RHEL デスクトップでスマート カード リダイレクトをサポートするには、Samba と Winbind ソリューションを使用して、デスクトップと Active Directory (AD) ドメインを統合します。

スマート カード リダイレクトで RHEL デスクトップと Active Directory ドメインを統合するには、次の手順に従います。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_IP_ADDRESS DNS ネーム サーバの IP アドレス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。
ads-hostname Active Directory サーバのホスト名
注: : スマート カード リダイレクトは、RHEL 6 以降または RHEL 7.1 以降のデスクトップでサポートされています。

手順

  1. RHEL デスクトップに、必要なパッケージをインストールします。
    # yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. システム接続のネットワーク設定を編集します。NetworkManager コントロール パネルを開き、システム接続の [IPv4 Settings(IPv4 設定)] に移動します。IPv4 の方法で、[Automatic (DHCP)(自動 (DHCP))] を選択します。[DNS] テキスト ボックスに、DNS ネーム サーバの IP アドレスを入力します。[適用] をクリックします。
  3. 次のコマンドを実行して、RHEL デスクトップの完全修飾ドメイン名 (FQDN) が返されることを確認します。
    # hostname -f
  4. 次の例のように、/etc/resolve.conf 構成ファイルを編集します。
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. RHEL デスクトップで、セキュリティが強化された Linux (SELinux) を無効にします。次の例のように、/etc/selinux/config 構成ファイルを編集します。
    SELINUX=disabled
  6. 次の例のように、/etc/krb5.conf 構成ファイルを編集します。
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  7. 次の例のように、/etc/samba/smb.conf 構成ファイルを編集します。
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  8. authconfig-gtk ツールを開き、次のように設定を行います。
    1. [Identity & Authentication(ID と認証)]タブを選択します。ユーザー アカウントのデータベースに [Winbind] を選択します。
    2. [Advanced Options(詳細オプション)] タブを選択して、[Create home directories on the first login(最初のログインでホーム ディレクトリを作成)] チェック ボックス選択します。
    3. [Identity & Authentication(ID と認証)]タブを選択して、[Join Domain(ドメインに参加)] をクリックします。変更の保存を確認するアラートで、[Save(保存)] をクリックします。
    4. プロンプトが表示された、ドメインの管理者のユーザー名とパスワードを入力して、[OK] をクリックします。
    RHEL デスクトップが Active Directory ドメインに参加します。
  9. PAM Winbind でチケットのキャッシュを設定します。次のような行が含まれるように、/etc/security/pam_winbind.conf 構成ファイルを編集します。
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  10. Winbind サービスを再起動します。
    # sudo service winbind restart
  11. Active Directory への参加を確認するには、次のコマンドを実行し、正しい出力が返されていることを確認します。
    • net ads testjoin
    • net ads info
  12. システムを再起動して再びログインします。

次のタスク

RHEL デスクトップのスマート カード リダイレクトの設定