Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第8章 スマートカード認証用の Identity Management の設定

Identity Management (IdM) は、内部または外部機関によって発行された証明書を使用することで、スマートカード認証をサポートします。rootca.pem ファイルを設定して外部認証局との信頼関係を確立し、ドメイン全体で安全なアクセスを可能にします。

注記

現在、IdM では、複数の CA が同じサブジェクト識別名 (DN) を共有していても、暗号的に異なる場合、それらの CA をインポートできません。

8.1. スマートカード認証用の IdM サーバーの設定
リンクのコピー

ipa-advise ユーティリティーは、サーバー上でスマートカード認証を有効にするための設定スクリプトを生成します。このスクリプトは、Apache HTTP サーバー、Kerberos における初期認証のための Key Distribution Center (KDC) 公開鍵暗号化 (PKINIT)、および証明書処理のための IdM Web UI のセットアップを自動化します。

お使いの Identity Management (IdM) 認証局 (CA) が信頼する <EXAMPLE.ORG> ドメインの認証局 (CA) によって発行された証明書を持つユーザーに対して、スマートカード認証を有効にする方法を学びましょう。

前提条件

  • IdM サーバーへの root アクセス権限がある。

  • ルート CA 証明書とすべての中間 CA 証明書がある。

    • <EXAMPLE.ORG> CA の証明書を直接発行したルート CA の証明書、またはそのサブ CA の 1 つ以上を使用して発行したルート CA の証明書。証明書チェーンは、その CA が証明書を発行した Web ページからダウンロードできます。
    • IdM CA 証明書。IdM CA インスタンスが実行されている IdM サーバーの /etc/ipa/ca.crt ファイルから CA 証明書を取得できます。
    • すべての中間 CA、つまり <EXAMPLE.ORG> CA と IdM CA の中間 CA の証明書。

手順

  1. 設定を行うディレクトリーを作成します。 

    [root@server]# mkdir ~/SmartCard/

  2. そのディレクトリーに移動します。 

    [root@server]# cd ~/SmartCard/

  3. PEM 形式のファイルに保存されている関連する CA 証明書を取得します。CA 証明書が DER などの異なる形式のファイルに保存されている場合は、これを PEM 形式に変換します。IdM 認証局の証明書は PEM 形式で、/etc/ipa/ca.crt ファイルにあります。

    DER ファイルを PEM ファイルに変換します。 

    # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM

  4. 便宜上、設定を行うディレクトリーに証明書をコピーします。 

    [root@server SmartCard]# cp /tmp/rootca.pem ~/SmartCard/
     
    [root@server SmartCard]# cp /tmp/subca.pem ~/SmartCard/
     
    [root@server SmartCard]# cp /tmp/issuingca.pem ~/SmartCard/

  5. オプション: 外部認証局の証明書を使用する場合は、openssl x509 ユーティリティーを使用して PEM 形式のファイルの内容を表示し、IssuerSubject の値が正しいことを確認します。 

    [root@server SmartCard]# openssl x509 -noout -text -in rootca.pem | more

  6. 管理者の権限を使用して、組み込みの ipa-advise ユーティリティーで設定スクリプトを生成します。 

    [root@server SmartCard]# kinit admin
     
    [root@server SmartCard]# ipa-advise config-server-for-smart-card-auth > config-server-for-smart-card-auth.sh

    config-server-for-smart-card-auth.sh スクリプトは、以下の操作を実行します。

    • IdM Apache HTTP サーバーを設定します。
    • キー配布センター (KDC) の Kerberos (PKINIT) で、初回認証用の公開鍵暗号化機能を有効にします。
    • スマートカード認可要求を受け入れるように IdM Web UI を設定します。

  7. スクリプトを実行し、root CA とサブ CA 証明書が含まれる PEM ファイルを引数として追加します。 

    [root@server SmartCard]# chmod +x config-server-for-smart-card-auth.sh
     
    [root@server SmartCard]# ./config-server-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem
     
    Ticket cache:KEYRING:persistent:0:0
Default principal: \admin@IDM.EXAMPLE.COM
[...]
Systemwide CA database updated.
The ipa-certupdate command was successful
    注記

    ルート CA 証明書を、サブ CA 証明書の前に引数として追加します。また、CA またはサブ CA 証明書の有効期限が切れていないことを確認します。

  8. オプション: ユーザー証明書を発行した認証局が Online Certificate Status Protocol (OCSP) レスポンダーを提供しない場合は、IdM Web UI への認証に対する OCSP チェックを無効にすることが必要になる場合があります。

    1. /etc/httpd/conf.d/ssl.conf ファイルで SSLOCSPEnable パラメーターを off に設定します。 

      SSLOCSPEnable off

    2. 変更をすぐに有効にするには、Apache デーモン (httpd) を再起動します。 

      [root@server SmartCard]# systemctl restart httpd
    警告

    IdM CA が発行したユーザー証明書のみを使用する場合は、OCSP チェックを無効にしないでください。OCSP レスポンダーは IdM に含まれます。

    ユーザー証明書を発行した CA が、OCSP サービスリクエストをリッスンする場所に関する情報がユーザー証明書に含まれていない場合に、OCSP チェックを有効にしたまま、ユーザー証明書が IdM サーバーにより拒否されないようにする方法は、Apache mod_ssl 設定オプションSSLOCSPDefaultResponder ディレクティブを参照してください。

    これで、スマートカード認証にサーバーが設定されました。

    注記

    トポロジー全体でスマートカード認証を有効にするには、各 IdM サーバーで手順を実行します。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る