第 9 章 使用带有智能卡的 PKINIT，以活动目录用户身份进行身份验证

流程

1. 将 Kerberos 客户端配置为信任签发智能卡证书的 CA：

   1. 在 IdM 客户端上，打开 /etc/krb5.conf 文件。

   2. 在文件中添加以下行：

      [realms]
        AD.DOMAIN.COM = {
          pkinit_eku_checking = kpServerAuth
          pkinit_kdc_hostname = adserver.ad.domain.com
        }

      Copy to Clipboard Toggle word wrap

2. 如果用户证书不包含证书撤销列表(CRL)分布点扩展，请将 AD 配置为忽略撤销错误：

   1. 将以下 REG 格式的内容保存在一个纯文本文件中，并将其导入到 Windows 注册表：

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc]
      "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors"=dword:00000001
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Kerberos\Parameters]
      "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors"=dword:00000001

      Copy to Clipboard Toggle word wrap

      或者，您可以使用 regedit.exe 应用程序手动设置值。

   2. 重启 Windows 系统以应用更改。

3. 在身份管理客户端上使用 kinit 工具进行身份验证。使用用户名和域名指定活动目录用户：

   $ kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' ad_user@AD.DOMAIN.COM

   Copy to Clipboard Toggle word wrap

   -X 选项将 opensc-pkcs11.so 模块 指定为预身份验证属性。