6.2. スマートカードログインの有効化


Red Hat Enterprise Linux サーバーおよびワークステーションにおけるスマートカードでのログインはデフォルトでは有効になっておらず、システム設定で有効にする必要があります。

注記

Red Hat Enterprise Linux にログインする際にシングルサインオンを使用するには、以下のパッケージが必要です。
  • nss-tools
  • esc
  • pam_pkcs11
  • coolkey
  • ccid
  • gdm
  • authconfig
  • authconfig-gtk
  • krb5-libs
  • krb5-workstation
  • krb5-auth-dialog
  • krb5-pkinit-openssl
  1. root でシステムにログインします。
  2. ネットワーク用のルート CA 証明書をベース 64 形式でダウンロードし、サーバーにインストールします。証明書は、certutil コマンドを使用して適切なシステムデータベースにインストールされます。以下に例を示します。
    # certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/ca_cert.crt
  3. トップメニューで System メニューを選択し、Administration を選択して、Authentication. をクリックします。
  4. 高度なオプション タブを開きます。
  5. Enable Smart Card Support チェックボックをクリックします。
  6. ボタンがアクティブの場合は、Configure smart card ... をクリックします。
    スマートカードでは 2 つの動作が設定可能です。
    • Require smart card for login チェックボックスにはスマートカードが必要で、基本的にシステムにログインする Kerberos パスワード認証を無効にします。スマートカードを使用して正常にログイン するまでは、これは選択しないでください。
    • カード削除のアクション は、アクティブなセッション中にスマートカードが削除された場合にシステムが取得する応答を設定します。Ignore では、スマートカードが取り除かれるとシステムが通常通り機能し続けます。一方、Lock では画面を直ちにロックします。
  7. デフォルトでは、証明書が失効したかどうかを確認するメカニズム (オンライン証明書ステータスプロトコル、OCSP、応答) は無効です。有効期限が切れる前に証明書を失効したかどうかを検証するには、cert_policy ディレクティブに ocsp_on オプションを追加して OCSP チェックを有効にします。
    1. pam_pkcs11.conf ファイルを開きます。
      vim /etc/pam_pkcs11/pam_pkcs11.conf
    2. ocsp_on オプションが含まれるように、すべての cert_policy 行を変更します。
      cert_policy = ca, ocsp_on, signature;

      注記

      ファイルの解析方法が原因で、cert_policy と等号記号の間にスペースが必要です。そうでない場合は、パラメーターの解析に失敗します。
  8. 「スマートカードの自動登録」 で説明されているように、(個人証明書とキーによる設定で) スマートカードが登録されていない場合、スマートカードを登録します。
  9. スマートカードが CAC カードの場合、スマートカードログインに使用される PAM モジュールが特定の CAC カードを認識するように設定する必要があります。
    1. root で、/etc/pam_pkcs11/cn_map というファイルを作成ます。
    2. 次のエントリーを cn_map ファイルに追加します。
      MY.CAC_CN.123454 -> login
      my.CAC_CN.123454 は CAC カードの共通名で、ログイン は Red Hat Enterprise Linux ログイン ID です。

注記

スマートカードが挿入されると、pklogin_finder ツール (デバッグモード) が最初に、、まずログイン ID をカード上の証明書にマッピングし、証明書の有効性についての情報の出力を試みます。
pklogin_finder debug
これは、スマートカードを使ってシステムにログインする際の問題を診断する上で役立ちます。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.