SLED/SLES デスクトップでスマート カード リダイレクトをサポートするには、Samba と Winbind ソリューションを使用して、デスクトップと Active Directory (AD) ドメインを統合します。
スマート カード リダイレクトで SLED/SLES デスクトップと Active Directory ドメインを統合するには、次の手順に従います。
説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。
プレースホルダーの値 |
説明 |
dns_IP_ADDRESS |
DNS ネーム サーバの IP アドレス |
mydomain.com |
Active Directory ドメインの DNS 名 |
MYDOMAIN.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
MYDOMAIN |
ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。 |
ads-hostname |
Active Directory サーバのホスト名 |
ads-hostname.mydomain.com |
Active Directory サーバの完全修飾ドメイン名 (FQDN) |
mytimeserver.mycompany.com |
NTP タイム サーバの DNS 名 |
AdminUser |
Linux デスクトップ管理者のユーザー名 |
手順
- SLED/SLES デスクトップのネットワーク設定を行います。
- Define the host name of the desktop by editing the /etc/hostname と /etc/hosts 構成ファイルを編集して、デスクトップのホスト名を定義します。
- DNS サーバの IP アドレスを設定して、[自動 DNS] を無効にします。SLES 12 SP3 の場合、[DHCP 経由でホスト名を変更] を無効にします。
- ネットワークの時刻同期を設定するには、次の例のように、NTP サーバの情報を /etc/ntp.conf ファイルに追加します。
server mytimeserver.mycompany.com
- 必要な Active Directory join パッケージをインストールします。
# zypper in krb5-client samba-winbind
- 必要な構成ファイルを編集します。
- 次の例のように、/etc/samba/smb.conf ファイルを編集します。
[global]
workgroup = MYDOMAIN
usershare allow guests = NO
idmap gid = 10000-20000
idmap uid = 10000-20000
kerberos method = secrets and keytab
realm = MYDOMAIN.COM
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain=true
winbind offline logon = yes
winbind refresh tickets = yes
[homes]
...
- 次の例のように、/etc/krb5.conf ファイルを編集します。
[libdefaults]
default_realm = MYDOMAIN.COM
clockskew = 300
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname.mydomain.com
default_domain = mydomain.com
admin_server = ads-hostname.mydomain.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
- 次の例のように、/etc/security/pam_winbind.conf ファイルを編集します。
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
- 次の例のように、/etc/nsswitch.conf ファイルを編集します。
passwd: compat winbind
group: compat winbind
- 次の例のように、Active Directory ドメインに参加します。
# net ads join -U AdminUser
- Winbind サービスを有効にします。
- Winbind を有効にして開始するには、次の一連のコマンドを実行します。
# pam-config --add --winbind
# pam-config -a --mkhomedir
# systemctl enable winbind
# systemctl start winbind
- Active Directory ユーザーが Linux サーバを再起動せずにデスクトップにログインできるように、次の一連のコマンドを実行します。
# systemctl stop nscd
# nscd -i passwd
# nscd -i group
# systemctl start nscd
- Active Directory に参加できていることを確認するには、次のコマンドを実行し、正しい出力が返されていることを確認します。