スマート カード リダイレクトで RHEL 8.x デスクトップと Active Directory (AD) ドメインを統合するには、次の手順に従います。
説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。
| プレースホルダーの値 |
説明 |
| dns_IP_ADDRESS |
DNS ネーム サーバの IP アドレス |
| rhel8sc.rzview2.com |
RHEL 8.0 システムの完全修飾ホスト名 |
| rhel8sc |
RHEL 8.0 システムの非修飾ホスト名 |
| rzview2.com |
Active Directory ドメインの DNS 名 |
| RZVIEW2.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
| RZVIEW2 |
ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。 |
| rzviewdns.rzview2.com |
Active Directory サーバのホスト名 |
手順
- RHEL 8.x システムで、次の手順を行います。
- 組織の要件に応じて、ネットワークと DNS の設定を行います。
- [IPv6] を無効にします。
- [自動 DNS] を無効にします。
- 次の例のように、/etc/hosts 構成ファイルを設定します。
127.0.0.1 rhel8sc.rzview2.com rhel8sc localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
dns_IP_ADDRESS rzviewdns.rzview2.com
- 次の例のように、/etc/resolv.conf 構成ファイルを設定します。
# Generated by NetworkManager
search rzview2.com
nameserver dns_IP_ADDRESS
- Active Directory 統合に必要なパッケージをインストールします。
# yum install -y samba-common-tools oddjob-mkhomedir
- oddjobd サービスを有効にします。
# systemctl enable oddjobd.service
# systemctl start oddjobd.service
- システム ID と認証ソースを指定します。
# authselect select sssd with-smartcard with-mkhomedir
- oddjobd サービスを開始します。
# systemctl enable oddjobd.service
# systemctl start oddjobd.service
- スマートカード認証をサポートするには、/etc/sssd/sssd.conf ファイルを作成します。
# touch /etc/sssd/sssd.conf
# chmod 600 touch /etc/sssd/sssd.conf
# chown root:root /etc/sssd/sssd.conf
- 次の例のように、必要なコンテンツを /etc/sssd/sssd.conf に追加します。[pam] セクションに pam_cert_auth = True を指定します。
[sssd]
config_file_version = 2
domains = rzview2.com
services = nss, pam, pac
[domain/RZVIEW2.COM]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
cache_credentials = true
[pam]
pam_cert_auth = True
- sssd サービスを有効にします。
# systemctl enable sssd.service
# systemctl start sssd.service
- 次の例のように、/etc/krb5.conf 構成ファイルを編集します。
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
spake_preauth_groups = edwards25519
default_realm = RZVIEW2.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
RZVIEW2.COM = {
kdc = rzviewdns.rzview2.com
admin_server = rzviewdns.rzview2.com
default_domain = rzviewdns.rzview2.com
pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
pkinit_cert_match = <KU>digitalSignature
pkinit_kdc_hostname = rzviewdns.rzview2.com
}
[domain_realm]
.rzview2.com = RZVIEW2.COM
rzview2.com = RZVIEW2.COM
- 次の例のように、/etc/samba/smb.conf 構成ファイルを編集します。
[global]
workgroup = RZVIEW2
security = ads
passdb backend = tdbsam
printing = cups
printcap name = cups
load printers = yes
cups options = raw
password server = rzviewdns.rzview2.com
realm = RZVIEW2.COM
idmap config * : range = 16777216-33554431
template homedir =/home/RZVIEW2/%U
template shell = /bin/bash
kerberos method = secrets and keytab
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @printadmin root
force group = @printadmin
create mask = 0664
directory mask = 0775
- 次の例のように、Active Directory ドメインに参加します。
# net ads join -U AdminUser
join コマンドを実行すると、次のような出力が返されます。
Enter AdminUser's password:
Using short domain name -- RZVIEW2
Joined 'RHEL8SC' to dns domain 'rzview2.com'
- RHEL 8.x デスクトップが Active Directory ドメインに正常に参加していることを確認します。
# net ads testjoin
Join is OK
