Red Hat Summit第9章 スマートカードで PKINIT を使用した Active Directory ユーザーとしての認証
Active Directory (AD) ユーザーは、スマートカードを使用して、IdM に参加しているデスクトップクライアントシステムに認証し、クライアントからシングルサインオン (SSO) 認証用の Kerberos Ticket-Granting Ticket (TGT) を取得できます。このプロセスは、スマートカード認証が必須であるため、パスワードによるログインを使用できない AD ユーザーアカウントを対象としています。
以下の手順は、Kerberos サービス側で pkinit 認証インジケーターが必須となっている IdM リソースへのアクセスには使用できません。このプロセスでは、IdM KDC ではなく、Active Directory Kerberos Distribution Center (AD KDC) から TGT を取得するためです。必要な認証インジケーターが TGT に含まれていないため、結果として IdM サービスがアクセスを拒否します。
IdM ユーザーが IdM サービスにアクセスできるように PKINIT 認証を有効にするには、Kerberos チケットポリシーの管理 を参照してください。
前提条件
- IdM サーバーはスマートカード認証用に設定されています。詳細は、スマートカード認証用の IdM サーバーの設定 または Ansible を使用したスマートカード認証用の IdM サーバー設定 を参照してください。
- クライアントはスマートカード認証用に設定されている。詳細は、スマートカード認証用の IdM クライアントの設定 または Ansible を使用したスマートカード認証用の IdM クライアントの設定 を参照してください。
-
krb5-pkinitパッケージがインストールされている。 - AD サーバーが、スマートカード証明書を発行した認証局 (CA) を信頼するように設定されている。CA 証明書を NTAuth ストアにインポート (Microsoft サポート を参照) し、CA を信頼できる CA として追加します。詳細は、Active Directory のドキュメントを参照してください。
手順
スマートカード証明書を発行した CA を信頼するように Kerberos クライアントを設定します。
-
IdM クライアントで、
/etc/krb5.confファイルを開きます。 ファイルに以下の行を追加します。
[realms] AD.DOMAIN.COM = { pkinit_eku_checking = kpServerAuth pkinit_kdc_hostname = adserver.ad.domain.com }[realms] AD.DOMAIN.COM = { pkinit_eku_checking = kpServerAuth pkinit_kdc_hostname = adserver.ad.domain.com }Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
IdM クライアントで、
ユーザー証明書に証明書失効リスト (CRL) ディストリビューションポイント拡張が含まれていない場合は、失効エラーを無視するように AD を設定します
以下の REG 形式のコンテンツをプレーンテキストファイルに保存し、Windows レジストリーにインポートします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow または、
regedit.exeアプリケーションを使用して手動で値を設定することもできます。- Windows システムを再起動して変更を適用します。
Identity Management クライアントで
kinitユーティリティーを使用して認証します。Active Directory ユーザーに、ユーザー名とドメイン名を指定します。kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' ad_user@AD.DOMAIN.COM
$ kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' ad_user@AD.DOMAIN.COMCopy to Clipboard Copied! Toggle word wrap Toggle overflow -Xオプションはopensc-pkcs11.so moduleを pre-authentication 属性として指定します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}