8.3. Configuration du serveur IdM et des clients pour l'authentification par carte à puce à l'aide de certificats ADCS
Vous devez configurer le serveur IdM (Identity Management) et les clients pour pouvoir utiliser l'authentification par carte à puce dans l'environnement IdM. IdM inclut les scripts ipa-advise
qui effectuent tous les changements nécessaires :
- installer les paquets nécessaires
- il configure le serveur et les clients IdM
- copier les certificats de l'autorité de certification dans les emplacements prévus
Vous pouvez exécuter ipa-advise
sur votre serveur IdM.
Cette procédure décrit
-
Sur un serveur IdM : Préparation du script
ipa-advise
pour configurer votre serveur IdM pour l'authentification par carte à puce. -
Sur un serveur IdM : Préparation du script
ipa-advise
pour configurer votre client IdM pour l'authentification par carte à puce. -
Sur un serveur IdM : Appliquer le script du serveur
ipa-advise
sur le serveur IdM en utilisant le certificat AD. - Déplacement du script client vers la machine client IdM.
-
Sur un client IdM : Appliquer le script du client
ipa-advise
sur le client IdM en utilisant le certificat AD.
Conditions préalables
- Le certificat a été copié sur le serveur IdM.
- Obtenir le ticket Kerberos.
- Connectez-vous en tant qu'utilisateur disposant de droits d'administration.
Procédure
Sur le serveur IdM, utilisez le script
ipa-advise
pour configurer un client :[root@idmserver ~]# ipa-advise config-client-for-smart-card-auth > sc_client.sh
Sur le serveur IdM, utilisez le script
ipa-advise
pour configurer un serveur :[root@idmserver ~]# ipa-advise config-server-for-smart-card-auth > sc_server.sh
Sur le serveur IdM, exécuter le script :
[root@idmserver ~]# sh -x sc_server.sh adcs-winserver-ca.cer
- Il configure le serveur HTTP Apache de l'IdM.
- Il active la cryptographie à clé publique pour l'authentification initiale dans Kerberos (PKINIT) sur le centre de distribution de clés (KDC).
- Il configure l'interface Web IdM pour qu'elle accepte les demandes d'autorisation de carte à puce.
Copiez le script
sc_client.sh
sur le système client :[root@idmserver ~]# scp sc_client.sh root@client1.idm.example.com:/root Password: sc_client.sh 100% 2857 1.6MB/s 00:00
Copiez le certificat Windows sur le système client :
[root@idmserver ~]# scp adcs-winserver-ca.cer root@client1.idm.example.com:/root Password: adcs-winserver-ca.cer 100% 1254 952.0KB/s 00:00
Sur le système client, exécutez le script client :
[root@idmclient1 ~]# sh -x sc_client.sh adcs-winserver-ca.cer
Le certificat de l'autorité de certification est installé dans le bon format sur le serveur IdM et les systèmes clients, et l'étape suivante consiste à copier les certificats des utilisateurs sur la carte à puce elle-même.