6.2. スマートカードログインの有効化
Red Hat Enterprise Linux サーバーおよびワークステーションにおけるスマートカードでのログインはデフォルトでは有効になっておらず、システム設定で有効にする必要があります。
注記
Red Hat Enterprise Linux にログインする際にシングルサインオンを使用するには、以下のパッケージが必要です。
- nss-tools
- esc
- pam_pkcs11
- coolkey
- ccid
- gdm
- authconfig
- authconfig-gtk
- krb5-libs
- krb5-workstation
- krb5-auth-dialog
- krb5-pkinit-openssl
- root でシステムにログインします。
- ネットワーク用のルート CA 証明書をベース 64 形式でダウンロードし、サーバーにインストールします。証明書は、
certutil
コマンドを使用して適切なシステムデータベースにインストールされます。以下に例を示します。# certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/ca_cert.crt
- トップメニューでメニューを選択し、 を選択して、 . をクリックします。
- 高度なオプション タブを開きます。
- Enable Smart Card Support チェックボックをクリックします。
- ボタンがアクティブの場合は、をクリックします。スマートカードでは 2 つの動作が設定可能です。
- Require smart card for login チェックボックスにはスマートカードが必要で、基本的にシステムにログインする Kerberos パスワード認証を無効にします。スマートカードを使用して正常にログイン するまでは、これは選択しないでください。
- カード削除のアクション は、アクティブなセッション中にスマートカードが削除された場合にシステムが取得する応答を設定します。
Ignore
では、スマートカードが取り除かれるとシステムが通常通り機能し続けます。一方、Lock
では画面を直ちにロックします。
- デフォルトでは、証明書が失効したかどうかを確認するメカニズム (オンライン証明書ステータスプロトコル、OCSP、応答) は無効です。有効期限が切れる前に証明書を失効したかどうかを検証するには、
cert_policy
ディレクティブにocsp_on
オプションを追加して OCSP チェックを有効にします。pam_pkcs11.conf
ファイルを開きます。vim /etc/pam_pkcs11/pam_pkcs11.conf
ocsp_on
オプションが含まれるように、すべてのcert_policy
行を変更します。cert_policy = ca,
ocsp_on,
signature;注記
ファイルの解析方法が原因で、cert_policy
と等号記号の間にスペースが必要です。そうでない場合は、パラメーターの解析に失敗します。
- 「スマートカードの自動登録」 で説明されているように、(個人証明書とキーによる設定で) スマートカードが登録されていない場合、スマートカードを登録します。
- スマートカードが CAC カードの場合、スマートカードログインに使用される PAM モジュールが特定の CAC カードを認識するように設定する必要があります。
- root で、
/etc/pam_pkcs11/cn_map
というファイルを作成ます。 - 次のエントリーを
cn_map
ファイルに追加します。MY.CAC_CN.123454 -> login
my.CAC_CN.123454 は CAC カードの共通名で、ログイン は Red Hat Enterprise Linux ログイン ID です。
注記
スマートカードが挿入されると、
pklogin_finder
ツール (デバッグモード) が最初に、、まずログイン ID をカード上の証明書にマッピングし、証明書の有効性についての情報の出力を試みます。
pklogin_finder debug
これは、スマートカードを使ってシステムにログインする際の問題を診断する上で役立ちます。