若要在 RHEL 7.x 桌面平台上支援智慧卡重新導向,請使用 Samba 和 Winbind 解決方案整合基礎虛擬機器 (VM) 與 Active Directory (AD) 網域。

請使用下列程序整合 RHEL 7.x 虛擬機器與您的 AD 網域,以支援智慧卡重新導向。

此程序中的某些範例使用預留位置值來代表您網路組態中的實體,例如 AD 網域的 DNS 名稱。請將預留位置值取代為您的組態特有的資訊,如下表所說明。

預留位置值 說明
dns_IP_ADDRESS DNS 名稱伺服器的 IP 位址
mydomain.com AD 網域的 DNS 名稱
MYDOMAIN.COM AD 網域的 DNS 名稱 (全部使用大寫字母)
MYDOMAIN 包含 Samba 伺服器的工作群組或 NT 網域的 DNS 名稱 (全部使用大寫字母)
ads-hostname AD 伺服器的主機名稱
備註: 執行 RHEL 7.2 或更新版本的桌面平台支援智慧卡重新導向。

程序

  1. 在 RHEL 7.x 虛擬機器上,安裝必要的套件。
    # yum install nscd samba-winbind krb5-workstation pam_krb5 samba-winbind-clients authconfig-gtk
  2. 編輯系統連線的網路設定。開啟 NetworkManager 控制台,並導覽至系統連線的 IPv4 設定。針對 [IPv4 方法],選取自動 (DHCP)。在 DNS 文字方塊中,輸入您 DNS 名稱伺服器的 IP 位址。然後,按一下套用
  3. 執行下列命令,並確認該命令傳回 RHEL 7.x 虛擬機器的完整網域名稱 (FQDN)。
    # hostname -f
  4. 編輯 /etc/resolv.conf 組態檔,如下列範例所示。
    search mydomain.com
    nameserver dns_IP_ADDRESS
  5. 在 RHEL 7.x 虛擬機器上關閉安全增強式 Linux (SELinux)。編輯 etc/selinux/config 組態檔,如下列範例所示。
    SELINUX=disabled
  6. 編輯 /etc/krb5.conf 組態檔,如下列範例所示。
    [libdefaults]
          dns_lookup_realm = false
          ticket_lifetime = 24h
          renew_lifetime = 7d
          forwardable = true
          rdns = false
          default_realm = MYDOMAIN.COM
          default_ccache_name = KEYRING:persistent:%{uid}
    
    [realms]
          MYDOMAIN.COM = {
                kdc = ads-hostname
                admin_server = ads-hostname
                default_domain = ads-hostname
          }
    
    [domain_realm]
          .mydomain.com = MYDOMAIN.COM
          mydomain.com = MYDOMAIN.COM
  7. 編輯 /etc/samba/smb.conf 組態檔,如下列範例所示。
    [global]
          workgroup = MYDOMAIN  
          password server = ads-hostname
          realm = MYDOMAIN.COM
          security = ads
          idmap config * : range = 16777216-33554431
          template homedir =/home/MYDOMAIN/%U
          template shell = /bin/bash 
          kerberos method = secrets and keytab
          winbind use default domain = true
          winbind offline logon = false 
          winbind refresh tickets = true
     
          passdb backend = tdbsam
  8. 開啟 authconfig-gtk 工具,並如下所示進行設定。
    1. 選取身分識別和驗證索引標籤。針對 [使用者帳戶資料庫],選取 Winbind
    2. 選取進階選項索引標籤,然後選取在第一次登入時建立主目錄核取方塊。
    3. 選取身分識別和驗證索引標籤,然後按一下加入網域。在出現要求您儲存變更的警示時,按一下儲存
    4. 在出現提示時,輸入網域管理員的使用者名稱和密碼,然後按一下確定
    RHEL 7.x 虛擬機器已加入 AD 網域。
  9. 設定 PAM Winbind 的票證快取。編輯 /etc/security/pam_winbind.conf 組態檔,使其包含下列範例中顯示的文字行。
    [global]
    
    # authenticate using kerberos
    ;krb5_auth = yes 
    
    # create homedirectory on the fly
    ;mkhomedir = yes  
  10. 重新啟動 Winbind 服務。
    # sudo service winbind restart
  11. 若要確認 AD 加入,請執行下列命令,並確認命令傳回正確的輸出。
    • net ads testjoin
    • net ads info
  12. 重新啟動 RHEL 7.x 虛擬機器,並重新登入。

下一步

在 RHEL 7.x 虛擬機器上設定智慧卡重新導向