第69章 IdM クライアントのデスクトップに保存されている証明書を使用した認証の設定
Identity Management (IdM) を設定すると、IdM システム管理者は、認証局 (CA) がユーザーに発行した証明書を使用して、IdM Web UI とコマンドラインインターフェイス (CLI) に対してユーザーを認証できます。証明書は IdM クライアントのデスクトップに保存されます。
Web ブラウザーは、IdM ドメイン外のシステムで実行できます。
証明書を使用した認証設定中に、以下の点に注意してください。
- 証明書を使用して認証するユーザーに証明書がすでにある場合は、新しいユーザー証明書を要求し、クライアントにエクスポート を省略できます。
- ユーザーの証明書が IdM CA により発行された場合は、証明書とユーザーが互いにリンクしていることの確認 を省略できます。
Identity Management ユーザーのみが、証明書を使用して Web UI にログインできます。Active Directory ユーザーは、ユーザー名とパスワードを使用してログインできます。
69.1. Web UI での証明書認証用の Identity Management Server の設定
Identity Management (IdM) 管理者は、ユーザーが、証明書を使用して IdM 環境で認証できるように設定できます。
手順
Identity Management 管理者が、以下を行います。
Identity Management サーバーで管理者権限を取得し、サーバーを設定するシェルスクリプトを作成します。
ipa-advise config-server-for-smart-card-authコマンドを実行し、その出力をファイル (例:server_certificate_script.sh) に保存します。# kinit admin # ipa-advise config-server-for-smart-card-auth >
server_certificate_script.shchmodユーティリティーを使用して、実行パーミッションをファイルに追加します。# chmod +x
server_certificate_script.sh
Identity Management ドメインの全サーバーで、
server_certificate_script.shスクリプトを実行します。証明書認証を有効にするユーザーの証明書を発行した唯一の認証局が IdM CA である場合は、IdM Certificate Authority 証明書へのパス (
/etc/ipa/ca.crt) を使用します。#
./server_certificate_script.sh/etc/ipa/ca.crt証明書認証を有効にするユーザーの証明書を外部の複数の CA が署名した場合は、関連する CA 証明書へのパスを使用します。
#
./server_certificate_script.sh/tmp/ca1.pem/tmp/ca2.pem
トポロジー全体でユーザーの証明書認証を有効にする場合は、今後新たにシステムに追加する各レプリカに対して、必ずスクリプトを実行してください。
