SLED/SLES デスクトップでスマート カード リダイレクトをサポートするには、Samba と Winbind ソリューションを使用して、ベース仮想マシン (VM) と Active Directory (AD) ドメインを統合します。

スマート カード リダイレクトで SLED/SLES 仮想マシンと Active Directory ドメインを統合するには、次の手順に従います。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_IP_ADDRESS DNS ネーム サーバの IP アドレス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。
ads-hostname Active Directory サーバのホスト名
ads-hostname.mydomain.com Active Directory サーバの完全修飾ドメイン名 (FQDN)
mytimeserver.mycompany.com NTP タイム サーバの DNS 名
AdminUser 仮想マシン管理者のユーザー名

前提条件

SLED/SLES 仮想マシンが スマート カード リダイレクトの設定に記載されているシステム要件を満たしていることを確認します。

手順

  1. SLED/SLES 仮想マシンのネットワーク設定を行います。
    1. /etc/hostname/etc/hosts 構成ファイルを編集して、仮想マシンのホスト名を定義します。
    2. DNS サーバの IP アドレスを設定して、[自動 DNS] を無効にします。SLES 仮想マシンの場合、[DHCP 経由でホスト名を変更] を無効にします。
    3. ネットワークの時刻同期を構成するには、次の例のように、NTP サーバの情報を /etc/ntp.conf ファイルに追加します。
      server mytimeserver.mycompany.com
  2. 必要な Active Directory join パッケージをインストールします。
    zypper in krb5-client samba-winbind
  3. 次の例のように、krb5 ライブラリを更新します。
    zypper up krb5
  4. 必要な構成ファイルを編集します。
    1. 次の例のように、/etc/samba/smb.conf ファイルを編集します。
      [global]
              workgroup = MYDOMAIN
              usershare allow guests = NO
              idmap gid = 10000-20000
              idmap uid = 10000-20000
              kerberos method = secrets and keytab
              realm = MYDOMAIN.COM
              security = ADS
              template homedir = /home/%D/%U
              template shell = /bin/bash
              winbind use default domain=true
              winbind offline logon = yes
              winbind refresh tickets = yes
      [homes]
              ...
    2. 次の例のように、/etc/krb5.conf ファイルを編集します。
      [libdefaults]
              default_realm = MYDOMAIN.COM
              clockskew = 300 
      
      [realms]
              MYDOMAIN.COM = {
                      kdc = ads-hostname.mydomain.com
                      default_domain = mydomain.com 
                      admin_server = ads-hostname.mydomain.com
              }
      
      [logging]
              kdc = FILE:/var/log/krb5/krb5kdc.log
              admin_server = FILE:/var/log/krb5/kadmind.log
              default = SYSLOG:NOTICE:DAEMON
      
      [domain_realm]
              .mydomain.com = MYDOMAIN.COM
              mydomain.com = MYDOMAIN.COM
      
      [appdefaults]
              pam = {
                      ticket_lifetime = 1d
                      renew_lifetime = 1d
                      forwardable = true
                      proxiable = false
                      minimum_uid = 1
              }
    3. 次の例のように、/etc/security/pam_winbind.conf ファイルを編集します。
      cached_login = yes
      krb5_auth = yes
      krb5_ccache_type = FILE
    4. 次の例のように、/etc/nsswitch.conf ファイルを編集します。
      passwd: compat winbind
      group: compat winbind
  5. 次の例のように、Active Directory ドメインに参加します。
    net ads join -U AdminUser
  6. Winbind サービスを有効にします。
    1. Winbind を有効にして開始するには、次の一連のコマンドを実行します。
      pam-config --add --winbind
      pam-config -a --mkhomedir
      systemctl enable winbind
      systemctl start winbind
    2. Active Directory ユーザーが Linux サーバを再起動せずにデスクトップにログインできるように、次の一連のコマンドを実行します。
      systemctl stop nscd
      nscd -i passwd
      nscd -i group
      systemctl start nscd
  7. Active Directory に参加できていることを確認するには、次のコマンドを実行し、正しい出力が返されていることを確認します。
    wbinfo -u
    wbinfo -g

次のタスク

SLED/SLES 仮想マシンでのスマート カード リダイレクトの設定に進みます。