2.2. Ansible を使用したスマートカード認証用の IdM サーバー設定

手順

1. CA 証明書が DER などをはじめとする別の形式のファイルに保存されている場合、それらを PEM 形式に変換します。

   # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM

   Copy to Clipboard Toggle word wrap

   IdM 認証局の証明書は PEM 形式で、/etc/ipa/ca.crt ファイルにあります。

2. オプション: openssl x509 ユーティリティーを使用して PEM 形式のファイルの内容を表示し、Issuer と Subject の値が正しいことを確認します。

   # openssl x509 -noout -text -in root-ca.pem | more

   Copy to Clipboard Toggle word wrap

3. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

   Copy to Clipboard Toggle word wrap

4. CA 証明書専用のサブディレクトリーを作成します。

   $ mkdir SmartCard/

   Copy to Clipboard Toggle word wrap

5. 便宜上、必要なすべての証明書を ~/MyPlaybooks/SmartCard/ ディレクトリーにコピーします。

   # cp /tmp/root-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /tmp/intermediate-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /etc/ipa/ca.crt ~/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

6. Ansible インベントリーファイルで、以下を指定します。

   • スマートカード認証用に設定する IdM サーバー。
   • IdM 管理者パスワード。

   • CA の証明書へのパス (次の順序に従う)。

     • ルート CA 証明書ファイル
     • 中間 CA 証明書ファイル
     • IdM CA 証明書ファイル

   ファイルは次のようになります。

   [ipaserver]
   ipaserver.idm.example.com
   
   [ipareplicas]
   ipareplica1.idm.example.com
   ipareplica2.idm.example.com
   
   [ipacluster:children]
   ipaserver
   ipareplicas
   
   [ipacluster:vars]
   ipaadmin_password= "{{ ipaadmin_password }}"
   ipasmartcard_server_ca_certs=/home/<user_name>/MyPlaybooks/SmartCard/root-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/intermediate-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

7. 次の内容で install-smartcard-server.yml playbook を作成します。

   ---
   - name: Playbook to set up smart card authentication for an IdM server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipasmartcard_server
       state: present

   Copy to Clipboard Toggle word wrap
8. ファイルを保存します。

9. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory install-smartcard-server.yml

   Copy to Clipboard Toggle word wrap

   ipasmartcard_server Ansible ロールは、次のアクションを実行します。

   • IdM Apache HTTP サーバーを設定します。
   • キー配布センター (KDC) の Kerberos (PKINIT) で、初回認証用の公開鍵暗号化機能を有効にします。
   • スマートカード認可要求を受け入れるように IdM Web UI を設定します。

10. オプション: ユーザー証明書を発行した認証局が Online Certificate Status Protocol (OCSP) レスポンダーを提供しない場合は、IdM Web UI への認証に対する OCSP チェックを無効にすることが必要になる場合があります。

    1. root として IdM サーバーに接続します。

       ssh root@ipaserver.idm.example.com

       Copy to Clipboard Toggle word wrap

    2. /etc/httpd/conf.d/ssl.conf ファイルで SSLOCSPEnable パラメーターを off に設定します。

       SSLOCSPEnable off

       Copy to Clipboard Toggle word wrap

    3. 変更をすぐに有効にするには、Apache デーモン (httpd) を再起動します。

       # systemctl restart httpd

       Copy to Clipboard Toggle word wrap
    警告

    IdM CA が発行したユーザー証明書のみを使用する場合は、OCSP チェックを無効にしないでください。OCSP レスポンダーは IdM に含まれます。

    ユーザー証明書を発行した CA が、OCSP サービスリクエストをリッスンする場所に関する情報がユーザー証明書に含まれていない場合に、OCSP チェックを有効にしたまま、ユーザー証明書が IdM サーバーにより拒否されないようにする方法は、Apache mod_ssl 設定オプション の SSLOCSPDefaultResponder ディレクティブを参照してください。

    これで、インベントリーファイルにリストされているサーバーがスマートカード認証用に設定されました。

    注記

    トポロジー全体でスマートカード認証を有効にするには、Ansible Playbook の hosts 変数を ipacluster に設定します。

    ---
    - name: Playbook to set up smartcard for IPA server and replicas
      hosts: ipacluster
    [...]

    Copy to Clipboard Toggle word wrap