スマートカード認証の管理

手順

1. 設定を行うディレクトリーを作成します。

   [root@server]# mkdir ~/SmartCard/

   Copy to Clipboard Toggle word wrap

2. そのディレクトリーに移動します。

   [root@server]# cd ~/SmartCard/

   Copy to Clipboard Toggle word wrap

3. PEM 形式のファイルに保存されている関連する CA 証明書を取得します。CA 証明書が DER などの異なる形式のファイルに保存されている場合は、これを PEM 形式に変換します。IdM 認証局の証明書は PEM 形式で、/etc/ipa/ca.crt ファイルにあります。

   DER ファイルを PEM ファイルに変換します。

   # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM

   Copy to Clipboard Toggle word wrap

4. 便宜上、設定を行うディレクトリーに証明書をコピーします。

   [root@server SmartCard]# cp /tmp/rootca.pem ~/SmartCard/
   [root@server SmartCard]# cp /tmp/subca.pem ~/SmartCard/
   [root@server SmartCard]# cp /tmp/issuingca.pem ~/SmartCard/

   Copy to Clipboard Toggle word wrap

5. オプション: 外部認証局の証明書を使用する場合は、openssl x509 ユーティリティーを使用して PEM 形式のファイルの内容を表示し、Issuer と Subject の値が正しいことを確認します。

   [root@server SmartCard]# openssl x509 -noout -text -in rootca.pem | more

   Copy to Clipboard Toggle word wrap

6. 管理者の権限を使用して、組み込みの ipa-advise ユーティリティーで設定スクリプトを生成します。

   [root@server SmartCard]# kinit admin
   [root@server SmartCard]# ipa-advise config-server-for-smart-card-auth > config-server-for-smart-card-auth.sh

   Copy to Clipboard Toggle word wrap

   config-server-for-smart-card-auth.sh スクリプトは、以下の操作を実行します。

   • IdM Apache HTTP サーバーを設定します。
   • キー配布センター (KDC) の Kerberos (PKINIT) で、初回認証用の公開鍵暗号化機能を有効にします。
   • スマートカード認可要求を受け入れるように IdM Web UI を設定します。

7. スクリプトを実行し、root CA とサブ CA 証明書が含まれる PEM ファイルを引数として追加します。

   [root@server SmartCard]# chmod +x config-server-for-smart-card-auth.sh
   [root@server SmartCard]# ./config-server-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem
   Ticket cache:KEYRING:persistent:0:0
   Default principal: admin@IDM.EXAMPLE.COM
   [...]
   Systemwide CA database updated.
   The ipa-certupdate command was successful

   Copy to Clipboard Toggle word wrap
   注記

   ルート CA 証明書を、サブ CA 証明書の前に引数として追加します。また、CA またはサブ CA 証明書の有効期限が切れていないことを確認します。

8. オプション: ユーザー証明書を発行した認証局が Online Certificate Status Protocol (OCSP) レスポンダーを提供しない場合は、IdM Web UI への認証に対する OCSP チェックを無効にすることが必要になる場合があります。

   1. /etc/httpd/conf.d/ssl.conf ファイルで SSLOCSPEnable パラメーターを off に設定します。

      SSLOCSPEnable off

      Copy to Clipboard Toggle word wrap

   2. 変更をすぐに有効にするには、Apache デーモン (httpd) を再起動します。

      [root@server SmartCard]# systemctl restart httpd

      Copy to Clipboard Toggle word wrap
   警告

   IdM CA が発行したユーザー証明書のみを使用する場合は、OCSP チェックを無効にしないでください。OCSP レスポンダーは IdM に含まれます。

   ユーザー証明書を発行した CA が、OCSP サービスリクエストをリッスンする場所に関する情報がユーザー証明書に含まれていない場合に、OCSP チェックを有効にしたまま、ユーザー証明書が IdM サーバーにより拒否されないようにする方法は、Apache mod_ssl 設定オプション の SSLOCSPDefaultResponder ディレクティブを参照してください。

手順

1. CA 証明書が DER などをはじめとする別の形式のファイルに保存されている場合、それらを PEM 形式に変換します。

   # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM

   Copy to Clipboard Toggle word wrap

   IdM 認証局の証明書は PEM 形式で、/etc/ipa/ca.crt ファイルにあります。

2. オプション: openssl x509 ユーティリティーを使用して PEM 形式のファイルの内容を表示し、Issuer と Subject の値が正しいことを確認します。

   # openssl x509 -noout -text -in root-ca.pem | more

   Copy to Clipboard Toggle word wrap

3. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

   Copy to Clipboard Toggle word wrap

4. CA 証明書専用のサブディレクトリーを作成します。

   $ mkdir SmartCard/

   Copy to Clipboard Toggle word wrap

5. 便宜上、必要なすべての証明書を ~/MyPlaybooks/SmartCard/ ディレクトリーにコピーします。

   # cp /tmp/root-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /tmp/intermediate-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /etc/ipa/ca.crt ~/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

6. Ansible インベントリーファイルで、以下を指定します。

   • スマートカード認証用に設定する IdM サーバー。
   • IdM 管理者パスワード。

   • CA の証明書へのパス (次の順序に従う)。

     • ルート CA 証明書ファイル
     • 中間 CA 証明書ファイル
     • IdM CA 証明書ファイル

   ファイルは次のようになります。

   [ipaserver]
   ipaserver.idm.example.com
   
   [ipareplicas]
   ipareplica1.idm.example.com
   ipareplica2.idm.example.com
   
   [ipacluster:children]
   ipaserver
   ipareplicas
   
   [ipacluster:vars]
   ipaadmin_password= "{{ ipaadmin_password }}"
   ipasmartcard_server_ca_certs=/home/<user_name>/MyPlaybooks/SmartCard/root-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/intermediate-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

7. 次の内容で install-smartcard-server.yml playbook を作成します。

   ---
   - name: Playbook to set up smart card authentication for an IdM server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipasmartcard_server
       state: present

   Copy to Clipboard Toggle word wrap
8. ファイルを保存します。

9. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory install-smartcard-server.yml

   Copy to Clipboard Toggle word wrap

   ipasmartcard_server Ansible ロールは、次のアクションを実行します。

   • IdM Apache HTTP サーバーを設定します。
   • キー配布センター (KDC) の Kerberos (PKINIT) で、初回認証用の公開鍵暗号化機能を有効にします。
   • スマートカード認可要求を受け入れるように IdM Web UI を設定します。

10. オプション: ユーザー証明書を発行した認証局が Online Certificate Status Protocol (OCSP) レスポンダーを提供しない場合は、IdM Web UI への認証に対する OCSP チェックを無効にすることが必要になる場合があります。

    1. root として IdM サーバーに接続します。

       ssh root@ipaserver.idm.example.com

       Copy to Clipboard Toggle word wrap

    2. /etc/httpd/conf.d/ssl.conf ファイルで SSLOCSPEnable パラメーターを off に設定します。

       SSLOCSPEnable off

       Copy to Clipboard Toggle word wrap

    3. 変更をすぐに有効にするには、Apache デーモン (httpd) を再起動します。

       # systemctl restart httpd

       Copy to Clipboard Toggle word wrap
    警告

    IdM CA が発行したユーザー証明書のみを使用する場合は、OCSP チェックを無効にしないでください。OCSP レスポンダーは IdM に含まれます。

    ユーザー証明書を発行した CA が、OCSP サービスリクエストをリッスンする場所に関する情報がユーザー証明書に含まれていない場合に、OCSP チェックを有効にしたまま、ユーザー証明書が IdM サーバーにより拒否されないようにする方法は、Apache mod_ssl 設定オプション の SSLOCSPDefaultResponder ディレクティブを参照してください。

手順

1. IdM サーバーで、管理者権限を使用して、ipa-advise で設定スクリプトを生成します。

   [root@server SmartCard]# kinit admin
   [root@server SmartCard]# ipa-advise config-client-for-smart-card-auth > config-client-for-smart-card-auth.sh

   Copy to Clipboard Toggle word wrap

   config-client-for-smart-card-auth.sh スクリプトは、以下の操作を実行します。

   • スマートカードデーモンを設定する。
   • システム全体のトラストストアを設定します。
   • System Security Services Daemon (SSSD) を設定して、ユーザーがユーザー名とパスワード、またはスマートカードで認証できるようにします。スマートカード認証用の SSSD プロファイルオプションの詳細は、RHEL のスマートカード認証オプション を参照してください。

2. IdM サーバーから、IdM クライアントマシンの任意のディレクトリーに、スクリプトをコピーします。

   [root@server SmartCard]# scp config-client-for-smart-card-auth.sh root@client.idm.example.com:/root/SmartCard/
   Password:
   config-client-for-smart-card-auth.sh        100%   2419       3.5MB/s   00:00

   Copy to Clipboard Toggle word wrap

3. 便宜上、IdM サーバーから、上の手順で使用した IdM クライアントマシンのディレクトリーに、PEM 形式の CA 証明書ファイルをコピーします。

   [root@server SmartCard]# scp {rootca.pem,subca.pem,issuingca.pem} root@client.idm.example.com:/root/SmartCard/
   Password:
   rootca.pem                          100%   1237     9.6KB/s   00:00
   subca.pem                           100%   2514    19.6KB/s   00:00
   issuingca.pem                       100%   2514    19.6KB/s   00:00

   Copy to Clipboard Toggle word wrap

4. クライアントマシンで、スクリプトを実行し、CA 証明書を含む PEM ファイルを引数として追加します。

   [root@client SmartCard]# kinit admin
   [root@client SmartCard]# chmod +x config-client-for-smart-card-auth.sh
   [root@client SmartCard]# ./config-client-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem
   Ticket cache:KEYRING:persistent:0:0
   Default principal: admin@IDM.EXAMPLE.COM
   [...]
   Systemwide CA database updated.
   The ipa-certupdate command was successful

   Copy to Clipboard Toggle word wrap
   注記

   ルート CA 証明書を、サブ CA 証明書の前に引数として追加します。また、CA またはサブ CA 証明書の有効期限が切れていないことを確認します。

手順

1. CA 証明書が DER などをはじめとする別の形式のファイルに保存されている場合、それらを PEM 形式に変換します。

   # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM

   Copy to Clipboard Toggle word wrap

   IdM CA 証明書は PEM 形式で、/etc/ipa/ca.crt ファイルにあります。

2. オプション: openssl x509 ユーティリティーを使用して PEM 形式のファイルの内容を表示し、Issuer と Subject の値が正しいことを確認します。

   # openssl x509 -noout -text -in root-ca.pem | more

   Copy to Clipboard Toggle word wrap

3. Ansible コントロールノードで、~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

   Copy to Clipboard Toggle word wrap

4. CA 証明書専用のサブディレクトリーを作成します。

   $ mkdir SmartCard/

   Copy to Clipboard Toggle word wrap

5. 便宜上、必要なすべての証明書を ~/MyPlaybooks/SmartCard/ ディレクトリーにコピーします。以下はその例です。

   # cp /tmp/root-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /tmp/intermediate-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /etc/ipa/ca.crt ~/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

6. Ansible インベントリーファイルで、以下を指定します。

   • スマートカード認証用に設定する IdM クライアント。
   • IdM 管理者パスワード。

   • CA の証明書へのパス (次の順序に従う)。

     • ルート CA 証明書ファイル
     • 中間 CA 証明書ファイル
     • IdM CA 証明書ファイル

   ファイルは次のようになります。

   [ipaclients]
   ipaclient1.example.com
   ipaclient2.example.com
   
   [ipaclients:vars]
   ipaadmin_password=SomeADMINpassword
   ipasmartcard_client_ca_certs=/home/<user_name>/MyPlaybooks/SmartCard/root-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/intermediate-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

7. 次の内容で install-smartcard-clients.yml playbook を作成します。

   ---
   - name: Playbook to set up smart card authentication for an IdM client
     hosts: ipaclients
     become: true
   
     roles:
     - role: ipasmartcard_client
       state: present

   Copy to Clipboard Toggle word wrap
8. ファイルを保存します。

9. Ansible Playbook を実行します。Playbook とインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory install-smartcard-clients.yml

   Copy to Clipboard Toggle word wrap

   ipasmartcard_client Ansible ロールは、次のアクションを実行します。

   • スマートカードデーモンを設定する。
   • システム全体のトラストストアを設定します。
   • System Security Services Daemon (SSSD) を設定して、ユーザーがユーザー名とパスワード、またはスマートカードで認証できるようにします。スマートカード認証用の SSSD プロファイルオプションの詳細は、RHEL のスマートカード認証オプション を参照してください。

手順

1. 別のユーザーに証明書を追加する場合は、管理者として IdM Web UI にログインします。独自のプロファイルに証明書を追加する場合は、管理者の認証情報が必要ありません。
2. Users → Active users → sc_user の順に移動します。
3. Certificate オプションを探して、Add をクリックします。

4. コマンドラインで、cat ユーティリティーまたはテキストエディターを使用して、PEM 形式の証明書を表示します。

   [user@client SmartCard]$ cat testuser.crt

   Copy to Clipboard Toggle word wrap
5. CLI で、証明書をコピーし、Web UI で開いたウィンドウにこれを貼り付けます。
6. Add をクリックします。

手順

1. 別のユーザーに証明書を追加する場合は、管理者として IdM CLI にログインします。

   [user@client SmartCard]$ kinit admin

   Copy to Clipboard Toggle word wrap

   独自のプロファイルに証明書を追加する場合は、管理者の認証情報が必要ありません。

   [user@client SmartCard]$ kinit <smartcard_user>

   Copy to Clipboard Toggle word wrap

2. ヘッダーとフッターのある証明書を含む環境変数を作成し、1 行に連結します。これは、ipa user-add-cert コマンドで必要な形式です。

   [user@client SmartCard]$ export CERT=`openssl x509 -outform der -in testuser.crt | base64 -w0 -`

   Copy to Clipboard Toggle word wrap

   testuser.crt ファイルの証明書は、PEM 形式である必要があることに注意してください。

3. ipa user-add-cert コマンドを使用して、<smartcard_user> のプロファイルに証明書を追加します。

   [user@client SmartCard]$ ipa user-add-cert <smartcard_user> --certificate=$CERT

   Copy to Clipboard Toggle word wrap

手順

1. opensc パッケージおよび gnutls-utils パッケージをインストールします。

   # dnf -y install opensc gnutls-utils

   Copy to Clipboard Toggle word wrap

2. pcscd サービスを開始します。

   # systemctl start pcscd

   Copy to Clipboard Toggle word wrap

手順

1. スマートカードを消去して PIN で自身を認証します。

   $ pkcs15-init --erase-card --use-default-transport-keys
   Using reader with a card: Reader name
   PIN [Security Officer PIN] required.
   Please enter PIN [Security Officer PIN]:

   Copy to Clipboard Toggle word wrap

   カードが削除されました。

2. スマートカードを初期化し、ユーザーの PIN と PUK を設定します。また、セキュリティー担当者の PIN と PUK を設定します。

   $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
       --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   pcks15-init ツールは、スマートカードに新しいスロットを作成します。

3. スロットのラベルと認証 ID を設定します。

   $ pkcs15-init --store-pin --label testuser \
       --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   ラベルは人間が判読できる値に設定されます (この場合は testuser)。auth-id は 16 進数の値である必要があります。この場合、01 に設定されます。

4. スマートカードの新しいスロットに秘密鍵を保存し、ラベルを付けます。

   $ pkcs15-init --store-private-key testuser.key --label testuser_key \
       --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   注記

   --id に指定する値は、秘密鍵を保存するときと、次の手順で証明書を保存するときに同じである必要があります。--id に独自の値を指定することを推奨します。そうしないと、より複雑な値がツールによって計算されます。

5. スマートカードの新しいスロットに証明書を保存し、ラベル付けします。

   $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
       --auth-id 01 --id 01 --format pem --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

6. オプション: スマートカードの新しいスロットに公開鍵を保存し、ラベルを付けます。

   $ pkcs15-init --store-public-key testuserpublic.key \
       --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   注記

   公開鍵が秘密鍵または証明書に対応する場合は、秘密鍵または証明書の ID と同じ ID を指定します。

7. オプション: スマートカードの中には、設定をロックしてカードをファイナライズする必要があるものもあります。

   $ pkcs15-init -F

   Copy to Clipboard Toggle word wrap

   この段階で、スマートカードの新しく作成されたスロットに、証明書、秘密鍵、公開鍵が含まれています。ユーザーの PIN と PUK、およびセキュリティー担当者の PIN と PUK も作成しました。

手順

1. ブラウザーで IdM Web UI を開きます。
2. Log In Using Certificate をクリックします。

3. Password Required ダイアログボックスが開いたら、スマートカードのロックを解除する PIN を追加して、OK ボタンをクリックします。

   User Identification Request ダイアログボックスが開きます。

   スマートカードに複数の証明書が含まれている場合は、Choose a certificate to present as identification の下にあるドロップダウンリストで、認証に使用する証明書を選択します。

4. OK ボタンをクリックします。

手順

1. スマートカードをリーダーに挿入します。
2. スマートカード PIN を入力します。
3. Sign In をクリックします。

手順

1. IdM サーバー から接続し、adcs-winserver-ca.cer ルート証明書を IdM サーバーにコピーします。

   root@idmserver ~]# sftp Administrator@winserver.ad.example.com
   Administrator@winserver.ad.example.com's password:
   Connected to Administrator@winserver.ad.example.com.
   sftp> cd <Path to certificates>
   sftp> ls
   adcs-winserver-ca.cer    aduser1.pfx
   sftp>
   sftp> get adcs-winserver-ca.cer
   Fetching <Path to certificates>/adcs-winserver-ca.cer to adcs-winserver-ca.cer
   <Path to certificates>/adcs-winserver-ca.cer                 100%  1254    15KB/s 00:00
   sftp quit

   Copy to Clipboard Toggle word wrap

2. IdM クライアント から接続し、aduser1.pfx ユーザー証明書をクライアントにコピーします。

   [root@client1 ~]# sftp Administrator@winserver.ad.example.com
   Administrator@winserver.ad.example.com's password:
   Connected to Administrator@winserver.ad.example.com.
   sftp> cd /<Path to certificates>
   sftp> get aduser1.pfx
   Fetching <Path to certificates>/aduser1.pfx to aduser1.pfx
   <Path to certificates>/aduser1.pfx                 100%  1254    15KB/s 00:00
   sftp quit

   Copy to Clipboard Toggle word wrap

手順

1. IdM サーバーで、クライアントを設定する ipa-advise スクリプトを使用します。

   [root@idmserver ~]# ipa-advise config-client-for-smart-card-auth > sc_client.sh

   Copy to Clipboard Toggle word wrap

2. IdM サーバーで、サーバーを設定する ipa-advise スクリプトを使用します。

   [root@idmserver ~]# ipa-advise config-server-for-smart-card-auth > sc_server.sh

   Copy to Clipboard Toggle word wrap

3. IdM サーバーで、スクリプトを実行します。

   [root@idmserver ~]# sh -x sc_server.sh adcs-winserver-ca.cer

   Copy to Clipboard Toggle word wrap
   • IdM Apache HTTP サーバーを設定します。
   • キー配布センター (KDC) の Kerberos (PKINIT) で、初回認証用の公開鍵暗号化機能を有効にします。
   • スマートカード認可要求を受け入れるように IdM Web UI を設定します。

4. sc_client.sh スクリプトをクライアントシステムにコピーします。

   [root@idmserver ~]# scp sc_client.sh root@client1.idm.example.com:/root
   Password:
   sc_client.sh                  100%  2857   1.6MB/s   00:00

   Copy to Clipboard Toggle word wrap

5. Windows 証明書をクライアントシステムにコピーします。

   [root@idmserver ~]# scp adcs-winserver-ca.cer root@client1.idm.example.com:/root
   Password:
   adcs-winserver-ca.cer                 100%  1254   952.0KB/s   00:00

   Copy to Clipboard Toggle word wrap

6. クライアントシステムで、クライアントスクリプトを実行します。

   [root@idmclient1 ~]# sh -x sc_client.sh adcs-winserver-ca.cer

   Copy to Clipboard Toggle word wrap

手順

1. IdM クライアントで、ファイルを PEM 形式に変換します。

   [root@idmclient1 ~]# openssl pkcs12 -in aduser1.pfx -out aduser1_cert_only.pem -clcerts -nodes
   Enter Import Password:

   Copy to Clipboard Toggle word wrap

2. 鍵を別のファイルにデプロイメントします。

   [root@idmclient1 ~]# openssl pkcs12 -in adduser1.pfx -nocerts -out adduser1.pem > aduser1.key

   Copy to Clipboard Toggle word wrap

3. パブリック証明書を別のファイルにデプロイメントします。

   [root@idmclient1 ~]# openssl pkcs12 -in adduser1.pfx -clcerts -nokeys -out aduser1_cert_only.pem > aduser1.crt

   Copy to Clipboard Toggle word wrap

手順

1. opensc パッケージおよび gnutls-utils パッケージをインストールします。

   # dnf -y install opensc gnutls-utils

   Copy to Clipboard Toggle word wrap

2. pcscd サービスを開始します。

   # systemctl start pcscd

   Copy to Clipboard Toggle word wrap

手順

1. スマートカードを消去して PIN で自身を認証します。

   $ pkcs15-init --erase-card --use-default-transport-keys
   Using reader with a card: Reader name
   PIN [Security Officer PIN] required.
   Please enter PIN [Security Officer PIN]:

   Copy to Clipboard Toggle word wrap

   カードが削除されました。

2. スマートカードを初期化し、ユーザーの PIN と PUK を設定します。また、セキュリティー担当者の PIN と PUK を設定します。

   $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
       --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   pcks15-init ツールは、スマートカードに新しいスロットを作成します。

3. スロットのラベルと認証 ID を設定します。

   $ pkcs15-init --store-pin --label testuser \
       --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   ラベルは人間が判読できる値に設定されます (この場合は testuser)。auth-id は 16 進数の値である必要があります。この場合、01 に設定されます。

4. スマートカードの新しいスロットに秘密鍵を保存し、ラベルを付けます。

   $ pkcs15-init --store-private-key testuser.key --label testuser_key \
       --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   注記

   --id に指定する値は、秘密鍵を保存するときと、次の手順で証明書を保存するときに同じである必要があります。--id に独自の値を指定することを推奨します。そうしないと、より複雑な値がツールによって計算されます。

5. スマートカードの新しいスロットに証明書を保存し、ラベル付けします。

   $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
       --auth-id 01 --id 01 --format pem --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

6. オプション: スマートカードの新しいスロットに公開鍵を保存し、ラベルを付けます。

   $ pkcs15-init --store-public-key testuserpublic.key \
       --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   注記

   公開鍵が秘密鍵または証明書に対応する場合は、秘密鍵または証明書の ID と同じ ID を指定します。

7. オプション: スマートカードの中には、設定をロックしてカードをファイナライズする必要があるものもあります。

   $ pkcs15-init -F

   Copy to Clipboard Toggle word wrap

   この段階で、スマートカードの新しく作成されたスロットに、証明書、秘密鍵、公開鍵が含まれています。ユーザーの PIN と PUK、およびセキュリティー担当者の PIN と PUK も作成しました。

手順

1. sssd.conf ファイルを開きます。

   [root@idmclient1 ~]# vim /etc/sssd/sssd.conf

   Copy to Clipboard Toggle word wrap

2. p11_child_timeout の値を変更します。

   [pam]
   p11_child_timeout = 60

   Copy to Clipboard Toggle word wrap

3. krb5_auth_timeout の値を変更します。

   [domain/IDM.EXAMPLE.COM]
   krb5_auth_timeout = 60

   Copy to Clipboard Toggle word wrap
4. 設定を保存します。

手順

1. opensc パッケージおよび gnutls-utils パッケージをインストールします。

   # dnf -y install opensc gnutls-utils

   Copy to Clipboard Toggle word wrap

2. pcscd サービスを開始します。

   # systemctl start pcscd

   Copy to Clipboard Toggle word wrap

手順

1. スマートカードを消去して PIN で自身を認証します。

   $ pkcs15-init --erase-card --use-default-transport-keys
   Using reader with a card: Reader name
   PIN [Security Officer PIN] required.
   Please enter PIN [Security Officer PIN]:

   Copy to Clipboard Toggle word wrap

   カードが削除されました。

2. スマートカードを初期化し、ユーザーの PIN と PUK を設定します。また、セキュリティー担当者の PIN と PUK を設定します。

   $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
       --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   pcks15-init ツールは、スマートカードに新しいスロットを作成します。

3. スロットのラベルと認証 ID を設定します。

   $ pkcs15-init --store-pin --label testuser \
       --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   ラベルは人間が判読できる値に設定されます (この場合は testuser)。auth-id は 16 進数の値である必要があります。この場合、01 に設定されます。

4. スマートカードの新しいスロットに秘密鍵を保存し、ラベルを付けます。

   $ pkcs15-init --store-private-key testuser.key --label testuser_key \
       --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   注記

   --id に指定する値は、秘密鍵を保存するときと、次の手順で証明書を保存するときに同じである必要があります。--id に独自の値を指定することを推奨します。そうしないと、より複雑な値がツールによって計算されます。

5. スマートカードの新しいスロットに証明書を保存し、ラベル付けします。

   $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
       --auth-id 01 --id 01 --format pem --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

6. オプション: スマートカードの新しいスロットに公開鍵を保存し、ラベルを付けます。

   $ pkcs15-init --store-public-key testuserpublic.key \
       --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   注記

   公開鍵が秘密鍵または証明書に対応する場合は、秘密鍵または証明書の ID と同じ ID を指定します。

7. オプション: スマートカードの中には、設定をロックしてカードをファイナライズする必要があるものもあります。

   $ pkcs15-init -F

   Copy to Clipboard Toggle word wrap

   この段階で、スマートカードの新しく作成されたスロットに、証明書、秘密鍵、公開鍵が含まれています。ユーザーの PIN と PUK、およびセキュリティー担当者の PIN と PUK も作成しました。

手順

1. RHEL 9 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. Terminal をクリックします。

3. /etc/cockpit/cockpit.conf で ClientCertAuthentication を yes に設定します。

   [WebService]
   ClientCertAuthentication = yes

   Copy to Clipboard Toggle word wrap

4. オプション: 以下のようにして cockpit.conf でパスワードベースの認証を無効にします。

   [Basic]
   action = none

   Copy to Clipboard Toggle word wrap

   この設定ではパスワード認証が無効になり、常にスマートカードを使用する必要があります。

5. Web コンソールを再起動して、cockpit.service が変更を受け入れることを確認します。

   # systemctl restart cockpit

   Copy to Clipboard Toggle word wrap

手順

1. RHEL 9 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

   ブラウザーは、スマートカードに保存されている証明書を PIN で保護するよう要求します。

2. Password Required ダイアログボックスで PIN を入力し、OK をクリックします。
3. User Identification Request ダイアログボックスで、スマートカードに保存されている証明書を選択します。

4. Remember this decision を選択します。

   次回、このウィンドウが開きません。

   注記

   この手順は、Google Chrome ユーザーには適用されません。

5. OK をクリックします。

手順

1. チケットがアクセスできるホストをリストアップする制約委譲ルールを設定します。

   例5.1 制約委譲ルールの設定

   Web コンソールセッションはホスト host.example.com で実行されており、sudo を使用して自分のホストにアクセスできるように信頼されている必要があります。さらに、2 つ目の信頼できるホストとして remote.example.com を追加します。

   • 以下の委譲を作成します。

     • 以下のコマンドを実行して、特定のルールがアクセスできるターゲットマシンのリストを追加します。

       # ipa servicedelegationtarget-add cockpit-target
       # ipa servicedelegationtarget-add-member cockpit-target \
          --principals=host/host.example.com@EXAMPLE.COM \
          --principals=host/remote.example.com@EXAMPLE.COM

       Copy to Clipboard Toggle word wrap

     • Web コンソールセッション (HTTP/プリンシパル) がそのホストリストにアクセスできるようにするには、次のコマンドを使用します。

       # ipa servicedelegationrule-add cockpit-delegation
       # ipa servicedelegationrule-add-member cockpit-delegation \
         --principals=HTTP/host.example.com@EXAMPLE.COM
       # ipa servicedelegationrule-add-target cockpit-delegation \
         --servicedelegationtargets=cockpit-target

       Copy to Clipboard Toggle word wrap

2. 対応するサービスで GSS 認証を有効にします。

   1. sudo の場合は、/etc/sssd/sssd.conf ファイルで pam_sss_gss モジュールを有効にします。

      1. root で、/etc/sssd/sssd.conf 設定ファイルにドメイン用のエントリーを追加します。

         [domain/example.com]
         pam_gssapi_services = sudo, sudo-i

         Copy to Clipboard Toggle word wrap

      2. /etc/pam.d/sudo ファイルの 1 行目でモジュールを有効にします。

         auth sufficient pam_sss_gss.so

         Copy to Clipboard Toggle word wrap
   2. SSH の場合、/etc/ssh/sshd_config ファイルの GSSAPIAuthentication オプションを yes に更新します。

検証

1. スマートカードを使用して Web コンソールにログインします。
2. Limited access ボタンをクリックします。
3. スマートカードを使用して認証を行います。

手順

1. 端末で system-cockpithttps.slice 設定ファイルを開きます。

   # systemctl edit system-cockpithttps.slice

   Copy to Clipboard Toggle word wrap

2. TasksMax を 100 に、CPUQuota を 30% に制限します。

   [Slice]
   # change existing value
   TasksMax=100
   # add new restriction
   CPUQuota=30%

   Copy to Clipboard Toggle word wrap

3. 変更を適用するには、システムを再起動します。

   # systemctl daemon-reload
   # systemctl stop cockpit

   Copy to Clipboard Toggle word wrap

手順

1. 証明書を生成するディレクトリーを作成します。以下に例を示します。

   # mkdir /tmp/ca
   # cd /tmp/ca

   Copy to Clipboard Toggle word wrap

2. 証明書を設定します (このテキストは、ca ディレクトリーのコマンドラインにコピーします)。

   # cat > ca.cnf <<EOF
   [ ca ]
   default_ca = CA_default
   
   [ CA_default ]
   dir              = .
   database         = \$dir/index.txt
   new_certs_dir    = \$dir/newcerts
   
   certificate      = \$dir/rootCA.crt
   serial           = \$dir/serial
   private_key      = \$dir/rootCA.key
   RANDFILE         = \$dir/rand
   
   default_days     = 365
   default_crl_days = 30
   default_md       = sha256
   
   policy           = policy_any
   email_in_dn      = no
   
   name_opt         = ca_default
   cert_opt         = ca_default
   copy_extensions  = copy
   
   [ usr_cert ]
   authorityKeyIdentifier = keyid, issuer
   
   [ v3_ca ]
   subjectKeyIdentifier   = hash
   authorityKeyIdentifier = keyid:always,issuer:always
   basicConstraints       = CA:true
   keyUsage               = critical, digitalSignature, cRLSign, keyCertSign
   
   [ policy_any ]
   organizationName       = supplied
   organizationalUnitName = supplied
   commonName             = supplied
   emailAddress           = optional
   
   [ req ]
   distinguished_name = req_distinguished_name
   prompt             = no
   
   [ req_distinguished_name ]
   O  = Example
   OU = Example Test
   CN = Example Test CA
   EOF

   Copy to Clipboard Toggle word wrap

3. 以下のディレクトリーを作成します。

   # mkdir certs crl newcerts

   Copy to Clipboard Toggle word wrap

4. 以下のファイルを作成します。

   # touch index.txt crlnumber index.txt.attr

   Copy to Clipboard Toggle word wrap

5. シリアルファイルに番号 01 を書き込みます。

   # echo 01 > serial

   Copy to Clipboard Toggle word wrap

   このコマンドは、シリアル番号内に 01 を書き込みます。これは証明書のシリアル番号です。この CA によってリリースされる新しい証明書ごとに、数が 1 つ増えます。

6. OpenSSL root CA キーを作成します。

   # openssl genrsa -out rootCA.key 2048

   Copy to Clipboard Toggle word wrap

7. 自己署名 root 認証局証明書を作成します。

   # openssl req -batch -config ca.cnf \ -x509 -new -nodes -key rootCA.key -sha256 -days 10000 \ -set_serial 0 -extensions v3_ca -out rootCA.crt

   Copy to Clipboard Toggle word wrap

8. ユーザー名のキーを作成します。

   # openssl genrsa -out example.user.key 2048

   Copy to Clipboard Toggle word wrap

   このキーは、セキュリティーが保護されていないローカルシステムで生成されるため、キーがカードに格納されると、キーがシステムから削除されます。

   キーはスマートカードで直接作成できます。これを行う場合は、スマートカードの製造元が作成した手順に従います。

9. 証明書署名リクエスト設定ファイルを作成します (このテキストを ca ディレクトリーでコマンドラインにコピーします)。

   # cat > req.cnf <<EOF
   [ req ]
   distinguished_name = req_distinguished_name
   prompt = no
   
   [ req_distinguished_name ]
   O = Example
   OU = Example Test
   CN = testuser
   
   [ req_exts ]
   basicConstraints = CA:FALSE
   nsCertType = client, email
   nsComment = "testuser"
   subjectKeyIdentifier = hash
   keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
   extendedKeyUsage = clientAuth, emailProtection, msSmartcardLogin
   subjectAltName = otherName:msUPN;UTF8:testuser@EXAMPLE.COM, email:testuser@example.com
   EOF

   Copy to Clipboard Toggle word wrap

10. example.user 証明書用の証明書署名リクエストを作成します。

    # openssl req -new -nodes -key example.user.key \ -reqexts req_exts -config req.cnf -out example.user.csr

    Copy to Clipboard Toggle word wrap

11. 新しい証明書を設定します。有効期限は 1 年に設定されています。

    # openssl ca -config ca.cnf -batch -notext \ -keyfile rootCA.key -in example.user.csr -days 365 \ -extensions usr_cert -out example.user.crt

    Copy to Clipboard Toggle word wrap

手順

1. システムに SSSD がインストールされていることを確認します。

   # rpm -q sssd
   sssd-2.0.0.43.el8_0.3.x86_64

   Copy to Clipboard Toggle word wrap

2. /etc/sssd/pki ディレクトリーを作成します。

   # file /etc/sssd/pki
   /etc/sssd/pki/: directory

   Copy to Clipboard Toggle word wrap

3. rootCA.crt を PEM ファイルとして /etc/sssd/pki/ ディレクトリーにコピーします。

   # cp /tmp/ca/rootCA.crt /etc/sssd/pki/sssd_auth_ca_db.pem

   Copy to Clipboard Toggle word wrap

手順

1. opensc パッケージおよび gnutls-utils パッケージをインストールします。

   # dnf -y install opensc gnutls-utils

   Copy to Clipboard Toggle word wrap

2. pcscd サービスを開始します。

   # systemctl start pcscd

   Copy to Clipboard Toggle word wrap

手順

1. スマートカードを消去して PIN で自身を認証します。

   $ pkcs15-init --erase-card --use-default-transport-keys
   Using reader with a card: Reader name
   PIN [Security Officer PIN] required.
   Please enter PIN [Security Officer PIN]:

   Copy to Clipboard Toggle word wrap

   カードが削除されました。

2. スマートカードを初期化し、ユーザーの PIN と PUK を設定します。また、セキュリティー担当者の PIN と PUK を設定します。

   $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
       --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   pcks15-init ツールは、スマートカードに新しいスロットを作成します。

3. スロットのラベルと認証 ID を設定します。

   $ pkcs15-init --store-pin --label testuser \
       --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   ラベルは人間が判読できる値に設定されます (この場合は testuser)。auth-id は 16 進数の値である必要があります。この場合、01 に設定されます。

4. スマートカードの新しいスロットに秘密鍵を保存し、ラベルを付けます。

   $ pkcs15-init --store-private-key testuser.key --label testuser_key \
       --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   注記

   --id に指定する値は、秘密鍵を保存するときと、次の手順で証明書を保存するときに同じである必要があります。--id に独自の値を指定することを推奨します。そうしないと、より複雑な値がツールによって計算されます。

5. スマートカードの新しいスロットに証明書を保存し、ラベル付けします。

   $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
       --auth-id 01 --id 01 --format pem --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

6. オプション: スマートカードの新しいスロットに公開鍵を保存し、ラベルを付けます。

   $ pkcs15-init --store-public-key testuserpublic.key \
       --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   注記

   公開鍵が秘密鍵または証明書に対応する場合は、秘密鍵または証明書の ID と同じ ID を指定します。

7. オプション: スマートカードの中には、設定をロックしてカードをファイナライズする必要があるものもあります。

   $ pkcs15-init -F

   Copy to Clipboard Toggle word wrap

   この段階で、スマートカードの新しく作成されたスロットに、証明書、秘密鍵、公開鍵が含まれています。ユーザーの PIN と PUK、およびセキュリティー担当者の PIN と PUK も作成しました。

手順

1. スマートカード認証を使用するユーザーのホームディレクトリーで、SSH キー用の新しいディレクトリーを作成します。

   # mkdir /home/<example_user>/.ssh

   Copy to Clipboard Toggle word wrap

2. opensc ライブラリーで ssh-keygen -D コマンドを実行して、スマートカードの秘密鍵とペアの既存の公開鍵を取得し、そのユーザーの SSH キーディレクトリーの authorized_keys リストに追加し、スマートカード認証を使用した SSH アクセスを有効にします。

   # ssh-keygen -D /usr/lib64/pkcs11/opensc-pkcs11.so >> ~<example_user>/.ssh/authorized_keys

   Copy to Clipboard Toggle word wrap

3. SSH では、/.ssh ディレクトリーおよび authorized_keys ファイルのアクセス権が必要です。アクセス権を設定または変更するには、以下を入力します。

   # chown -R <example_user:example_user> ~<example_user>/.ssh/
   # chmod 700 ~<example_user>/.ssh/
   # chmod 600 ~<example_user>/.ssh/authorized_keys

   Copy to Clipboard Toggle word wrap

検証

1. 鍵を表示します。

   # cat ~<example_user>/.ssh/authorized_keys

   Copy to Clipboard Toggle word wrap

   ターミナルに鍵が表示されます。

手順

1. /etc/sssd/conf.d/sssd_certmap.conf などの証明書マッピング設定ファイルを作成します。

2. sssd_certmap.conf ファイルに証明書マッピングルールを追加します。

   [certmap/shadowutils/otheruser]
   matchrule = <SUBJECT>.*CN=certificate_user.*<ISSUER>^CN=Example Test CA,OU=Example Test,O=EXAMPLE$

   Copy to Clipboard Toggle word wrap

   証明書マッピングルールは、それぞれ個別のセクションで定義する必要があることに注意してください。各セクションを次のように定義します。

   [certmap/<DOMAIN_NAME>/<RULE_NAME>]

   Copy to Clipboard Toggle word wrap

   AD、IPA、または LDAP ではなく、プロキシープロバイダーを使用してローカルユーザーのスマートカード認証を許可するように SSSD が設定されている場合、<RULE_NAME> には、matchrule で提供されるデータと一致するカードを持つユーザーのユーザー名を指定できます。

手順

1. コマンドの実行をユーザーに許可するために、<sudorule_name> という名前の sudo ルールを作成します。<sudorule_name> は、作成する sudo ルールの実際の名前に置き換えます。

   # ipa sudorule-add <sudorule_name>

   Copy to Clipboard Toggle word wrap

2. sudo コマンドとして less および whoami を追加します。

   # ipa sudocmd-add /usr/bin/less
   # ipa sudocmd-add /usr/bin/whoami

   Copy to Clipboard Toggle word wrap

3. less コマンドと whoami コマンドを <sudorule_name> に追加します。

   # ipa sudorule-add-allow-command <sudorule_name> --sudocmds /usr/bin/less
   # ipa sudorule-add-allow-command <sudorule_name> --sudocmds /usr/bin/whoami

   Copy to Clipboard Toggle word wrap

4. <idm_user> ユーザーを <sudorule_name> に追加します。

   # ipa sudorule-add-user <sudorule_name> --users <idm_user>

   Copy to Clipboard Toggle word wrap

5. sudo を実行するホストを <sudorule_name> に追加します。

   # ipa sudorule-add-host <sudorule_name> --hosts server.ipa.test

   Copy to Clipboard Toggle word wrap

手順

1. PAM SSH エージェントをインストールします。

   # dnf -y install pam_ssh_agent_auth

   Copy to Clipboard Toggle word wrap

2. その他の auth エントリーの前に、pam_ssh_agent_auth.so の authorized_keys_command を /etc/pam.d/sudo ファイルに追加します。

   #%PAM-1.0
   auth sufficient pam_ssh_agent_auth.so authorized_keys_command=/usr/bin/sss_ssh_authorizedkeys
   auth       include      system-auth
   account    include      system-auth
   password   include      system-auth
   session    include      system-auth

   Copy to Clipboard Toggle word wrap

3. sudo コマンドを実行する際に SSH エージェントの転送が機能するように、/etc/sudoers ファイルに以下を追加します。

   Defaults env_keep += "SSH_AUTH_SOCK"

   Copy to Clipboard Toggle word wrap

   これにより、IPA/SSSD に保存されたスマートカードの公開鍵を持つユーザーが、パスワードを入力せずに sudo に認証できるようになります。

4. sssd サービスを再起動します。

   # systemctl restart sssd

   Copy to Clipboard Toggle word wrap

手順

1. SSH エージェントを起動します (まだ実行されていない場合には)。

   # eval `ssh-agent`

   Copy to Clipboard Toggle word wrap

2. スマートカードを SSH エージェントに追加します。プロンプトが表示されたら PIN を入力します。

   # ssh-add -s /usr/lib64/opensc-pkcs11.so

   Copy to Clipboard Toggle word wrap

3. ssh-agent 転送を有効にした SSH を使用して、sudo をリモートで実行する必要があるシステムに接続します。-A オプションを使用します。

   # ssh -A ipauser1@server.ipa.test

   Copy to Clipboard Toggle word wrap

手順

1. lsusb コマンドを使用して、スマートカードリーダーがオペレーティングシステムに表示されることを確認します。

   $ lsusb
   Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
   Bus 001 Device 003: ID 072f:b100 Advanced Card Systems, Ltd ACR39U
   Bus 001 Device 002: ID 0627:0001 Adomax Technology Co., Ltd
   Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

   Copy to Clipboard Toggle word wrap

   RHEL でテストおよびサポートされているスマートカードとリーダーの詳細は、Smart Card support in RHEL 9 を参照してください。

2. pcscd サービスおよびソケットが有効になっており、実行していることを確認します。

   $ systemctl status pcscd.service pcscd.socket
   
   ● pcscd.service - PC/SC Smart Card Daemon
         Loaded: loaded (/usr/lib/systemd/system/pcscd.service; indirect;
   vendor preset: disabled)
         Active: active (running) since Fri 2021-09-24 11:05:04 CEST; 2
   weeks 6 days ago
   TriggeredBy: ● pcscd.socket
           Docs: man:pcscd(8)
       Main PID: 3772184 (pcscd)
          Tasks: 12 (limit: 38201)
         Memory: 8.2M
            CPU: 1min 8.067s
         CGroup: /system.slice/pcscd.service
                 └─3772184 /usr/sbin/pcscd --foreground --auto-exit
   
   ● pcscd.socket - PC/SC Smart Card Daemon Activation Socket
         Loaded: loaded (/usr/lib/systemd/system/pcscd.socket; enabled;
   vendor preset: enabled)
         Active: active (running) since Fri 2021-09-24 11:05:04 CEST; 2
   weeks 6 days ago
       Triggers: ● pcscd.service
         Listen: /run/pcscd/pcscd.comm (Stream)
         CGroup: /system.slice/pcscd.socket

   Copy to Clipboard Toggle word wrap

3. p11-kit list-modules コマンドを使用して、設定されたスマートカードと、スマートカードにあるトークンに関する情報を表示します。

   $ p11-kit list-modules
   p11-kit-trust: p11-kit-trust.so
   [...]
   opensc: opensc-pkcs11.so
       library-description: OpenSC smartcard framework
       library-manufacturer: OpenSC Project
       library-version: 0.20
       token: MyEID (sctest)
           manufacturer: Aventra Ltd.
           model: PKCS#15
           serial-number: 8185043840990797
           firmware-version: 40.1
           flags:
                  rng
                  login-required
                  user-pin-initialized
                  token-initialized

   Copy to Clipboard Toggle word wrap

4. スマートカードの内容にアクセスできることを確認します。

   $ pkcs11-tool --list-objects --login
   Using slot 0 with a present token (0x0)
   Logging in to "MyEID (sctest)".
   Please enter User PIN:
   Private Key Object; RSA
     label:      Certificate
     ID:         01
     Usage:      sign
     Access:     sensitive
   Public Key Object; RSA 2048 bits
     label:      Public Key
     ID:         01
     Usage:      verify
     Access:     none
   Certificate Object; type = X.509 cert
     label:      Certificate
     subject:    DN: O=IDM.EXAMPLE.COM, CN=idmuser1
     ID:         01

   Copy to Clipboard Toggle word wrap

5. certutil コマンドを使用して、スマートカードの証明書の内容を表示します。

   1. 以下のコマンドを実行して、証明書の正しい名前を確認します。

      $ certutil -d /etc/pki/nssdb -L -h all
      
      Certificate Nickname                                         Trust Attributes
                                                                   SSL,S/MIME,JAR/XPI
      
      Enter Password or Pin for "MyEID (sctest)":
      Smart Card CA 0f5019a8-7e65-46a1-afe5-8e17c256ae00           CT,C,C
      MyEID (sctest):Certificate                                   u,u,u

      Copy to Clipboard Toggle word wrap

   2. スマートカードに証明書の内容を表示します。

      注記

      証明書の名前が、前の手順で表示された出力 (この例では MyEID (sctest):Certificate) と完全に一致していることを確認してください。

      $ certutil -d /etc/pki/nssdb -L -n "MyEID (sctest):Certificate"
      
      Enter Password or Pin for "MyEID (sctest)":
      Certificate:
          Data:
              Version: 3 (0x2)
              Serial Number: 15 (0xf)
              Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
              Issuer: "CN=Certificate Authority,O=IDM.EXAMPLE.COM"
              Validity:
                  Not Before: Thu Sep 30 14:01:41 2021
                  Not After : Sun Oct 01 14:01:41 2023
              Subject: "CN=idmuser1,O=IDM.EXAMPLE.COM"
              Subject Public Key Info:
                  Public Key Algorithm: PKCS #1 RSA Encryption
                  RSA Public Key:
                      Modulus:
                          [...]
                      Exponent: 65537 (0x10001)
              Signed Extensions:
                  Name: Certificate Authority Key Identifier
                  Key ID:
                      e2:27:56:0d:2f:f5:f2:72:ce:de:37:20:44:8f:18:7f:
                      2f:56:f9:1a
      
                  Name: Authority Information Access
                  Method: PKIX Online Certificate Status Protocol
                  Location:
                      URI: "http://ipa-ca.idm.example.com/ca/ocsp"
      
                  Name: Certificate Key Usage
                  Critical: True
                  Usages: Digital Signature
                          Non-Repudiation
                          Key Encipherment
                          Data Encipherment
      
                  Name: Extended Key Usage
                      TLS Web Server Authentication Certificate
                      TLS Web Client Authentication Certificate
      
                  Name: CRL Distribution Points
                  Distribution point:
                      URI: "http://ipa-ca.idm.example.com/ipa/crl/MasterCRL.bin"
                      CRL issuer:
                          Directory Name: "CN=Certificate Authority,O=ipaca"
      
                  Name: Certificate Subject Key ID
                  Data:
                      43:23:9f:c1:cf:b1:9f:51:18:be:05:b5:44:dc:e6:ab:
                      be:07:1f:36
      
          Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
          Signature:
              [...]
          Fingerprint (SHA-256):
              6A:F9:64:F7:F2:A2:B5:04:88:27:6E:B8:53:3E:44:3E:F5:75:85:91:34:ED:48:A8:0D:F0:31:5D:7B:C9:E0:EC
          Fingerprint (SHA1):
              B4:9A:59:9F:1C:A8:5D:0E:C1:A2:41:EC:FD:43:E0:80:5F:63:DF:29
      
          Mozilla-CA-Policy: false (attribute missing)
          Certificate Trust Flags:
              SSL Flags:
                  User
              Email Flags:
                  User
              Object Signing Flags:
                  User

      Copy to Clipboard Toggle word wrap

手順

1. su を使用して、スマートカードで認証できることを確認します。

   $ su - idmuser1 -c ‘su - idmuser1 -c whoami’
   PIN for MyEID (sctest):
   idmuser1

   Copy to Clipboard Toggle word wrap

   スマートカードの PIN の入力を求められず、パスワードプロンプトまたは認証エラーが返された場合は、SSSD ログを確認してください。SSSD でのログインの詳細は、IdM で SSSD を使用した認証のトラブルシューティング を参照してください。認証の失敗の例を以下に示します。

   $ su - idmuser1 -c ‘su - idmuser1 -c whoami’
   PIN for MyEID (sctest):
   su: Authentication failure

   Copy to Clipboard Toggle word wrap

   以下のように、SSSD ログが krb5_child からの問題を示している場合は、CA 証明書に問題がある可能性があります。証明書に関する問題をトラブルシューティングするには、Verifying that IdM Kerberos KDC can use Pkinit and that the CA certificates are correctly located を参照してください。

   [Pre-authentication failed: Failed to verify own certificate (depth 0): unable to get local issuer certificate: could not load the shared library]

   Copy to Clipboard Toggle word wrap

   SSSD ログに p11_child または krb5_child からのタイムアウトが示されている場合は、SSSD タイムアウトを増やして、スマートカードでの認証を再試行する必要があります。タイムアウトを増やす方法は、Increasing SSSD timeouts を参照してください。

2. GDM スマートカード認証の設定が正しいことを確認します。PAM 認証の成功メッセージは、以下のように返す必要があります。

   # sssctl user-checks -s gdm-smartcard "idmuser1" -a auth
   user: idmuser1
   action: auth
   service: gdm-smartcard
   
   SSSD nss user lookup result:
    - user name: idmuser1
    - user id: 603200210
    - group id: 603200210
    - gecos: idm user1
    - home directory: /home/idmuser1
    - shell: /bin/sh
   
   SSSD InfoPipe user lookup result:
    - name: idmuser1
    - uidNumber: 603200210
    - gidNumber: 603200210
    - gecos: idm user1
    - homeDirectory: /home/idmuser1
    - loginShell: /bin/sh
   
   testing pam_authenticate
   
   PIN for MyEID (sctest)
   pam_authenticate for user [idmuser1]: Success
   
   PAM Environment:
    - PKCS11_LOGIN_TOKEN_NAME=MyEID (sctest)
    - KRB5CCNAME=KCM:

   Copy to Clipboard Toggle word wrap

   以下のような認証エラーが返された場合は、SSSD ログを確認して、問題の原因を特定します。SSSD でのログインの詳細は、IdM で SSSD を使用した認証のトラブルシューティング を参照してください。

   pam_authenticate for user [idmuser1]: Authentication failure
   
   PAM Environment:
    - no env -

   Copy to Clipboard Toggle word wrap

   PAM 認証に失敗したら、キャッシュをクリアしてコマンドを再度実行します。

   # sssctl cache-remove
   SSSD must not be running. Stop SSSD now? (yes/no) [yes] yes
   Creating backup of local data…
   Removing cache files…
   SSSD needs to be running. Start SSSD now? (yes/no) [yes] yes

   Copy to Clipboard Toggle word wrap

手順

1. kinit ユーティリティーを実行し、スマートカードに保存されている証明書を使用して idmuser1 として認証します。

   $ kinit -X X509_user_identity=PKCS11: idmuser1
   MyEID (sctest)                   PIN:

   Copy to Clipboard Toggle word wrap
2. スマートカード PIN を入力します。PIN の入力を求められない場合は、スマートカードリーダーを検出してスマートカードの内容を表示できることを確認してください。スマートカード認証のテスト を参照してください。

3. PIN が受け入れられ、パスワードの入力を求められた場合は、CA 署名証明書がない可能性があります。

   1. openssl コマンドを使用して、CA チェーンがデフォルトの証明書バンドルファイルにリスト表示されていることを確認します。

      $ openssl crl2pkcs7 -nocrl -certfile /var/lib/ipa-client/pki/ca-bundle.pem | openssl pkcs7 -print_certs -noout
      subject=O = IDM.EXAMPLE.COM, CN = Certificate Authority
      
      issuer=O = IDM.EXAMPLE.COM, CN = Certificate Authority

      Copy to Clipboard Toggle word wrap

   2. 証明書の有効性を確認します。

      1. idmuser1 のユーザー認証証明書 ID を見つけます。

         $ pkcs11-tool --list-objects --login
         [...]
         Certificate Object; type = X.509 cert
           label:      Certificate
           subject:    DN: O=IDM.EXAMPLE.COM, CN=idmuser1
          ID: 01

         Copy to Clipboard Toggle word wrap

      2. DER 形式で、スマートカードからユーザー証明書情報を読み取ります。

         $ pkcs11-tool --read-object --id 01 --type cert --output-file cert.der
         Using slot 0 with a present token (0x0)

         Copy to Clipboard Toggle word wrap

      3. DER 証明書を PEM 形式に変換します。

         $ openssl x509 -in cert.der -inform DER -out cert.pem -outform PEM

         Copy to Clipboard Toggle word wrap

      4. CA までの有効な発行者署名が証明書にあることを確認します。

         $ openssl verify -CAfile /var/lib/ipa-client/pki/ca-bundle.pem <path>/cert.pem
         cert.pem: OK

         Copy to Clipboard Toggle word wrap

4. スマートカードに複数の証明書が含まれている場合、kinit は認証用の正しい証明書を選択できない可能性があります。この場合は、certid=<ID> オプションを使用して、kinit コマンドの引数として証明書 ID を指定する必要があります。

   1. スマートカードに保存されている証明書の数を確認し、使用している証明書の ID を取得します。

      $ pkcs11-tool --list-objects --type cert --login
      Using slot 0 with a present token (0x0)
      Logging in to "MyEID (sctest)".
      Please enter User PIN:
      Certificate Object; type = X.509 cert
        label:      Certificate
        subject:    DN: O=IDM.EXAMPLE.COM, CN=idmuser1
        ID:         01
      Certificate Object; type = X.509 cert
        label:      Second certificate
        subject:    DN: O=IDM.EXAMPLE.COM, CN=ipauser1
        ID:         02

      Copy to Clipboard Toggle word wrap

   2. 証明書 ID 01 で kinit を実行します。

      $ kinit -X kinit -X X509_user_identity=PKCS11:certid=01 idmuser1
      MyEID (sctest)                   PIN:

      Copy to Clipboard Toggle word wrap

5. klist を実行して、Kerberos 認証情報キャッシュの内容を表示します。

   $ klist
   Ticket cache: KCM:0:11485
   Default principal: idmuser1@EXAMPLE.COM
   
   Valid starting       Expires              Service principal
   10/04/2021 10:50:04  10/05/2021 10:49:55  krbtgt/EXAMPLE.COM@EXAMPLE.COM

   Copy to Clipboard Toggle word wrap

6. 終了したら、アクティブな Kerberos チケットを破棄します。

   $ kdestroy -A

   Copy to Clipboard Toggle word wrap

手順

1. IdM クライアントで sssd.conf ファイルを開きます。

   # vim /etc/sssd/sssd.conf

   Copy to Clipboard Toggle word wrap

2. ドメインセクション ([domain/idm.example.com] など) に、以下のオプションを追加します。

   krb5_auth_timeout = 60

   Copy to Clipboard Toggle word wrap

3. [pam] セクションに、以下を追加します。

   p11_child_timeout = 60

   Copy to Clipboard Toggle word wrap

4. SSSD キャッシュを削除します。

   # sssctl cache-remove
   SSSD must not be running. Stop SSSD now? (yes/no) [yes] yes
   Creating backup of local data…
   Removing cache files…
   SSSD needs to be running. Start SSSD now? (yes/no) [yes] yes

   Copy to Clipboard Toggle word wrap