SLED/SLES デスクトップでスマート カード リダイレクトをサポートするには、Samba と Winbind ソリューションを使用して、デスクトップと Active Directory (AD) ドメインを統合します。

スマート カード リダイレクトで SLED/SLES デスクトップと Active Directory ドメインを統合するには、次の手順に従います。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_IP_ADDRESS DNS ネーム サーバの IP アドレス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。
ads-hostname Active Directory サーバのホスト名
ads-hostname.mydomain.com Active Directory サーバの完全修飾ドメイン名 (FQDN)
mytimeserver.mycompany.com NTP タイム サーバの DNS 名
AdminUser Linux デスクトップ管理者のユーザー名

手順

  1. SLED/SLES デスクトップのネットワーク設定を行います。
    1. Define the host name of the desktop by editing the /etc/hostname/etc/hosts 構成ファイルを編集して、デスクトップのホスト名を定義します。
    2. DNS サーバの IP アドレスを設定して、[自動 DNS] を無効にします。SLES 12 SP3 の場合、[DHCP 経由でホスト名を変更] を無効にします。
    3. ネットワークの時刻同期を設定するには、次の例のように、NTP サーバの情報を /etc/ntp.conf ファイルに追加します。
      server mytimeserver.mycompany.com
  2. 必要な Active Directory join パッケージをインストールします。
    # zypper in krb5-client samba-winbind
  3. 必要な構成ファイルを編集します。
    1. 次の例のように、/etc/samba/smb.conf ファイルを編集します。
      [global]
              workgroup = MYDOMAIN
              usershare allow guests = NO
              idmap gid = 10000-20000
              idmap uid = 10000-20000
              kerberos method = secrets and keytab
              realm = MYDOMAIN.COM
              security = ADS
              template homedir = /home/%D/%U
              template shell = /bin/bash
              winbind use default domain=true
              winbind offline logon = yes
              winbind refresh tickets = yes
      [homes]
              ...
    2. 次の例のように、/etc/krb5.conf ファイルを編集します。
      [libdefaults]
              default_realm = MYDOMAIN.COM
              clockskew = 300 
      
      [realms]
              MYDOMAIN.COM = {
                      kdc = ads-hostname.mydomain.com
                      default_domain = mydomain.com 
                      admin_server = ads-hostname.mydomain.com
              }
      
      [logging]
              kdc = FILE:/var/log/krb5/krb5kdc.log
              admin_server = FILE:/var/log/krb5/kadmind.log
              default = SYSLOG:NOTICE:DAEMON
      
      [domain_realm]
              .mydomain.com = MYDOMAIN.COM
              mydomain.com = MYDOMAIN.COM
      
      [appdefaults]
              pam = {
                      ticket_lifetime = 1d
                      renew_lifetime = 1d
                      forwardable = true
                      proxiable = false
                      minimum_uid = 1
              }
    3. 次の例のように、/etc/security/pam_winbind.conf ファイルを編集します。
      cached_login = yes
      krb5_auth = yes
      krb5_ccache_type = FILE
    4. 次の例のように、/etc/nsswitch.conf ファイルを編集します。
      passwd: compat winbind
      group: compat winbind
  4. 次の例のように、Active Directory ドメインに参加します。
    # net ads join -U AdminUser
  5. Winbind サービスを有効にします。
    1. Winbind を有効にして開始するには、次の一連のコマンドを実行します。
      # pam-config --add --winbind
      # pam-config -a --mkhomedir
      # systemctl enable winbind
      # systemctl start winbind
    2. Active Directory ユーザーが Linux サーバを再起動せずにデスクトップにログインできるように、次の一連のコマンドを実行します。
      # systemctl stop nscd
      # nscd -i passwd
      # nscd -i group
      # systemctl start nscd
  6. Active Directory に参加できていることを確認するには、次のコマンドを実行し、正しい出力が返されていることを確認します。
    # wbinfo -u
    
    # wbinfo -g

次のタスク

SLED/SLES デスクトップのスマート カード リダイレクトの設定