스마트 카드 인증 관리

절차

1. 설정을 수행할 디렉터리를 생성합니다.

   [root@server]# mkdir ~/SmartCard/

   Copy to Clipboard Toggle word wrap

2. 디렉터리로 이동합니다.

   [root@server]# cd ~/SmartCard/

   Copy to Clipboard Toggle word wrap

3. PEM 형식의 파일에 저장된 관련 CA 인증서를 가져옵니다. CA 인증서가 DER와 같은 다른 형식의 파일에 저장된 경우 이를 PEM 형식으로 변환합니다. IdM 인증 기관 인증서는 PEM 형식이며 /etc/ipa/ca.crt 파일에 있습니다.

   DER 파일을 PEM 파일로 변환합니다.

   # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM

   Copy to Clipboard Toggle word wrap

4. 편의를 위해 구성을 수행하려는 디렉터리에 인증서를 복사합니다.

   [root@server SmartCard]# cp /tmp/rootca.pem ~/SmartCard/
   [root@server SmartCard]# cp /tmp/subca.pem ~/SmartCard/
   [root@server SmartCard]# cp /tmp/issuingca.pem ~/SmartCard/

   Copy to Clipboard Toggle word wrap

5. 선택 사항: 외부 인증 기관의 인증서를 사용하는 경우 openssl x509 유틸리티를 사용하여 PEM 형식의 파일 내용을 보고 발급 자 및 주체 값이 올바른지 확인합니다.

   [root@server SmartCard]# openssl x509 -noout -text -in rootca.pem | more

   Copy to Clipboard Toggle word wrap

6. 관리자 권한을 사용하여 기본 제공 ipa-advise 유틸리티로 구성 스크립트를 생성합니다.

   [root@server SmartCard]# kinit admin
   [root@server SmartCard]# ipa-advise config-server-for-smart-card-auth > config-server-for-smart-card-auth.sh

   Copy to Clipboard Toggle word wrap

   config-server-for-smart-card-auth.sh 스크립트는 다음 작업을 수행합니다.

   • IdM Apache HTTP 서버를 구성합니다.
   • KDC(키 배포 센터)에서 Kerberos(PKINIT)의 초기 인증에 대한 공개 키 암호화를 활성화합니다.
   • 스마트 카드 권한 부여 요청을 수락하도록 IdM 웹 UI를 구성합니다.

7. 스크립트를 실행하여 루트 CA 및 하위 CA 인증서를 포함하는 PEM 파일을 인수로 추가합니다.

   [root@server SmartCard]# chmod +x config-server-for-smart-card-auth.sh
   [root@server SmartCard]# ./config-server-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem
   Ticket cache:KEYRING:persistent:0:0
   Default principal: admin@IDM.EXAMPLE.COM
   [...]
   Systemwide CA database updated.
   The ipa-certupdate command was successful

   Copy to Clipboard Toggle word wrap
   참고

   루트 CA 인증서를 하위 CA 인증서 전에 인수로 추가하고 CA 또는 하위 CA 인증서가 만료되지 않았는지 확인합니다.

8. 선택 사항: 사용자 인증서를 발급한 인증 기관이 OCSP(Online Certificate Status Protocol) 응답자를 제공하지 않는 경우 IdM 웹 UI에 대한 인증을 위해 OCSP 검사를 비활성화해야 할 수 있습니다.

   1. /etc/httpd/conf.d/ssl.conf 파일에서 SSLOCSPEnable 매개변수를 off 로 설정합니다.

      SSLOCSPEnable off

      Copy to Clipboard Toggle word wrap

   2. 변경 사항을 즉시 적용하려면 Apache 데몬(httpd)을 다시 시작하십시오.

      [root@server SmartCard]# systemctl restart httpd

      Copy to Clipboard Toggle word wrap
   주의

   IdM CA에서 발급한 사용자 인증서만 사용하는 경우 OCSP 검사를 비활성화하지 마십시오. OCSP 응답자는 IdM의 일부입니다.

   OCSP 검사를 계속 활성화하는 방법에 대한 지침이 있지만 사용자 인증서가 OCSP 서비스 요청을 수신 대기하는 CA에 대한 정보가 포함되지 않은 경우 IdM 서버가 사용자 인증서를 거부하지 않는 경우 Apache mod_ssl 구성 옵션의 SSLOCSPDefaultResponder 지시문을 참조하십시오.

절차

1. CA 인증서가 DER 와 같은 다른 형식의 파일에 저장된 경우 PEM 형식으로 변환합니다.

   # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM

   Copy to Clipboard Toggle word wrap

   IdM 인증 기관 인증서는 PEM 형식이며 /etc/ipa/ca.crt 파일에 있습니다.

2. 선택 사항: openssl x509 유틸리티를 사용하여 PEM 형식의 파일 내용을 보고 발급 자 및 주체 값이 올바른지 확인합니다.

   # openssl x509 -noout -text -in root-ca.pem | more

   Copy to Clipboard Toggle word wrap

3. ~/MyPlaybook/ 디렉토리로 이동합니다.

   $ cd ~/MyPlaybooks/

   Copy to Clipboard Toggle word wrap

4. CA 인증서 전용 하위 디렉터리를 생성합니다.

   $ mkdir SmartCard/

   Copy to Clipboard Toggle word wrap

5. 편의를 위해 필요한 모든 인증서를 ~/MyPlaybook/SmartCard/ 디렉터리에 복사합니다.

   # cp /tmp/root-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /tmp/intermediate-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /etc/ipa/ca.crt ~/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

6. Ansible 인벤토리 파일에서 다음을 지정합니다.

   • 스마트 카드 인증을 위해 구성할 IdM 서버입니다.
   • IdM 관리자 암호입니다.

   • 다음 순서로 CA 인증서의 경로입니다.

     • 루트 CA 인증서 파일
     • 중간 CA 인증서 파일
     • IdM CA 인증서 파일

   파일은 다음과 같습니다.

   [ipaserver]
   ipaserver.idm.example.com
   
   [ipareplicas]
   ipareplica1.idm.example.com
   ipareplica2.idm.example.com
   
   [ipacluster:children]
   ipaserver
   ipareplicas
   
   [ipacluster:vars]
   ipaadmin_password= "{{ ipaadmin_password }}"
   ipasmartcard_server_ca_certs=/home/<user_name>/MyPlaybooks/SmartCard/root-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/intermediate-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

7. 다음 콘텐츠를 사용하여 install-smartcard-server.yml 플레이북을 생성합니다.

   ---
   - name: Playbook to set up smart card authentication for an IdM server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipasmartcard_server
       state: present

   Copy to Clipboard Toggle word wrap
8. 파일을 저장합니다.

9. Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory install-smartcard-server.yml

   Copy to Clipboard Toggle word wrap

   ipasmartcard_server Ansible 역할은 다음 작업을 수행합니다.

   • IdM Apache HTTP 서버를 구성합니다.
   • KDC(키 배포 센터)에서 Kerberos(PKINIT)의 초기 인증에 대한 공개 키 암호화를 활성화합니다.
   • 스마트 카드 권한 부여 요청을 수락하도록 IdM 웹 UI를 구성합니다.

10. 선택 사항: 사용자 인증서를 발급한 인증 기관이 OCSP(Online Certificate Status Protocol) 응답자를 제공하지 않는 경우 IdM 웹 UI에 대한 인증을 위해 OCSP 검사를 비활성화해야 할 수 있습니다.

    1. root 로 IdM 서버에 연결합니다.

       ssh root@ipaserver.idm.example.com

       Copy to Clipboard Toggle word wrap

    2. /etc/httpd/conf.d/ssl.conf 파일에서 SSLOCSPEnable 매개변수를 off 로 설정합니다.

       SSLOCSPEnable off

       Copy to Clipboard Toggle word wrap

    3. 변경 사항을 즉시 적용하려면 Apache 데몬(httpd)을 다시 시작하십시오.

       # systemctl restart httpd

       Copy to Clipboard Toggle word wrap
    주의

    IdM CA에서 발급한 사용자 인증서만 사용하는 경우 OCSP 검사를 비활성화하지 마십시오. OCSP 응답자는 IdM의 일부입니다.

    OCSP 검사를 계속 활성화하는 방법에 대한 지침이 있지만 사용자 인증서가 OCSP 서비스 요청을 수신 대기하는 CA에 대한 정보가 포함되지 않은 경우 IdM 서버가 사용자 인증서를 거부하지 않는 경우 Apache mod_ssl 구성 옵션의 SSLOCSPDefaultResponder 지시문을 참조하십시오.

절차

1. IdM 서버에서 관리자 권한을 사용하여 ipa-advise 로 구성 스크립트를 생성합니다.

   [root@server SmartCard]# kinit admin
   [root@server SmartCard]# ipa-advise config-client-for-smart-card-auth > config-client-for-smart-card-auth.sh

   Copy to Clipboard Toggle word wrap

   config-client-for-smart-card-auth.sh 스크립트는 다음 작업을 수행합니다.

   • 스마트 카드 데몬을 구성합니다.
   • 시스템 전체 신뢰 저장소를 설정합니다.
   • 사용자가 사용자 이름 및 암호 또는 스마트 카드로 인증할 수 있도록 SSSD(System Security Services Daemon)를 구성합니다. 스마트 카드 인증에 대한 SSSD 프로필 옵션에 대한 자세한 내용은 RHEL의 스마트 카드 인증 옵션을 참조하십시오.

2. IdM 서버에서 스크립트를 IdM 클라이언트 시스템에서 선택한 디렉터리에 복사합니다.

   [root@server SmartCard]# scp config-client-for-smart-card-auth.sh root@client.idm.example.com:/root/SmartCard/
   Password:
   config-client-for-smart-card-auth.sh        100%   2419       3.5MB/s   00:00

   Copy to Clipboard Toggle word wrap

3. IdM 서버에서 이전 단계에서 사용된 것과 동일한 디렉터리에 편의를 위해 PEM 형식으로 CA 인증서 파일을 복사합니다.

   [root@server SmartCard]# scp {rootca.pem,subca.pem,issuingca.pem} root@client.idm.example.com:/root/SmartCard/
   Password:
   rootca.pem                          100%   1237     9.6KB/s   00:00
   subca.pem                           100%   2514    19.6KB/s   00:00
   issuingca.pem                       100%   2514    19.6KB/s   00:00

   Copy to Clipboard Toggle word wrap

4. 클라이언트 시스템에서 스크립트를 실행하여 CA 인증서를 인수로 포함하는 PEM 파일을 추가합니다.

   [root@client SmartCard]# kinit admin
   [root@client SmartCard]# chmod +x config-client-for-smart-card-auth.sh
   [root@client SmartCard]# ./config-client-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem
   Ticket cache:KEYRING:persistent:0:0
   Default principal: admin@IDM.EXAMPLE.COM
   [...]
   Systemwide CA database updated.
   The ipa-certupdate command was successful

   Copy to Clipboard Toggle word wrap
   참고

   루트 CA 인증서를 하위 CA 인증서 전에 인수로 추가하고 CA 또는 하위 CA 인증서가 만료되지 않았는지 확인합니다.

절차

1. CA 인증서가 DER 와 같은 다른 형식의 파일에 저장된 경우 PEM 형식으로 변환합니다.

   # openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM

   Copy to Clipboard Toggle word wrap

   IdM CA 인증서는 PEM 형식이며 /etc/ipa/ca.crt 파일에 있습니다.

2. 선택 사항: openssl x509 유틸리티를 사용하여 PEM 형식의 파일 내용을 보고 발급 자 및 주체 값이 올바른지 확인합니다.

   # openssl x509 -noout -text -in root-ca.pem | more

   Copy to Clipboard Toggle word wrap

3. Ansible 제어 노드에서 ~/MyPlaybook/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

   Copy to Clipboard Toggle word wrap

4. CA 인증서 전용 하위 디렉터리를 생성합니다.

   $ mkdir SmartCard/

   Copy to Clipboard Toggle word wrap

5. 편의를 위해 필요한 모든 인증서를 ~/MyPlaybook/SmartCard/ 디렉터리에 복사합니다. 예를 들면 다음과 같습니다.

   # cp /tmp/root-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /tmp/intermediate-ca.pem ~/MyPlaybooks/SmartCard/
   # cp /etc/ipa/ca.crt ~/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

6. Ansible 인벤토리 파일에서 다음을 지정합니다.

   • 스마트 카드 인증을 위해 구성할 IdM 클라이언트입니다.
   • IdM 관리자 암호입니다.

   • 다음 순서로 CA 인증서의 경로입니다.

     • 루트 CA 인증서 파일
     • 중간 CA 인증서 파일
     • IdM CA 인증서 파일

   파일은 다음과 같습니다.

   [ipaclients]
   ipaclient1.example.com
   ipaclient2.example.com
   
   [ipaclients:vars]
   ipaadmin_password=SomeADMINpassword
   ipasmartcard_client_ca_certs=/home/<user_name>/MyPlaybooks/SmartCard/root-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/intermediate-ca.pem,/home/<user_name>/MyPlaybooks/SmartCard/ipa-ca.crt

   Copy to Clipboard Toggle word wrap

7. 다음 콘텐츠를 사용하여 install-smartcard-clients.yml 플레이북을 생성합니다.

   ---
   - name: Playbook to set up smart card authentication for an IdM client
     hosts: ipaclients
     become: true
   
     roles:
     - role: ipasmartcard_client
       state: present

   Copy to Clipboard Toggle word wrap
8. 파일을 저장합니다.

9. Ansible 플레이북을 실행합니다. Playbook 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory install-smartcard-clients.yml

   Copy to Clipboard Toggle word wrap

   ipasmartcard_client Ansible 역할은 다음 작업을 수행합니다.

   • 스마트 카드 데몬을 구성합니다.
   • 시스템 전체 신뢰 저장소를 설정합니다.
   • 사용자가 사용자 이름 및 암호 또는 스마트 카드로 인증할 수 있도록 SSSD(System Security Services Daemon)를 구성합니다. 스마트 카드 인증에 대한 SSSD 프로필 옵션에 대한 자세한 내용은 RHEL의 스마트 카드 인증 옵션을 참조하십시오.

절차

1. 다른 사용자에게 인증서를 추가하려면 IdM 웹 UI에 관리자로 로그인합니다. 자체 프로필에 인증서를 추가하는 데 관리자의 자격 증명이 필요하지 않습니다.
2. 사용자 → 활성 사용자 → sc_user 로 이동합니다.
3. Certificate (인증서) 옵션을 찾아 Add(추가 )를 클릭합니다.

4. 명령줄에서 cat 유틸리티 또는 텍스트 편집기를 사용하여 PEM 형식으로 인증서를 표시합니다.

   [user@client SmartCard]$ cat testuser.crt

   Copy to Clipboard Toggle word wrap
5. CLI에서 인증서를 복사하여 웹 UI에서 연 창에 붙여넣습니다.
6. 추가를 클릭합니다.

절차

1. 다른 사용자에게 인증서를 추가하려면 IdM CLI에 관리자로 로그인합니다.

   [user@client SmartCard]$ kinit admin

   Copy to Clipboard Toggle word wrap

   자체 프로필에 인증서를 추가하는 데 관리자의 자격 증명이 필요하지 않습니다.

   [user@client SmartCard]$ kinit <smartcard_user>

   Copy to Clipboard Toggle word wrap

2. ipa user-add-cert 명령에서 필요한 형식인 헤더와 바닥글이 제거되고 한 줄로 연결된 인증서가 포함된 환경 변수를 생성합니다.

   [user@client SmartCard]$ export CERT=`openssl x509 -outform der -in testuser.crt | base64 -w0 -`

   Copy to Clipboard Toggle word wrap

   testuser.crt 파일의 인증서는 PEM 형식이어야 합니다.

3. ipa user-add-cert 명령을 사용하여 < smartcard_user >의 프로필에 인증서를 추가합니다.

   [user@client SmartCard]$ ipa user-add-cert <smartcard_user> --certificate=$CERT

   Copy to Clipboard Toggle word wrap

절차

1. opensc 및 gnutls-utils 패키지를 설치합니다.

   # yum -y install opensc gnutls-utils

   Copy to Clipboard Toggle word wrap

2. pcscd 서비스를 시작합니다.

   # systemctl start pcscd

   Copy to Clipboard Toggle word wrap

절차

1. 스마트 카드를 지우고 PIN으로 인증하십시오:

   $ pkcs15-init --erase-card --use-default-transport-keys
   Using reader with a card: Reader name
   PIN [Security Officer PIN] required.
   Please enter PIN [Security Officer PIN]:

   Copy to Clipboard Toggle word wrap

   카드가 지워졌습니다.

2. 스마트 카드를 초기화하고 사용자 PIN 및 PUK, 보안 책임자 PIN 및 PUK를 설정합니다.

   $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
       --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   pcks15-init 툴은 스마트 카드에 새 슬롯을 생성합니다.

3. 슬롯의 라벨 및 인증 ID를 설정합니다.

   $ pkcs15-init --store-pin --label testuser \
       --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   레이블은 사람이 읽을 수 있는 값(이 경우 testuser )으로 설정됩니다. auth-id 는 16진수 2개 값이어야 합니다(이 경우 01 로 설정됨).

4. 스마트 카드의 새 슬롯에 개인 키 저장 및 레이블을 지정합니다.

   $ pkcs15-init --store-private-key testuser.key --label testuser_key \
       --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   참고

   --id 에 지정하는 값은 개인 키를 저장하고 다음 단계에 인증서를 저장할 때 동일해야 합니다. 도구에서 더 복잡한 값을 계산하므로 --id 에 대해 자체 값을 지정하는 것이 좋습니다.

5. 스마트 카드의 새 슬롯에 인증서를 저장하고 레이블을 지정합니다.

   $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
       --auth-id 01 --id 01 --format pem --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

6. 선택 사항: 스마트 카드의 새 슬롯에 공개 키를 저장하고 레이블을 지정합니다.

   $ pkcs15-init --store-public-key testuserpublic.key \
       --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   참고

   공개 키가 개인 키 또는 인증서에 해당하는 경우 개인 키 또는 인증서의 ID와 동일한 ID를 지정합니다.

7. 선택 사항: 특정 스마트 카드에서는 설정을 잠그는 방식으로 카드를 완료해야합니다.

   $ pkcs15-init -F

   Copy to Clipboard Toggle word wrap

   이 단계에서 스마트 카드에 새로 생성된 슬롯에 인증서, 개인 키 및 공개 키가 포함되어 있습니다. 사용자 PIN 및 PUK, 보안 책임자 PIN 및 PUK도 생성했습니다.

절차

1. 브라우저에서 IdM 웹 UI를 엽니다.
2. 인증서를 사용하여 로그인을 클릭합니다.

3. Password Required(암호 필요 ) 대화 상자가 열리면 PIN을 추가하여 스마트 카드 잠금을 해제하고 OK (확인) 버튼을 클릭합니다.

   사용자 식별 요청 대화 상자가 열립니다.

   스마트 카드에 인증서가 두 개 이상 포함된 경우 아래의 드롭다운 목록에서 인증에 사용할 인증서를 선택하십시오. 식별으로 표시할 인증서를 선택하십시오.

4. OK(확인) 버튼을 클릭합니다.

절차

1. 리더에 스마트 카드를 삽입합니다.
2. 스마트 카드 PIN을 입력합니다.
3. Sign In (로그인)을 클릭합니다.

절차

1. IdM 서버에서 연결하고 adcs-winserver-ca.cer 루트 인증서를 IdM 서버에 복사합니다.

   root@idmserver ~]# sftp Administrator@winserver.ad.example.com
   Administrator@winserver.ad.example.com's password:
   Connected to Administrator@winserver.ad.example.com.
   sftp> cd <Path to certificates>
   sftp> ls
   adcs-winserver-ca.cer    aduser1.pfx
   sftp>
   sftp> get adcs-winserver-ca.cer
   Fetching <Path to certificates>/adcs-winserver-ca.cer to adcs-winserver-ca.cer
   <Path to certificates>/adcs-winserver-ca.cer                 100%  1254    15KB/s 00:00
   sftp quit

   Copy to Clipboard Toggle word wrap

2. IdM 클라이언트에서 연결하고 aduser1.pfx 사용자 인증서를 클라이언트에 복사합니다.

   [root@client1 ~]# sftp Administrator@winserver.ad.example.com
   Administrator@winserver.ad.example.com's password:
   Connected to Administrator@winserver.ad.example.com.
   sftp> cd /<Path to certificates>
   sftp> get aduser1.pfx
   Fetching <Path to certificates>/aduser1.pfx to aduser1.pfx
   <Path to certificates>/aduser1.pfx                 100%  1254    15KB/s 00:00
   sftp quit

   Copy to Clipboard Toggle word wrap

절차

1. IdM 서버에서 ipa-advise 스크립트를 사용하여 클라이언트를 구성합니다.

   [root@idmserver ~]# ipa-advise config-client-for-smart-card-auth > sc_client.sh

   Copy to Clipboard Toggle word wrap

2. IdM 서버에서 ipa-advise 스크립트를 사용하여 서버를 구성합니다.

   [root@idmserver ~]# ipa-advise config-server-for-smart-card-auth > sc_server.sh

   Copy to Clipboard Toggle word wrap

3. IdM 서버에서 스크립트를 실행합니다.

   [root@idmserver ~]# sh -x sc_server.sh adcs-winserver-ca.cer

   Copy to Clipboard Toggle word wrap
   • IdM Apache HTTP 서버를 구성합니다.
   • KDC(키 배포 센터)에서 Kerberos(PKINIT)의 초기 인증에 대한 공개 키 암호화를 활성화합니다.
   • 스마트 카드 권한 부여 요청을 수락하도록 IdM 웹 UI를 구성합니다.

4. sc_client.sh 스크립트를 클라이언트 시스템에 복사합니다.

   [root@idmserver ~]# scp sc_client.sh root@client1.idm.example.com:/root
   Password:
   sc_client.sh                  100%  2857   1.6MB/s   00:00

   Copy to Clipboard Toggle word wrap

5. Windows 인증서를 클라이언트 시스템에 복사합니다.

   [root@idmserver ~]# scp adcs-winserver-ca.cer root@client1.idm.example.com:/root
   Password:
   adcs-winserver-ca.cer                 100%  1254   952.0KB/s   00:00

   Copy to Clipboard Toggle word wrap

6. 클라이언트 시스템에서 클라이언트 스크립트를 실행합니다.

   [root@idmclient1 ~]# sh -x sc_client.sh adcs-winserver-ca.cer

   Copy to Clipboard Toggle word wrap

절차

1. IdM 클라이언트에서 파일을 PEM 형식으로 변환합니다.

   [root@idmclient1 ~]# openssl pkcs12 -in aduser1.pfx -out aduser1_cert_only.pem -clcerts -nodes
   Enter Import Password:

   Copy to Clipboard Toggle word wrap

2. 키를 별도의 파일에 추출합니다.

   [root@idmclient1 ~]# openssl pkcs12 -in adduser1.pfx -nocerts -out adduser1.pem > aduser1.key

   Copy to Clipboard Toggle word wrap

3. 공용 인증서를 별도의 파일에 추출합니다.

   [root@idmclient1 ~]# openssl pkcs12 -in adduser1.pfx -clcerts -nokeys -out aduser1_cert_only.pem > aduser1.crt

   Copy to Clipboard Toggle word wrap

절차

1. opensc 및 gnutls-utils 패키지를 설치합니다.

   # yum -y install opensc gnutls-utils

   Copy to Clipboard Toggle word wrap

2. pcscd 서비스를 시작합니다.

   # systemctl start pcscd

   Copy to Clipboard Toggle word wrap

절차

1. 스마트 카드를 지우고 PIN으로 인증하십시오:

   $ pkcs15-init --erase-card --use-default-transport-keys
   Using reader with a card: Reader name
   PIN [Security Officer PIN] required.
   Please enter PIN [Security Officer PIN]:

   Copy to Clipboard Toggle word wrap

   카드가 지워졌습니다.

2. 스마트 카드를 초기화하고 사용자 PIN 및 PUK, 보안 책임자 PIN 및 PUK를 설정합니다.

   $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
       --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   pcks15-init 툴은 스마트 카드에 새 슬롯을 생성합니다.

3. 슬롯의 라벨 및 인증 ID를 설정합니다.

   $ pkcs15-init --store-pin --label testuser \
       --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   레이블은 사람이 읽을 수 있는 값(이 경우 testuser )으로 설정됩니다. auth-id 는 16진수 2개 값이어야 합니다(이 경우 01 로 설정됨).

4. 스마트 카드의 새 슬롯에 개인 키 저장 및 레이블을 지정합니다.

   $ pkcs15-init --store-private-key testuser.key --label testuser_key \
       --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   참고

   --id 에 지정하는 값은 개인 키를 저장하고 다음 단계에 인증서를 저장할 때 동일해야 합니다. 도구에서 더 복잡한 값을 계산하므로 --id 에 대해 자체 값을 지정하는 것이 좋습니다.

5. 스마트 카드의 새 슬롯에 인증서를 저장하고 레이블을 지정합니다.

   $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
       --auth-id 01 --id 01 --format pem --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

6. 선택 사항: 스마트 카드의 새 슬롯에 공개 키를 저장하고 레이블을 지정합니다.

   $ pkcs15-init --store-public-key testuserpublic.key \
       --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   참고

   공개 키가 개인 키 또는 인증서에 해당하는 경우 개인 키 또는 인증서의 ID와 동일한 ID를 지정합니다.

7. 선택 사항: 특정 스마트 카드에서는 설정을 잠그는 방식으로 카드를 완료해야합니다.

   $ pkcs15-init -F

   Copy to Clipboard Toggle word wrap

   이 단계에서 스마트 카드에 새로 생성된 슬롯에 인증서, 개인 키 및 공개 키가 포함되어 있습니다. 사용자 PIN 및 PUK, 보안 책임자 PIN 및 PUK도 생성했습니다.

절차

1. sssd.conf 파일을 엽니다.

   [root@idmclient1 ~]# vim /etc/sssd/sssd.conf

   Copy to Clipboard Toggle word wrap

2. p11_child_timeout 값을 변경합니다.

   [pam]
   p11_child_timeout = 60

   Copy to Clipboard Toggle word wrap

3. krb5_auth_timeout 값을 변경합니다.

   [domain/IDM.EXAMPLE.COM]
   krb5_auth_timeout = 60

   Copy to Clipboard Toggle word wrap
4. 설정을 저장합니다.

절차

1. opensc 및 gnutls-utils 패키지를 설치합니다.

   # yum -y install opensc gnutls-utils

   Copy to Clipboard Toggle word wrap

2. pcscd 서비스를 시작합니다.

   # systemctl start pcscd

   Copy to Clipboard Toggle word wrap

절차

1. 스마트 카드를 지우고 PIN으로 인증하십시오:

   $ pkcs15-init --erase-card --use-default-transport-keys
   Using reader with a card: Reader name
   PIN [Security Officer PIN] required.
   Please enter PIN [Security Officer PIN]:

   Copy to Clipboard Toggle word wrap

   카드가 지워졌습니다.

2. 스마트 카드를 초기화하고 사용자 PIN 및 PUK, 보안 책임자 PIN 및 PUK를 설정합니다.

   $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
       --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   pcks15-init 툴은 스마트 카드에 새 슬롯을 생성합니다.

3. 슬롯의 라벨 및 인증 ID를 설정합니다.

   $ pkcs15-init --store-pin --label testuser \
       --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   레이블은 사람이 읽을 수 있는 값(이 경우 testuser )으로 설정됩니다. auth-id 는 16진수 2개 값이어야 합니다(이 경우 01 로 설정됨).

4. 스마트 카드의 새 슬롯에 개인 키 저장 및 레이블을 지정합니다.

   $ pkcs15-init --store-private-key testuser.key --label testuser_key \
       --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   참고

   --id 에 지정하는 값은 개인 키를 저장하고 다음 단계에 인증서를 저장할 때 동일해야 합니다. 도구에서 더 복잡한 값을 계산하므로 --id 에 대해 자체 값을 지정하는 것이 좋습니다.

5. 스마트 카드의 새 슬롯에 인증서를 저장하고 레이블을 지정합니다.

   $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
       --auth-id 01 --id 01 --format pem --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

6. 선택 사항: 스마트 카드의 새 슬롯에 공개 키를 저장하고 레이블을 지정합니다.

   $ pkcs15-init --store-public-key testuserpublic.key \
       --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   참고

   공개 키가 개인 키 또는 인증서에 해당하는 경우 개인 키 또는 인증서의 ID와 동일한 ID를 지정합니다.

7. 선택 사항: 특정 스마트 카드에서는 설정을 잠그는 방식으로 카드를 완료해야합니다.

   $ pkcs15-init -F

   Copy to Clipboard Toggle word wrap

   이 단계에서 스마트 카드에 새로 생성된 슬롯에 인증서, 개인 키 및 공개 키가 포함되어 있습니다. 사용자 PIN 및 PUK, 보안 책임자 PIN 및 PUK도 생성했습니다.

절차

1. RHEL 8 웹 콘솔에 로그인합니다.

   자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

2. 터미널 을 클릭합니다.

3. /etc/cockpit/cockpit.conf 에서 ClientCertAuthentication 을 yes 로 설정합니다.

   [WebService]
   ClientCertAuthentication = yes

   Copy to Clipboard Toggle word wrap

4. 선택 사항: 다음을 사용하여 cockpit.conf 에서 암호 기반 인증을 비활성화합니다.

   [Basic]
   action = none

   Copy to Clipboard Toggle word wrap

   이 설정은 암호 인증을 비활성화하고 항상 스마트 카드를 사용해야 합니다.

5. 웹 콘솔을 다시 시작하여 cockpit.service 에서 변경 사항을 수락하는지 확인합니다.

   # systemctl restart cockpit

   Copy to Clipboard Toggle word wrap

절차

1. RHEL 8 웹 콘솔에 로그인합니다.

   자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

   브라우저는 스마트 카드에 저장된 인증서를 보호하는 pin을 추가하도록 요청합니다.

2. Password Required 대화 상자에서 Pin을 입력하고 확인을 클릭합니다.
3. 사용자 식별 요청 대화 상자에서 스마트 카드에 저장된 인증서를 선택합니다.

4. Remember this decision 을 선택합니다.

   다음 번에 이 창을 열지 않습니다.

   참고

   이 단계는 Google Chrome 사용자에게 적용되지 않습니다.

5. OK를 클릭합니다.

절차

1. 터미널에서 system-cockpithttps.slice 구성 파일을 엽니다.

   # systemctl edit system-cockpithttps.slice

   Copy to Clipboard Toggle word wrap

2. TasksMax 를 100 으로 제한하고 CPUQuota 를 30% 로 제한합니다.

   [Slice]
   # change existing value
   TasksMax=100
   # add new restriction
   CPUQuota=30%

   Copy to Clipboard Toggle word wrap

3. 변경 사항을 적용하려면 시스템을 다시 시작하십시오.

   # systemctl daemon-reload
   # systemctl stop cockpit

   Copy to Clipboard Toggle word wrap

절차

1. 인증서를 생성할 수 있는 디렉터리를 생성합니다. 예를 들면 다음과 같습니다.

   # mkdir /tmp/ca
   # cd /tmp/ca

   Copy to Clipboard Toggle word wrap

2. 인증서를 설정합니다(이 텍스트를 ca 디렉토리의 명령줄에 복사).

   # cat > ca.cnf <<EOF
   [ ca ]
   default_ca = CA_default
   
   [ CA_default ]
   dir              = .
   database         = \$dir/index.txt
   new_certs_dir    = \$dir/newcerts
   
   certificate      = \$dir/rootCA.crt
   serial           = \$dir/serial
   private_key      = \$dir/rootCA.key
   RANDFILE         = \$dir/rand
   
   default_days     = 365
   default_crl_days = 30
   default_md       = sha256
   
   policy           = policy_any
   email_in_dn      = no
   
   name_opt         = ca_default
   cert_opt         = ca_default
   copy_extensions  = copy
   
   [ usr_cert ]
   authorityKeyIdentifier = keyid, issuer
   
   [ v3_ca ]
   subjectKeyIdentifier   = hash
   authorityKeyIdentifier = keyid:always,issuer:always
   basicConstraints       = CA:true
   keyUsage               = critical, digitalSignature, cRLSign, keyCertSign
   
   [ policy_any ]
   organizationName       = supplied
   organizationalUnitName = supplied
   commonName             = supplied
   emailAddress           = optional
   
   [ req ]
   distinguished_name = req_distinguished_name
   prompt             = no
   
   [ req_distinguished_name ]
   O  = Example
   OU = Example Test
   CN = Example Test CA
   EOF

   Copy to Clipboard Toggle word wrap

3. 다음 디렉터리를 생성합니다.

   # mkdir certs crl newcerts

   Copy to Clipboard Toggle word wrap

4. 다음 파일을 생성합니다.

   # touch index.txt crlnumber index.txt.attr

   Copy to Clipboard Toggle word wrap

5. 일련 파일에 숫자 01을 작성합니다.

   # echo 01 > serial

   Copy to Clipboard Toggle word wrap

   이 명령은 직렬 파일에 숫자 01을 작성합니다. 인증서의 일련 번호입니다. 이 CA에서 새로 릴리스하는 각각의 새 인증서에서는 수가 1씩 증가합니다.

6. OpenSSL 루트 CA 키를 생성합니다.

   # openssl genrsa -out rootCA.key 2048

   Copy to Clipboard Toggle word wrap

7. 자체 서명된 루트 인증 기관 인증서를 생성합니다.

   # openssl req -batch -config ca.cnf \ -x509 -new -nodes -key rootCA.key -sha256 -days 10000 \ -set_serial 0 -extensions v3_ca -out rootCA.crt

   Copy to Clipboard Toggle word wrap

8. 사용자 이름에 대한 키를 생성합니다.

   # openssl genrsa -out example.user.key 2048

   Copy to Clipboard Toggle word wrap

   이 키는 안전하지 않은 로컬 시스템에서 생성되므로 키가 카드에 저장될 때 시스템에서 키를 제거합니다.

   스마트 카드에서도 직접 키를 생성할 수 있습니다. 이를 위해 스마트 카드 제조업체가 생성한 지침을 따르십시오.

9. 인증서 서명 요청 구성 파일을 만듭니다(이 텍스트를 ca 디렉토리의 명령줄에 복사).

   # cat > req.cnf <<EOF
   [ req ]
   distinguished_name = req_distinguished_name
   prompt = no
   
   [ req_distinguished_name ]
   O = Example
   OU = Example Test
   CN = testuser
   
   [ req_exts ]
   basicConstraints = CA:FALSE
   nsCertType = client, email
   nsComment = "testuser"
   subjectKeyIdentifier = hash
   keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
   extendedKeyUsage = clientAuth, emailProtection, msSmartcardLogin
   subjectAltName = otherName:msUPN;UTF8:testuser@EXAMPLE.COM, email:testuser@example.com
   EOF

   Copy to Clipboard Toggle word wrap

10. example.user 인증서에 대한 인증서 서명 요청을 생성합니다.

    # openssl req -new -nodes -key example.user.key \ -reqexts req_exts -config req.cnf -out example.user.csr

    Copy to Clipboard Toggle word wrap

11. 새 인증서를 구성합니다. 만료 기간은 1년으로 설정됩니다.

    # openssl ca -config ca.cnf -batch -notext \ -keyfile rootCA.key -in example.user.csr -days 365 \ -extensions usr_cert -out example.user.crt

    Copy to Clipboard Toggle word wrap

절차

1. 시스템에 SSSD가 설치되어 있는지 확인합니다.

   # rpm -q sssd
   sssd-2.0.0.43.el8_0.3.x86_64

   Copy to Clipboard Toggle word wrap

2. /etc/sssd/pki 디렉토리를 만듭니다.

   # file /etc/sssd/pki
   /etc/sssd/pki/: directory

   Copy to Clipboard Toggle word wrap

3. /etc/sssd/pki/ 디렉터리에서 rootCA.crt 를 PEM 파일로 복사합니다.

   # cp /tmp/ca/rootCA.crt /etc/sssd/pki/sssd_auth_ca_db.pem

   Copy to Clipboard Toggle word wrap

절차

1. opensc 및 gnutls-utils 패키지를 설치합니다.

   # yum -y install opensc gnutls-utils

   Copy to Clipboard Toggle word wrap

2. pcscd 서비스를 시작합니다.

   # systemctl start pcscd

   Copy to Clipboard Toggle word wrap

절차

1. 스마트 카드를 지우고 PIN으로 인증하십시오:

   $ pkcs15-init --erase-card --use-default-transport-keys
   Using reader with a card: Reader name
   PIN [Security Officer PIN] required.
   Please enter PIN [Security Officer PIN]:

   Copy to Clipboard Toggle word wrap

   카드가 지워졌습니다.

2. 스마트 카드를 초기화하고 사용자 PIN 및 PUK, 보안 책임자 PIN 및 PUK를 설정합니다.

   $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
       --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   pcks15-init 툴은 스마트 카드에 새 슬롯을 생성합니다.

3. 슬롯의 라벨 및 인증 ID를 설정합니다.

   $ pkcs15-init --store-pin --label testuser \
       --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

   레이블은 사람이 읽을 수 있는 값(이 경우 testuser )으로 설정됩니다. auth-id 는 16진수 2개 값이어야 합니다(이 경우 01 로 설정됨).

4. 스마트 카드의 새 슬롯에 개인 키 저장 및 레이블을 지정합니다.

   $ pkcs15-init --store-private-key testuser.key --label testuser_key \
       --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   참고

   --id 에 지정하는 값은 개인 키를 저장하고 다음 단계에 인증서를 저장할 때 동일해야 합니다. 도구에서 더 복잡한 값을 계산하므로 --id 에 대해 자체 값을 지정하는 것이 좋습니다.

5. 스마트 카드의 새 슬롯에 인증서를 저장하고 레이블을 지정합니다.

   $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
       --auth-id 01 --id 01 --format pem --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap

6. 선택 사항: 스마트 카드의 새 슬롯에 공개 키를 저장하고 레이블을 지정합니다.

   $ pkcs15-init --store-public-key testuserpublic.key \
       --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
   Using reader with a card: Reader name

   Copy to Clipboard Toggle word wrap
   참고

   공개 키가 개인 키 또는 인증서에 해당하는 경우 개인 키 또는 인증서의 ID와 동일한 ID를 지정합니다.

7. 선택 사항: 특정 스마트 카드에서는 설정을 잠그는 방식으로 카드를 완료해야합니다.

   $ pkcs15-init -F

   Copy to Clipboard Toggle word wrap

   이 단계에서 스마트 카드에 새로 생성된 슬롯에 인증서, 개인 키 및 공개 키가 포함되어 있습니다. 사용자 PIN 및 PUK, 보안 책임자 PIN 및 PUK도 생성했습니다.

절차

1. 스마트 카드 인증을 사용하는 사용자의 홈 디렉터리에 SSH 키에 대한 새 디렉터리를 생성합니다.

   # mkdir /home/<example_user>/.ssh

   Copy to Clipboard Toggle word wrap

2. opensc 라이브러리와 함께 ssh-keygen -D 명령을 실행하여 스마트 카드의 개인 키와 쌍된 기존 공개 키를 검색하고 SSH 키 디렉터리의 authorized_keys 목록에 스마트 카드 인증을 사용하여 SSH 액세스를 활성화합니다.

   # ssh-keygen -D /usr/lib64/pkcs11/opensc-pkcs11.so >> ~<example_user>/.ssh/authorized_keys

   Copy to Clipboard Toggle word wrap

3. SSH를 사용하려면 /.ssh 디렉토리 및 authorized_keys 파일에 대한 올바른 구성이 필요합니다. 액세스 권한을 설정하거나 변경하려면 다음을 입력합니다.

   # chown -R <example_user:example_user> ~<example_user>/.ssh/
   # chmod 700 ~<example_user>/.ssh/
   # chmod 600 ~<example_user>/.ssh/authorized_keys

   Copy to Clipboard Toggle word wrap

검증

1. 키를 표시합니다.

   # cat ~<example_user>/.ssh/authorized_keys

   Copy to Clipboard Toggle word wrap

   터미널에 키가 표시됩니다.

절차

1. /etc/sssd/conf.d/sssd_certmap.conf 와 같은 인증서 매핑 구성 파일을 만듭니다.

2. sssd_certmap.conf 파일에 인증서 매핑 규칙을 추가합니다.

   [certmap/shadowutils/otheruser]
   matchrule = <SUBJECT>.*CN=certificate_user.*<ISSUER>^CN=Example Test CA,OU=Example Test,O=EXAMPLE$

   Copy to Clipboard Toggle word wrap

   각 인증서 매핑 규칙을 별도의 섹션에 정의해야 합니다. 각 섹션을 다음과 같이 정의합니다.

   [certmap/<DOMAIN_NAME>/<RULE_NAME>]

   Copy to Clipboard Toggle word wrap

   SSSD가 프록시 공급자를 사용하여 AD, IPA 또는 LDAP 대신 로컬 사용자에게 스마트 카드 인증을 허용하도록 구성된 경우 < RULE_NAME >은 단순히 matchrule 에 제공된 데이터와 일치하는 카드가 있는 사용자의 사용자 이름이 될 수 있습니다.

절차

1. 사용자가 명령을 실행할 수 있도록 < sudo rule_name >이라는 sudo 규칙을 만듭니다. & lt;sudorule_name >을 생성하려는 sudo 규칙의 실제 이름으로 바꿉니다.

   # ipa sudorule-add <sudorule_name>

   Copy to Clipboard Toggle word wrap

2. sudo 명령으로 더 적고 whoami 를 추가합니다.

   # ipa sudocmd-add /usr/bin/less
   # ipa sudocmd-add /usr/bin/whoami

   Copy to Clipboard Toggle word wrap

3. < sudorule_name> :에 less 및 whoami 명령을 추가합니다.

   # ipa sudorule-add-allow-command <sudorule_name> --sudocmds /usr/bin/less
   # ipa sudorule-add-allow-command <sudorule_name> --sudocmds /usr/bin/whoami

   Copy to Clipboard Toggle word wrap

4. < idm_user > 사용자를 < sudorule_name > :에 추가합니다.

   # ipa sudorule-add-user <sudorule_name> --users <idm_user>

   Copy to Clipboard Toggle word wrap

5. sudo를 실행 중인 호스트를 < sudo rule_name > :에 추가합니다.

   # ipa sudorule-add-host <sudorule_name> --hosts server.ipa.test

   Copy to Clipboard Toggle word wrap

절차

1. PAM SSH 에이전트를 설치합니다.

   # dnf -y install pam_ssh_agent_auth

   Copy to Clipboard Toggle word wrap

2. pam_ssh _agent_auth.so에 대해 authorized_ keys_command 를 다른 auth 항목 전에 /etc/pam.d/sudo 파일에 추가합니다.

   #%PAM-1.0
   auth sufficient pam_ssh_agent_auth.so authorized_keys_command=/usr/bin/sss_ssh_authorizedkeys
   auth       include      system-auth
   account    include      system-auth
   password   include      system-auth
   session    include      system-auth

   Copy to Clipboard Toggle word wrap

3. sudo 명령을 실행할 때 SSH 에이전트 전달이 작동하도록 하려면 /etc/sudoers 파일에 다음을 추가합니다.

   Defaults env_keep += "SSH_AUTH_SOCK"

   Copy to Clipboard Toggle word wrap

   이를 통해 IPA/SSSD에 저장된 스마트 카드에서 공개 키를 가진 사용자가 암호를 입력하지 않고 sudo 에 인증할 수 있습니다.

4. sssd 서비스를 다시 시작하십시오.

   # systemctl restart sssd

   Copy to Clipboard Toggle word wrap

절차

1. SSH 에이전트를 시작합니다(아직 실행되지 않은 경우).

   # eval `ssh-agent`

   Copy to Clipboard Toggle word wrap

2. SSH 에이전트에 스마트 카드를 추가합니다. 메시지가 표시되면 PIN을 입력합니다.

   # ssh-add -s /usr/lib64/opensc-pkcs11.so

   Copy to Clipboard Toggle word wrap

3. ssh-agent 전달이 활성화된 SSH를 사용하여 원격으로 sudo 를 실행해야 하는 시스템에 연결합니다. -A 옵션을 사용합니다.

   # ssh -A ipauser1@server.ipa.test

   Copy to Clipboard Toggle word wrap

절차

1. lsusb 명령을 사용하여 스마트 카드 리더가 운영 체제에 표시되는지 확인합니다.

   $ lsusb
   Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
   Bus 001 Device 003: ID 072f:b100 Advanced Card Systems, Ltd ACR39U
   Bus 001 Device 002: ID 0627:0001 Adomax Technology Co., Ltd
   Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

   Copy to Clipboard Toggle word wrap

   RHEL에서 테스트 및 지원되는 스마트 카드 및 리더에 대한 자세한 내용은 RHEL 8의 스마트 카드 지원을 참조하십시오.

2. pcscd 서비스 및 소켓이 활성화되어 실행되고 있는지 확인합니다.

   $ systemctl status pcscd.service pcscd.socket
   
   ● pcscd.service - PC/SC Smart Card Daemon
         Loaded: loaded (/usr/lib/systemd/system/pcscd.service; indirect;
   vendor preset: disabled)
         Active: active (running) since Fri 2021-09-24 11:05:04 CEST; 2
   weeks 6 days ago
   TriggeredBy: ● pcscd.socket
           Docs: man:pcscd(8)
       Main PID: 3772184 (pcscd)
          Tasks: 12 (limit: 38201)
         Memory: 8.2M
            CPU: 1min 8.067s
         CGroup: /system.slice/pcscd.service
                 └─3772184 /usr/sbin/pcscd --foreground --auto-exit
   
   ● pcscd.socket - PC/SC Smart Card Daemon Activation Socket
         Loaded: loaded (/usr/lib/systemd/system/pcscd.socket; enabled;
   vendor preset: enabled)
         Active: active (running) since Fri 2021-09-24 11:05:04 CEST; 2
   weeks 6 days ago
       Triggers: ● pcscd.service
         Listen: /run/pcscd/pcscd.comm (Stream)
         CGroup: /system.slice/pcscd.socket

   Copy to Clipboard Toggle word wrap

3. p11-kit list-modules 명령을 사용하여 스마트 카드에 구성된 스마트 카드 및 토큰에 대한 정보를 표시합니다.

   $ p11-kit list-modules
   p11-kit-trust: p11-kit-trust.so
   [...]
   opensc: opensc-pkcs11.so
       library-description: OpenSC smartcard framework
       library-manufacturer: OpenSC Project
       library-version: 0.20
       token: MyEID (sctest)
           manufacturer: Aventra Ltd.
           model: PKCS#15
           serial-number: 8185043840990797
           firmware-version: 40.1
           flags:
                  rng
                  login-required
                  user-pin-initialized
                  token-initialized

   Copy to Clipboard Toggle word wrap

4. 스마트 카드의 콘텐츠에 액세스할 수 있는지 확인합니다.

   $ pkcs11-tool --list-objects --login
   Using slot 0 with a present token (0x0)
   Logging in to "MyEID (sctest)".
   Please enter User PIN:
   Private Key Object; RSA
     label:      Certificate
     ID:         01
     Usage:      sign
     Access:     sensitive
   Public Key Object; RSA 2048 bits
     label:      Public Key
     ID:         01
     Usage:      verify
     Access:     none
   Certificate Object; type = X.509 cert
     label:      Certificate
     subject:    DN: O=IDM.EXAMPLE.COM, CN=idmuser1
     ID:         01

   Copy to Clipboard Toggle word wrap

5. certutil 명령을 사용하여 스마트 카드에 인증서 내용을 표시합니다.

   1. 다음 명령을 실행하여 인증서의 올바른 이름을 확인합니다.

      $ certutil -d /etc/pki/nssdb -L -h all
      
      Certificate Nickname                                         Trust Attributes
                                                                   SSL,S/MIME,JAR/XPI
      
      Enter Password or Pin for "MyEID (sctest)":
      Smart Card CA 0f5019a8-7e65-46a1-afe5-8e17c256ae00           CT,C,C
      MyEID (sctest):Certificate                                   u,u,u

      Copy to Clipboard Toggle word wrap

   2. 스마트 카드의 인증서 내용을 표시합니다.

      참고

      인증서 이름이 이전 단계에 표시된 출력에 대한 정확한 일치 항목인지 확인합니다(이 예에서는 MyEID(sctest):Certificate ).

      $ certutil -d /etc/pki/nssdb -L -n "MyEID (sctest):Certificate"
      
      Enter Password or Pin for "MyEID (sctest)":
      Certificate:
          Data:
              Version: 3 (0x2)
              Serial Number: 15 (0xf)
              Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
              Issuer: "CN=Certificate Authority,O=IDM.EXAMPLE.COM"
              Validity:
                  Not Before: Thu Sep 30 14:01:41 2021
                  Not After : Sun Oct 01 14:01:41 2023
              Subject: "CN=idmuser1,O=IDM.EXAMPLE.COM"
              Subject Public Key Info:
                  Public Key Algorithm: PKCS #1 RSA Encryption
                  RSA Public Key:
                      Modulus:
                          [...]
                      Exponent: 65537 (0x10001)
              Signed Extensions:
                  Name: Certificate Authority Key Identifier
                  Key ID:
                      e2:27:56:0d:2f:f5:f2:72:ce:de:37:20:44:8f:18:7f:
                      2f:56:f9:1a
      
                  Name: Authority Information Access
                  Method: PKIX Online Certificate Status Protocol
                  Location:
                      URI: "http://ipa-ca.idm.example.com/ca/ocsp"
      
                  Name: Certificate Key Usage
                  Critical: True
                  Usages: Digital Signature
                          Non-Repudiation
                          Key Encipherment
                          Data Encipherment
      
                  Name: Extended Key Usage
                      TLS Web Server Authentication Certificate
                      TLS Web Client Authentication Certificate
      
                  Name: CRL Distribution Points
                  Distribution point:
                      URI: "http://ipa-ca.idm.example.com/ipa/crl/MasterCRL.bin"
                      CRL issuer:
                          Directory Name: "CN=Certificate Authority,O=ipaca"
      
                  Name: Certificate Subject Key ID
                  Data:
                      43:23:9f:c1:cf:b1:9f:51:18:be:05:b5:44:dc:e6:ab:
                      be:07:1f:36
      
          Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption
          Signature:
              [...]
          Fingerprint (SHA-256):
              6A:F9:64:F7:F2:A2:B5:04:88:27:6E:B8:53:3E:44:3E:F5:75:85:91:34:ED:48:A8:0D:F0:31:5D:7B:C9:E0:EC
          Fingerprint (SHA1):
              B4:9A:59:9F:1C:A8:5D:0E:C1:A2:41:EC:FD:43:E0:80:5F:63:DF:29
      
          Mozilla-CA-Policy: false (attribute missing)
          Certificate Trust Flags:
              SSL Flags:
                  User
              Email Flags:
                  User
              Object Signing Flags:
                  User

      Copy to Clipboard Toggle word wrap

절차

1. su 를 사용하여 스마트 카드로 인증할 수 있는지 확인하십시오.

   $ su - idmuser1 -c ‘su - idmuser1 -c whoami’
   PIN for MyEID (sctest):
   idmuser1

   Copy to Clipboard Toggle word wrap

   스마트 카드 PIN을 입력하라는 메시지가 표시되지 않고 암호 프롬프트 또는 권한 부여 오류가 반환되는 경우 SSSD 로그를 확인합니다. SSSD 로그인 에 대한 자세한 내용은 IdM의 SSSD로 인증 문제 해결을 참조하십시오. 다음은 인증 오류의 예입니다.

   $ su - idmuser1 -c ‘su - idmuser1 -c whoami’
   PIN for MyEID (sctest):
   su: Authentication failure

   Copy to Clipboard Toggle word wrap

   SSSD 로그가 다음과 유사한 KnativeServing 5_h iera 에서 문제를 나타내는 경우 CA 인증서에 문제가 있을 수 있습니다. 인증서 문제를 해결하려면 IdM Kerberosmtls에서 Pkinit를 사용할 수 있고 CA 인증서가 올바르게 위치하는지 확인합니다.

   [Pre-authentication failed: Failed to verify own certificate (depth 0): unable to get local issuer certificate: could not load the shared library]

   Copy to Clipboard Toggle word wrap

   SSSD 로그에서 p11_octets 또는octets 5_ octets 로부터 시간 초과를 나타내는 경우 SSSD 시간 제한을 늘리고 스마트 카드로 다시 인증해야 할 수 있습니다. 시간 제한을 늘리는 방법에 대한 자세한 내용은 SSSD 시간 초과를 참조하십시오.

2. GDM 스마트 카드 인증 구성이 올바른지 확인합니다. 다음과 같이 PAM 인증에 대한 성공 메시지를 반환해야 합니다.

   # sssctl user-checks -s gdm-smartcard "idmuser1" -a auth
   user: idmuser1
   action: auth
   service: gdm-smartcard
   
   SSSD nss user lookup result:
    - user name: idmuser1
    - user id: 603200210
    - group id: 603200210
    - gecos: idm user1
    - home directory: /home/idmuser1
    - shell: /bin/sh
   
   SSSD InfoPipe user lookup result:
    - name: idmuser1
    - uidNumber: 603200210
    - gidNumber: 603200210
    - gecos: idm user1
    - homeDirectory: /home/idmuser1
    - loginShell: /bin/sh
   
   testing pam_authenticate
   
   PIN for MyEID (sctest)
   pam_authenticate for user [idmuser1]: Success
   
   PAM Environment:
    - PKCS11_LOGIN_TOKEN_NAME=MyEID (sctest)
    - KRB5CCNAME=KCM:

   Copy to Clipboard Toggle word wrap

   다음과 유사한 인증 오류가 반환되면 SSSD 로그를 확인하여 문제의 원인이 되는 항목을 확인합니다. SSSD 로그인 에 대한 자세한 내용은 IdM의 SSSD로 인증 문제 해결을 참조하십시오.

   pam_authenticate for user [idmuser1]: Authentication failure
   
   PAM Environment:
    - no env -

   Copy to Clipboard Toggle word wrap

   PAM 인증이 계속 실패하면 캐시를 지우고 명령을 다시 실행합니다.

   # sssctl cache-remove
   SSSD must not be running. Stop SSSD now? (yes/no) [yes] yes
   Creating backup of local data…
   Removing cache files…
   SSSD needs to be running. Start SSSD now? (yes/no) [yes] yes

   Copy to Clipboard Toggle word wrap

절차

1. kinit 유틸리티를 실행하여 스마트 카드에 저장된 인증서를 사용하여 idmuser1 로 인증합니다.

   $ kinit -X X509_user_identity=PKCS11: idmuser1
   MyEID (sctest)                   PIN:

   Copy to Clipboard Toggle word wrap
2. 스마트 카드 Pin을 입력합니다. Pin을 묻지 않은 경우 스마트 카드 리더를 감지하고 스마트 카드의 내용을 표시할 수 있는지 확인하십시오. 스마트 카드 인증 테스트를 참조하십시오.

3. PIN이 수락되고 암호를 입력하라는 메시지가 표시되면 CA 서명 인증서가 누락되었을 수 있습니다.

   1. openssl 명령을 사용하여 CA 체인이 기본 인증서 번들 파일에 나열되어 있는지 확인합니다.

      $ openssl crl2pkcs7 -nocrl -certfile /var/lib/ipa-client/pki/ca-bundle.pem | openssl pkcs7 -print_certs -noout
      subject=O = IDM.EXAMPLE.COM, CN = Certificate Authority
      
      issuer=O = IDM.EXAMPLE.COM, CN = Certificate Authority

      Copy to Clipboard Toggle word wrap

   2. 인증서의 유효성을 확인합니다.

      1. idmuser1 의 사용자 인증 인증서 ID를 찾습니다.

         $ pkcs11-tool --list-objects --login
         [...]
         Certificate Object; type = X.509 cert
           label:      Certificate
           subject:    DN: O=IDM.EXAMPLE.COM, CN=idmuser1
          ID: 01

         Copy to Clipboard Toggle word wrap

      2. DER 형식의 스마트 카드에서 사용자 인증서 정보를 읽습니다.

         $ pkcs11-tool --read-object --id 01 --type cert --output-file cert.der
         Using slot 0 with a present token (0x0)

         Copy to Clipboard Toggle word wrap

      3. DER 인증서를 PEM 형식으로 변환합니다.

         $ openssl x509 -in cert.der -inform DER -out cert.pem -outform PEM

         Copy to Clipboard Toggle word wrap

      4. 인증서에 CA까지 유효한 발행자 서명이 있는지 확인합니다.

         $ openssl verify -CAfile /var/lib/ipa-client/pki/ca-bundle.pem <path>/cert.pem
         cert.pem: OK

         Copy to Clipboard Toggle word wrap

4. 스마트 카드에 여러 인증서가 포함된 경우 kinit 에서 인증을 위해 올바른 인증서를 선택하지 못할 수 있습니다. 이 경우 certid=<ID> 옵션을 사용하여 kinit 명령에 대한 인수로 인증서 ID를 지정해야 합니다.

   1. 스마트 카드에 저장된 인증서 수를 확인하고 사용 중인 인증서의 인증서 ID를 가져옵니다.

      $ pkcs11-tool --list-objects --type cert --login
      Using slot 0 with a present token (0x0)
      Logging in to "MyEID (sctest)".
      Please enter User PIN:
      Certificate Object; type = X.509 cert
        label:      Certificate
        subject:    DN: O=IDM.EXAMPLE.COM, CN=idmuser1
        ID:         01
      Certificate Object; type = X.509 cert
        label:      Second certificate
        subject:    DN: O=IDM.EXAMPLE.COM, CN=ipauser1
        ID:         02

      Copy to Clipboard Toggle word wrap

   2. 인증서 ID 01을 사용하여 kinit 를 실행합니다.

      $ kinit -X kinit -X X509_user_identity=PKCS11:certid=01 idmuser1
      MyEID (sctest)                   PIN:

      Copy to Clipboard Toggle word wrap

5. klist 를 실행하여 Kerberos 인증 정보 캐시의 내용을 확인합니다.

   $ klist
   Ticket cache: KCM:0:11485
   Default principal: idmuser1@EXAMPLE.COM
   
   Valid starting       Expires              Service principal
   10/04/2021 10:50:04  10/05/2021 10:49:55  krbtgt/EXAMPLE.COM@EXAMPLE.COM

   Copy to Clipboard Toggle word wrap

6. 완료되면 활성 Kerberos 티켓을 삭제합니다.

   $ kdestroy -A

   Copy to Clipboard Toggle word wrap

절차

1. IdM 클라이언트에서 sssd.conf 파일을 엽니다.

   # vim /etc/sssd/sssd.conf

   Copy to Clipboard Toggle word wrap

2. 도메인 섹션에서 [domain/idm.example.com] 과 같이 다음 옵션을 추가합니다.

   krb5_auth_timeout = 60

   Copy to Clipboard Toggle word wrap

3. [pam] 섹션에서 다음을 추가합니다.

   p11_child_timeout = 60

   Copy to Clipboard Toggle word wrap

4. SSSD 캐시를 지웁니다.

   # sssctl cache-remove
   SSSD must not be running. Stop SSSD now? (yes/no) [yes] yes
   Creating backup of local data…
   Removing cache files…
   SSSD needs to be running. Start SSSD now? (yes/no) [yes] yes

   Copy to Clipboard Toggle word wrap