67.3. ADCS 証明書を使用したスマートカード認証用の IdM サーバーおよびクライアントの設定
IdM 環境でスマートカード認証を使用できるように、IdM (Identity Management) サーバーおよびクライアントを設定する必要があります。IdM には、以下に示す必要な変更をすべて行う ipa-advise スクリプトが含まれています。
- 必要なパッケージをインストールする
- IdM サーバーおよびクライアントを設定する
- CA 証明書を所定の場所にコピーする
IdM サーバーで ipa-advise を実行できるようになります。
以下の手順に従って、スマートカード認証用にサーバーとクライアントを設定します。
-
IdM サーバー -
ipa-adviseスクリプトを準備して、スマートカード認証用に IdM サーバーを設定します。 -
IdM サーバー -
ipa-adviseスクリプトを準備して、スマートカード認証用に IdM クライアントを設定します。 -
IdM サーバー - AD 証明書を使用して IdM サーバーに
ipa-adviseサーバースクリプトを適用します。 - クライアントスクリプトを IdM クライアントマシンに移動します。
-
IdM サーバー - AD 証明書を使用して IdM クライアントに
ipa-adviseクライアントスクリプトを適用します。
前提条件
- 証明書が IdM サーバーにコピーされている。
- Kerberos チケットを取得している。
- 管理者権限を持つユーザーとしてログインしている。
手順
IdM サーバーで、クライアントを設定する
ipa-adviseスクリプトを使用します。[root@idmserver ~]# ipa-advise config-client-for-smart-card-auth > sc_client.sh
IdM サーバーで、サーバーを設定する
ipa-adviseスクリプトを使用します。[root@idmserver ~]# ipa-advise config-server-for-smart-card-auth > sc_server.sh
IdM サーバーで、スクリプトを実行します。
[root@idmserver ~]# sh -x sc_server.sh adcs-winserver-ca.cer
- IdM Apache HTTP サーバーを設定します。
- キー配布センター (KDC) の Kerberos (PKINIT) で、初回認証用の公開鍵暗号化機能を有効にします。
- スマートカード認可要求を受け入れるように IdM Web UI を設定します。
sc_client.shスクリプトをクライアントシステムにコピーします。[root@idmserver ~]# scp sc_client.sh root@client1.idm.example.com:/root Password: sc_client.sh 100% 2857 1.6MB/s 00:00
Windows 証明書をクライアントシステムにコピーします。
[root@idmserver ~]# scp adcs-winserver-ca.cer root@client1.idm.example.com:/root Password: adcs-winserver-ca.cer 100% 1254 952.0KB/s 00:00
クライアントシステムで、クライアントスクリプトを実行します。
[root@idmclient1 ~]# sh -x sc_client.sh adcs-winserver-ca.cer
CA 証明書が IdM サーバーとクライアントシステムに正しい形式でインストールされました。次の手順は、ユーザー証明書をスマートカード自体にコピーすることです。
