5.9. スマートカード認証
スマートカードは外部のハードウェアセキュリティー機能で、クレジットカードで最もよく見られますが、多くの企業で認証トークンとしても使用されています。Red Hat Virtualization 仮想マシンの保護には、スマートカードを使用できます。
スマートカードの有効化
- スマートカードハードウェアがクライアントマシンに接続され、製造元の指示に従ってインストールされていることを確認します。
-
をクリックし、仮想マシンを選択します。 - をクリックします。
- Console タブをクリックし、Smartcard enabled チェックボックスをオンにします。
- をクリックします。
- Console ボタンをクリックして、実行中の仮想マシンに接続します。スマートカード認証がクライアントハードウェアから仮想マシンに渡されるようになりました。
スマートカードハードウェアが正しくインストールされていない場合には、スマートカード機能を有効にすると、仮想マシンが正しく読み込まれなくなります。
スマートカードの無効化
-
をクリックし、仮想マシンを選択します。 - をクリックします。
- コンソール タブをクリックし、スマートカードを有効にする チェックボックスをオフにします。
- をクリックします。
スマートカード共有用のクライアントシステムの設定
-
スマートカードは、証明書へのアクセスに特定のライブラリーが必要になる場合があります。これらのライブラリーは、NSS ライブラリーに表示される必要があります。この NSS ライブラリーは、
spice-gtk
を使用してゲストにスマートカードを渡します。NSS では、ライブラリーに PKCS#11 インターフェイスが含まれる必要があります。 -
モジュールアーキテクチャーが
spice-gtk
/remote-viewer
アーキテクチャーと一致していることを確認してください。たとえば、使用可能な 32b PKCS#11 ライブラリーしかない場合には、スマートカードを機能させるには、virt-viewer の 32b ビルドをインストールする必要があります。
スマートカードをサポートするための RHEL クライアントの設定
Red Hat Enterprise Linux では、スマートカードをサポートします。Smart card support
グループをインストールします。スマートカードサポートグループが Red Hat Enterprise Linux システムにインストールされている場合には、スマートカードが有効になると、スマートカードはゲストにリダイレクトされます。
Smart card support
グループをインストールするには、次のコマンドを実行します。# dnf groupinstall "Smart card support"
他のスマートカードミドルウェアを使用した RHEL クライアントの設定
Red Hat Enterprise Linux は、システム全体のレジストリーである p11-kit の pkcs11 モジュールを提供するので、すべてのアプリケーションからアクセスできます。
サードパーティーの PKCS#11 ライブラリーを p11-kit データベースに登録するには、root として次のコマンドを実行します。
# echo "module: /path/to/library.so" > /etc/pkcs11/modules/my.module
このライブラリーを介してスマートカードが p11-kit に表示されていることを確認するには、次のコマンドを実行します。
$ p11-kit list-modules
Windows クライアントの設定
Red Hat では、Windows クライアントに対する PKCS#11 はサポートしません。PKCS#11 サポートを提供するライブラリーは、サードパーティーから入手する必要があります。
このようなライブラリーを取得したら、次のコマンドを昇格特権のあるユーザーとして実行して、ライブラリーを登録します。
modutil -dbdir %PROGRAMDATA%\pki\nssdb -add "module name" -libfile C:_\Path\to\module_.dll