48.3.2. 新しいスマートカードの使用
スマートカードを使用してシステムにログインし、この技術が提供するセキュリティーオプションを増やす前に、基本的なインストールと設定手順を実行する必要があります。これについては、以下で説明します。
注記
本セクションでは、スマートカードを開始するための概要ビューを提供します。詳細は、Red Hat Certificate System Enterprise Security Client Guide を参照してください。
- Kerberos 名とパスワードでログインします。
nss-toolsパッケージが読み込まれていることを確認します。- 企業固有のルート証明書をダウンロードしてインストールします。以下のコマンドを使用して、ルート CA 証明書をインストールします。
certutil -A -d /etc/pki/nssdb -n "root ca cert" -t "CT,C,C" \ -i ./ca_cert_in_base64_format.crt
- 次の RPM がシステムにインストールされていることを確認します。esc、pam_pkcs11、coolkey、ifd-egate、ccid、gdm、authconfig、authconfig-gtk。
- スマートカードログインサポートの有効化
- Gnome Title Bar で、System->Administration->Authentication を選択します。
- 必要に応じて、マシンの root パスワードを入力します。
- Authentication Configuration ダイアログで、Authentication タブをクリックします。
- Enable Smart Card Support チェックボックスを選択します。
- ボタンをクリックして、Smartcard Settings ダイアログを表示し、必要な設定を指定します。
- ログインにはスマートカードが 必要 - このチェックボックスをオフにします。スマートカードで正常にログインしたら、このオプションを選択して、ユーザーがスマートカードなしでログインできないようにします。
- Card Removal Action - ログイン後にスマートカードを削除するときに何が起こるかを制御します。利用可能なオプションは以下のとおりです。
- lock - スマートカードを削除すると、X 画面がロックされます。
- ignore - スマートカードを削除しても効果はありません。
- OCSP(Online Certificate Status Protocol)を有効にする必要がある場合は、
/etc/pam_pkcs11/pam_pkcs11.confファイルを開き、以下の行を見つけます。enable_ocsp = false;以下のようにこの値を true に変更します。enable_ocsp = true; - スマートカードの登録
- CAC カードを使用している場合は、以下の手順も実行する必要があります。
- root アカウントに切り替え、
/etc/pam_pkcs11/cn_mapという名前のファイルを作成します。 - 以下のエントリーを
cn_mapファイルに追加します。MY.CAC_CN.123454 -> myloginidここで、MY.CAC_CN.123454 は CAC のコモンネームで、myloginid は UNIX ログイン ID です。
- ログアウト
48.3.2.1. トラブルシューティング
スマートカードが機能しなくなった場合は、以下のコマンドを使用して問題の原因を見つけてください。
pklogin_finder debug
登録したスマートカードがプラグインされている間に pklogin_finder ツールをデバッグモードで実行すると、証明書の有効性に関する情報の出力を試みます。また、正常にカードにある証明書からログイン ID をマップしようとすると、これからログイン ID をマップしようとします。
