RHEL 7.x/6.x デスクトップでスマート カード リダイレクトをサポートするには、Samba と Winbind ソリューションを使用して、デスクトップと Active Directory (AD) ドメインを統合します。
スマート カード リダイレクトで RHEL 7.x/6.x デスクトップと Active Directory ドメインを統合するには、次の手順に従います。
説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。
プレースホルダーの値 |
説明 |
dns_IP_ADDRESS |
DNS ネーム サーバの IP アドレス |
mydomain.com |
Active Directory ドメインの DNS 名 |
MYDOMAIN.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
MYDOMAIN |
ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。 |
ads-hostname |
Active Directory サーバのホスト名 |
注: スマート カード リダイレクトは、RHEL 6.0 以降または RHEL 7.1 以降のデスクトップでサポートされています。
手順
- RHEL 7.x/6.x デスクトップに、必要なパッケージをインストールします。
# yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
- システム接続のネットワーク設定を編集します。NetworkManager コントロール パネルを開き、システム接続の [IPv4 Settings(IPv4 設定)] に移動します。IPv4 の方法で、[Automatic (DHCP)(自動 (DHCP))] を選択します。[DNS] テキスト ボックスに、DNS ネーム サーバの IP アドレスを入力します。[適用] をクリックします。
- 次のコマンドを実行して、RHEL デスクトップの完全修飾ドメイン名 (FQDN) が返されることを確認します。
- 次の例のように、/etc/resolv.conf 構成ファイルを編集します。
search mydomain.com
nameserver dns_IP_ADDRESS
- RHEL デスクトップで、セキュリティが強化された Linux (SELinux) を無効にします。次の例のように、/etc/selinux/config 構成ファイルを編集します。
- 次の例のように、/etc/krb5.conf 構成ファイルを編集します。
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ads-hostname
admin_server = ads-hostname
default_domain = ads-hostname
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
- 次の例のように、/etc/samba/smb.conf 構成ファイルを編集します。
[global]
workgroup = MYDOMAIN
password server = ads-hostname
realm = MYDOMAIN.COM
security = ads
idmap config * : range = 16777216-33554431
template homedir =/home/MYDOMAIN/%U
template shell = /bin/bash
kerberos method = secrets and keytab
winbind use default domain = true
winbind offline logon = false
winbind refresh tickets = true
passdb backend = tdbsam
- authconfig-gtk ツールを開き、次のように設定を行います。
- [Identity & Authentication(ID と認証)]タブを選択します。ユーザー アカウントのデータベースに [Winbind] を選択します。
- [Advanced Options(詳細オプション)] タブを選択して、[Create home directories on the first login(最初のログインでホーム ディレクトリを作成)] チェック ボックス選択します。
- [Identity & Authentication(ID と認証)]タブを選択して、[Join Domain(ドメインに参加)] をクリックします。変更の保存を確認するアラートで、[Save(保存)] をクリックします。
- プロンプトが表示された、ドメインの管理者のユーザー名とパスワードを入力して、[OK] をクリックします。
RHEL デスクトップが Active Directory ドメインに参加します。
- PAM Winbind でチケットのキャッシュを設定します。次のような行が含まれるように、/etc/security/pam_winbind.conf 構成ファイルを編集します。
[global]
# authenticate using kerberos
;krb5_auth = yes
# create homedirectory on the fly
;mkhomedir = yes
- Winbind サービスを再起動します。
# sudo service winbind restart
- Active Directory への参加を確認するには、次のコマンドを実行し、正しい出力が返されていることを確認します。
- net ads testjoin
- net ads info
- システムを再起動して再びログインします。