支持控制台(Console)开发人员开始试用联系人

11.4. 为智能卡设置 Kerberos 客户端

智能卡可以和 Kerberos 一起使用,但它需要额外的配置才能识别智能卡上的 X.509(SSL)用户证书:
  1. 安装所需的 PKI/OpenSSL 软件包以及其他客户端软件包: 
    [root@server ~]# yum install krb5-pkinit
[root@server ~]# yum install krb5-workstation krb5-libs
  2. 编辑 /etc/krb5.conf 配置文件,将公钥基础架构(PKI)的参数添加到配置的 [realms] 部分。pkinit_anchors 参数设置 CA 证书捆绑包文件的位置。 
    [realms]
  EXAMPLE.COM = {
    kdc = kdc.example.com.:88
    admin_server = kdc.example.com
    default_domain = example.com
    ...
    pkinit_anchors = FILE:/usr/local/example.com.crt
 }
  3. 将 PKI 模块信息添加到用于智能卡验证的 PAM 配置(/etc/pam.d/smartcard-auth)和系统身份验证(/etc/pam.d/system-auth)。要添加到这两个文件中的行如下: 
    auth    optional    pam_krb5.so use_first_pass no_subsequent_prompt preauth_options=X509_user_identity=PKCS11:/usr/lib64/pkcs11/opensc-pkcs11.so
    如果 OpenSC 模块无法按预期工作,请使用 coolkey 软件包中的模块: /usr/lib64/pkcs11/libcoolkeypk11.so。在这种情况下,请考虑联系红帽技术支持或就该问题发布 Bugzilla 报告。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.