23.6. スマートカードを使用した Identity Management Web UI への認証
Identity Management サーバーに複数のロールを持つ Identity Management ユーザーは、選択したロールとして、スマートカードを使用して Identity Management Web UI に対して認証できます。これにより、選択したロールとして Web UI を使用できます。
注記
Identity Management ユーザーのみが、スマートカードを使用して Web UI にログインできます。Active Directory ユーザーは、ユーザー名とパスワードを使用してログインできます。詳細は、「AD ユーザーとしての IdM Web UI への認証」を参照してください。
認証を有効にするための環境の設定については、以下を参照してください。
認証方法の詳細は、以下を参照してください。
23.6.1. Web UI でのスマートカード認証用の Identity Management サーバーの準備
Identity Management 管理者が、以下を行います。
- Identity Management サーバーで、サーバーを設定するシェルスクリプトを作成します。
- ipa-advise config-server-for-smart-card-auth コマンドを使用して、その出力をファイルに保存します。
# ipa-advise config-server-for-smart-card-auth > server_smart_card_script.sh
- スクリプトファイルを開き、内容を確認します。
chmod
ユーティリティーを使用して、実行パーミッションをファイルに追加します。# chmod +x server_smart_card_script.sh
- Identity Management ドメイン内の全サーバーでスクリプトを実行します。
- sssd-dbus パッケージがインストールされていることを確認します。
また、外部認証局 (CA) がスマートカードで証明書に署名した場合:
- Identity Management サーバーで、HTTP サーバーが使用する NSS データベースに CA 証明書を追加します。
# ipa-cacert-manage -n "SmartCard CA" -t CT,C,C install ca.pem # ipa-certupdate
すべてのレプリカおよびクライアントでipa-certupdate
を繰り返します。 - HTTP サーバーおよび Kerberos サーバーを再起動します。
# systemctl restart httpd # systemctl restart krb5kdc
すべてのレプリカでコマンドを繰り返し実行します。
23.6.2. スマートカード認証用にブラウザーを用意
スマートカード認証にブラウザーを設定するには、ユーザーが Web ブラウザーを起動して Web UI にアクセスするクライアントで以下の手順を実行します。ブラウザーが実行しているシステムは、Identity Management ドメインの一部にする必要はありません。この手順では、Firefox ブラウザーを使用します。
- Firefox を起動します。
- スマートカードから証明書を読み込むように Firefox を設定します。
を選択します。 図23.16 Firefox でのセキュリティーデバイスの設定
- PKCS#11 デバイスの読み込み 画面に、次の情報を入力します。をクリックします。
- Module Name:
OpenSC
- Module filename:
/usr/lib64/opensc-pkcs11.so
図23.17 Firefox のデバイスマネージャー
Firefox が、認証にスマートカード証明書を使用できるようになりました。
23.6.3. Identity Management ユーザーとしてスマートカードを使用した Identity Management Web UI への認証
認証するには、以下を実行します。
- スマートカードをスマートカードリーダーに挿入します。
- ブラウザーで、Identity Management Web UI
(https://ipaserver.example.com/ipa/ui)
に移動します。 - スマートカード証明書が単一のユーザーアカウントにリンクされている場合は、Username フィールドに入力しないでください。スマートカード証明書が複数のユーザーアカウントにリンクされている場合は、Username フィールドに入力して必要なアカウントを指定します。
図23.18 Identity Management の Web UI で
- プロンプトが表示されたら、スマートカードの PIN を入力します。
図23.19 スマートカードの PIN の入力
- 新しいウィンドウが開きます。使用する証明書を提案します。スマートカード証明書を選択します。
図23.20 スマートカード証明書の選択
これで、スマートカード証明書に対応するユーザーとして認証されました。
注記
管理者がユーザーのパスワードをリセットすると、IdM Web UI は、kinit ユーティリティーなどを使用して、ユーザーが新しいパスワードを設定するまでアクセスを拒否します。
関連情報
- 認証に失敗した場合は、「スマートカードの認証エラーの調査」 を参照してください。
23.6.4. 関連情報
- Identity Management の Web UI の詳細は、「IdM Web UI」 を参照してください。