque krb5, comme indiqué dans l'exemple suivant.
- Modifiez les fichiers de configuration requis.
- Modifiez le fichier /etc/samba/smb.conf, comme indiqué dans l'exemple suivant.
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- Modifiez le fichier /etc/krb5.conf, comme indiqué dans l'exemple suivant.
[libdefaults]
default_realm = MYDOMAIN.COM
clockskew = 300
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
default_domain = mydomain.com
admin_server = ads-hostname.mydomain.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- Modifiez le fichier /etc/security/pam_winbind.conf, comme indiqué dans l'exemple suivant.
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- Modifiez le fichier /etc/nsswitch.conf, comme indiqué dans l'exemple suivant.
passwd: compat winbind
group: compat winbind
- Joignez le domaine AD, comme indiqué dans l'exemple suivant.
sudo net ads join -U AdminUser
- Activez le service Winbind.
- Pour activer et démarrer Winbind, exécutez la séquence de commandes suivante.
sudo pam-config --add --winbind
sudo pam-config -a --mkhomedir
sudo systemctl enable winbind
sudo systemctl start winbind
- Pour vous assurer que les utilisateurs AD peuvent se connecter aux postes de travail sans avoir à redémarrer le serveur Linux, exécutez la séquence de commandes suivante.
sudo systemctl stop nscd
sudo nscd -i passwd
sudo nscd -i group
sudo systemctl start nscd
- Pour vérifier que la jonction AD est réussie, exécutez les commandes suivantes et vérifiez qu'elles renvoient le résultat correct.
sudo wbinfo -u
sudo wbinfo -g
