RHEL 7.9 デスクトップでスマート カード リダイレクトをサポートするには、Samba と Winbind ソリューションを使用して、ベース仮想マシン (VM) と Active Directory (AD) ドメインを統合します。

スマート カード リダイレクトで RHEL 7.9 仮想マシンと Active Directory ドメインを統合するには、次の手順に従います。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_IP_ADDRESS DNS ネーム サーバの IP アドレス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。
ads-hostname Active Directory サーバのホスト名

手順

  1. RHEL 7.9 仮想マシンで、必要なパッケージをインストールします。
    yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. システム接続のネットワーク設定を編集します。NetworkManager コントロール パネルを開き、システム接続の [IPv4 Settings(IPv4 設定)] に移動します。IPv4 の方法で、[Automatic (DHCP)(自動 (DHCP))] を選択します。[DNS] テキスト ボックスに、DNS ネーム サーバの IP アドレスを入力します。[適用] をクリックします。
  3. 次のコマンドを実行して、RHEL 7.9 仮想マシンの完全修飾ドメイン名 (FQDN) が返されることを確認します。
    hostname -f
  4. 次の例のように、/etc/resolv.conf 構成ファイルを編集します。
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. 次の例のように、/etc/krb5.conf 構成ファイルを編集します。
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  6. 次の例のように、/etc/samba/smb.conf 構成ファイルを編集します。
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  7. authconfig-gtk ツールを開き、次のように設定を行います。
    1. [Identity & Authentication(ID と認証)]タブを選択します。ユーザー アカウントのデータベースに [Winbind] を選択します。
    2. [Advanced Options(詳細オプション)] タブを選択して、[Create home directories on the first login(最初のログインでホーム ディレクトリを作成)] チェック ボックス選択します。
    3. [Identity & Authentication(ID と認証)]タブを選択して、[Join Domain(ドメインに参加)] をクリックします。変更の保存を確認するアラートで、[Save(保存)] をクリックします。
    4. プロンプトが表示された、ドメインの管理者のユーザー名とパスワードを入力して、[OK] をクリックします。
    RHEL 7.9 仮想マシンは Active Directory ドメインに参加しています。
  8. PAM Winbind でチケットのキャッシュを設定します。次のような行が含まれるように、/etc/security/pam_winbind.conf 構成ファイルを編集します。
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  9. Winbind サービスを再起動します。
    sudo service winbind restart
  10. Active Directory への参加を確認するには、次のコマンドを実行し、正しい出力が返されていることを確認します。
    net ads testjoin
    
    net ads info
  11. RHEL 7.9 仮想マシンを再起動して、再度ログインします。

次のタスク

RHEL 7.9 仮想マシンでのスマート カード リダイレクトの設定