6.2. スマートカードログインの有効化
Red Hat Enterprise Linux サーバーおよびワークステーションにおけるスマートカードでのログインはデフォルトでは有効になっておらず、システム設定で有効にする必要があります。
注記
Red Hat Enterprise Linux にログインする際にシングルサインオンを使用するには、以下のパッケージが必要です。
- nss-tools
- esc
- pam_pkcs11
- coolkey
- ccid
- gdm
- authconfig
- authconfig-gtk
- krb5-libs
- krb5-workstation
- krb5-auth-dialog
- krb5-pkinit-openssl
- root でシステムにログインします。
- ネットワーク用のルート CA 証明書をベース 64 形式でダウンロードし、サーバーにインストールします。証明書は、
certutilコマンドを使用して適切なシステムデータベースにインストールされます。以下に例を示します。# certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/ca_cert.crt
- トップメニューで メニューを選択し、 を選択して、. をクリックします。
- 高度なオプション タブを開きます。
- Enable Smart Card Support チェックボックをクリックします。
- ボタンがアクティブの場合は、 をクリックします。スマートカードでは 2 つの動作が設定可能です。
- Require smart card for login チェックボックスにはスマートカードが必要で、基本的にシステムにログインする Kerberos パスワード認証を無効にします。スマートカードを使用して正常にログイン するまでは、これは選択しないでください。
- カード削除のアクション は、アクティブなセッション中にスマートカードが削除された場合にシステムが取得する応答を設定します。
Ignoreでは、スマートカードが取り除かれるとシステムが通常通り機能し続けます。一方、Lockでは画面を直ちにロックします。
- デフォルトでは、証明書が失効したかどうかを確認するメカニズム (オンライン証明書ステータスプロトコル、OCSP、応答) は無効です。有効期限が切れる前に証明書を失効したかどうかを検証するには、
cert_policyディレクティブにocsp_onオプションを追加して OCSP チェックを有効にします。pam_pkcs11.confファイルを開きます。vim /etc/pam_pkcs11/pam_pkcs11.conf
ocsp_onオプションが含まれるように、すべてのcert_policy行を変更します。cert_policy = ca,
ocsp_on,signature;注記
ファイルの解析方法が原因で、cert_policyと等号記号の間にスペースが必要です。そうでない場合は、パラメーターの解析に失敗します。
- 「スマートカードの自動登録」 で説明されているように、(個人証明書とキーによる設定で) スマートカードが登録されていない場合、スマートカードを登録します。
- スマートカードが CAC カードの場合、スマートカードログインに使用される PAM モジュールが特定の CAC カードを認識するように設定する必要があります。
- root で、
/etc/pam_pkcs11/cn_mapというファイルを作成ます。 - 次のエントリーを
cn_mapファイルに追加します。MY.CAC_CN.123454 -> login
my.CAC_CN.123454 は CAC カードの共通名で、ログイン は Red Hat Enterprise Linux ログイン ID です。
注記
スマートカードが挿入されると、
pklogin_finder ツール (デバッグモード) が最初に、、まずログイン ID をカード上の証明書にマッピングし、証明書の有効性についての情報の出力を試みます。
pklogin_finder debug
これは、スマートカードを使ってシステムにログインする際の問題を診断する上で役立ちます。
