RHEL 7.9 デスクトップでスマート カード リダイレクトをサポートするには、Samba と Winbind ソリューションを使用して、ベース仮想マシン (VM) と Active Directory (AD) ドメインを統合します。

スマート カード リダイレクトで RHEL 7.9 仮想マシンと Active Directory ドメインを統合するには、次の手順に従います。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_IP_ADDRESS DNS ネーム サーバの IP アドレス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。
ads-hostname Active Directory サーバのホスト名

手順

  1. RHEL 7.9 仮想マシンで、必要なパッケージをインストールします。 
    yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. システム接続のネットワーク設定を編集します。NetworkManager コントロール パネルを開き、システム接続の [IPv4 Settings(IPv4 設定)] に移動します。IPv4 の方法で、[Automatic (DHCP)(自動 (DHCP))] を選択します。[DNS] テキスト ボックスに、DNS ネーム サーバの IP アドレスを入力します。[適用] をクリックします。
  3. 次のコマンドを実行して、RHEL 7.9 仮想マシンの完全修飾ドメイン名 (FQDN) が返されることを確認します。 
    hostname -f
  4. 次の例のように、/etc/resolv.conf 構成ファイルを編集します。 
    search mydomain.com
nameserver dns_IP_ADDRESS
  5. 次の例のように、/etc/krb5.conf 構成ファイルを編集します。 
    [libdefaults]
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_realm = MYDOMAIN.COM
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname
            admin_server = ads-hostname
            default_domain = ads-hostname
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM
  6. 次の例のように、/etc/samba/smb.conf 構成ファイルを編集します。 
    [global]
      workgroup = MYDOMAIN  
      password server = ads-hostname
      realm = MYDOMAIN.COM
      security = ads
      idmap config * : range = 16777216-33554431
      template homedir =/home/MYDOMAIN/%U
      template shell = /bin/bash 
      kerberos method = secrets and keytab
      winbind use default domain = true
      winbind offline logon = false 
      winbind refresh tickets = true
 
      passdb backend = tdbsam
  7. authconfig-gtk ツールを開き、次のように設定を行います。
    1. [Identity & Authentication(ID と認証)]タブを選択します。ユーザー アカウントのデータベースに [Winbind] を選択します。
    2. [Advanced Options(詳細オプション)] タブを選択して、[Create home directories on the first login(最初のログインでホーム ディレクトリを作成)] チェック ボックス選択します。
    3. [Identity & Authentication(ID と認証)]タブを選択して、[Join Domain(ドメインに参加)] をクリックします。変更の保存を確認するアラートで、[Save(保存)] をクリックします。
    4. プロンプトが表示された、ドメインの管理者のユーザー名とパスワードを入力して、[OK] をクリックします。
    RHEL 7.9 仮想マシンは Active Directory ドメインに参加しています。
  8. PAM Winbind でチケットのキャッシュを設定します。次のような行が含まれるように、/etc/security/pam_winbind.conf 構成ファイルを編集します。 
    [global]

# authenticate using kerberos
;krb5_auth = yes 

# create homedirectory on the fly
;mkhomedir = yes
  9. Winbind サービスを再起動します。 
    sudo service winbind restart
  10. Active Directory への参加を確認するには、次のコマンドを実行し、正しい出力が返されていることを確認します。 
    net ads testjoin

net ads info
  11. RHEL 7.9 仮想マシンを再起動して、再度ログインします。

次のタスク

RHEL 7.9 仮想マシンでのスマート カード リダイレクトの設定