スマート カード リダイレクトで RHEL 8.x デスクトップと Active Directory (AD) ドメインを統合するには、次の手順に従います。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_IP_ADDRESS DNS ネーム サーバの IP アドレス
rhel8sc.rzview2.com RHEL 8.0 システムの完全修飾ホスト名
rhel8sc RHEL 8.0 システムの非修飾ホスト名
rzview2.com Active Directory ドメインの DNS 名
RZVIEW2.COM Active Directory ドメインの DNS 名。すべて大文字にします。
RZVIEW2 ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。
rzviewdns.rzview2.com Active Directory サーバのホスト名

手順

  1. RHEL 8.x システムで、次の手順を行います。
    1. 組織の要件に応じて、ネットワークと DNS の設定を行います。
    2. [IPv6] を無効にします。
    3. [自動 DNS] を無効にします。
  2. 次の例のように、/etc/hosts 構成ファイルを設定します。
    127.0.0.1        rhel8sc.rzview2.com rhel8sc localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1              localhost localhost.localdomain localhost6 localhost6.localdomain6
     
    dns_IP_ADDRESS   rzviewdns.rzview2.com
  3. 次の例のように、/etc/resolv.conf 構成ファイルを設定します。
    # Generated by NetworkManager
    search rzview2.com
    nameserver dns_IP_ADDRESS
  4. Active Directory 統合に必要なパッケージをインストールします。
    # yum install -y samba-common-tools oddjob-mkhomedir
  5. oddjobd サービスを有効にします。
    # systemctl enable oddjobd.service
    # systemctl start oddjobd.service
    
  6. システム ID と認証ソースを指定します。
    # authselect select sssd with-smartcard with-mkhomedir
    
    
  7. oddjobd サービスを開始します。
    # systemctl enable oddjobd.service
    # systemctl start oddjobd.service
    
  8. スマートカード認証をサポートするには、/etc/sssd/sssd.conf ファイルを作成します。
    # touch /etc/sssd/sssd.conf
    # chmod 600 touch /etc/sssd/sssd.conf
    # chown root:root /etc/sssd/sssd.conf
  9. 次の例のように、必要なコンテンツを /etc/sssd/sssd.conf に追加します。[pam] セクションに pam_cert_auth = True を指定します。
    [sssd]
    config_file_version = 2
    domains = rzview2.com
    services = nss, pam, pac
     
    [domain/RZVIEW2.COM]
    id_provider = ad
    auth_provider = ad
    chpass_provider = ad
    access_provider = ad
    cache_credentials = true
     
    [pam]
    pam_cert_auth = True
  10. sssd サービスを有効にします。
    # systemctl enable sssd.service
    # systemctl start sssd.service
  11. 次の例のように、/etc/krb5.conf 構成ファイルを編集します。
    # To opt out of the system crypto-policies configuration of krb5, remove the
    # symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
    includedir /etc/krb5.conf.d/
     
    [logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log
     
    [libdefaults]
        dns_lookup_realm = false
        ticket_lifetime = 24h
        renew_lifetime = 7d
        forwardable = true
        rdns = false
        pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
        spake_preauth_groups = edwards25519
        default_realm = RZVIEW2.COM
        default_ccache_name = KEYRING:persistent:%{uid}
     
    [realms]
     RZVIEW2.COM = {
         kdc = rzviewdns.rzview2.com
         admin_server = rzviewdns.rzview2.com
         default_domain = rzviewdns.rzview2.com
         pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
         pkinit_cert_match = <KU>digitalSignature
         pkinit_kdc_hostname = rzviewdns.rzview2.com
     }
     
    [domain_realm]
     .rzview2.com = RZVIEW2.COM
     rzview2.com = RZVIEW2.COM
  12. 次の例のように、/etc/samba/smb.conf 構成ファイルを編集します。
    [global]
            workgroup = RZVIEW2
            security = ads
            passdb backend = tdbsam
            printing = cups
            printcap name = cups
            load printers = yes
            cups options = raw
            password server = rzviewdns.rzview2.com
            realm = RZVIEW2.COM
            idmap config * : range = 16777216-33554431
            template homedir =/home/RZVIEW2/%U
            template shell = /bin/bash
            kerberos method = secrets and keytab
     
    [homes]
            comment = Home Directories
            valid users = %S, %D%w%S
            browseable = No
            read only = No
            inherit acls = Yes
     
    [printers]
            comment = All Printers
            path = /var/tmp
            printable = Yes
            create mask = 0600
            browseable = No
     
    [print$]
            comment = Printer Drivers
            path = /var/lib/samba/drivers
            write list = @printadmin root
            force group = @printadmin
            create mask = 0664
            directory mask = 0775
  13. 次の例のように、Active Directory ドメインに参加します。
    # net ads join -U AdminUser
    join コマンドを実行すると、次のような出力が返されます。
    Enter AdminUser's password:
    Using short domain name -- RZVIEW2
    Joined 'RHEL8SC' to dns domain 'rzview2.com'
  14. RHEL 8.x デスクトップが Active Directory ドメインに正常に参加していることを確認します。
    # net ads testjoin
    
    Join is OK

次のタスク

RHEL 8.x デスクトップでのスマート カード リダイレクトの設定