9.7.4. Identity Management クライアントでのスマートカード認証
Red Hat Identity Management (IdM) は、以下のスマートカードベースの認証オプション 2 つに対応しています。
- ローカル認証
- テキストコンソール
- Gnome Display Manager (GDM) などのグラフィカルコンソール
- su, または sudo などのローカル認証サービス
sshでのリモート認証- スマートカードの証明書は、PIN で保護される SSH の秘密鍵と合わせて保存されます。
注記
IdM では、スマートカード認証用に上記のローカル認証サービスと
ssh のみをサポートします。FTP などの他のサービスには対応していません。
SSSD ベースのスマートカード認証が設定されていると、ユーザーがログインを試行すると、システムはスマートカードの PIN コードの入力を求めます。入力した PIN が正しく、スマーどカードの証明書が有効で、ログインを試行しているユーザーが所有しており、他の設定可能な条件が満たされている場合には、ユーザーの認証に成功します。
9.7.4.1. IdM クライアントでのスマートカード認証の設定
クライアントでスマートカードを使用して認証できるようにするには、次の手順を実行します。
- スマートカードのサポートを有効にするには、SSSD がパスワード、ワンタイムパスワード (OTP)、またはスマートカードの PIN を要求できるようにします。これには、
/etc/pam.d/password-authおよび/etc/pam.d/system-authの PAM 設定ファイルのauthの行を変更します。- デフォルトの
/etc/pam.d/password-authで以下の行を削除します。auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_sss.so use_first_pass auth required pam_deny.so
以下の行に置き換えます。auth required pam_env.so auth [default=1 success=ok] pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_sss.so forward_pass auth required pam_deny.so
- 同様に、デフォルトの
/etc/pam.d/system-authで以下の行を削除し ます。auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_sss.so use_first_pass auth required pam_deny.so
以下の行に置き換えます。auth required pam_env.so auth [default=1 success=ok] pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_sss.so forward_pass auth required pam_deny.so
/etc/sssd/sssd.confの以下のオプションをtrueに設定します。[pam] pam_cert_auth=true
- SSSD を再起動します。
[root@ipaclient ~]# systemctl restart sssd
