第 9 章 使用带有智能卡的 PKINIT，以活动目录用户身份进行身份验证

步骤

1. 将 Kerberos 客户端配置为信任签发智能卡证书的 CA：

   1. 在 IdM 客户端上，打开 /etc/krb5.conf 文件。

   2. 在文件中添加以下行：

      [realms]
        AD.DOMAIN.COM = {
          pkinit_eku_checking = kpServerAuth
          pkinit_kdc_hostname = adserver.ad.domain.com
        }

2. 如果用户证书不包含证书撤销列表(CRL)分布点扩展，请将 AD 配置为忽略撤销错误：

   1. 在纯文本文件中保存以下 REG 格式的内容，并将其导入到 Windows registry：

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc]
      "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors"=dword:00000001
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Kerberos\Parameters]
      "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors"=dword:00000001

      或者，您可以使用 regedit.exe 应用程序手动设置值。

   2. 重启 Windows 系统以应用更改。

3. 在身份管理客户端中使用 kinit 工具进行身份验证。使用用户名和域名指定 Active Directory 用户：

   $ kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' ad_user@AD.DOMAIN.COM

   X 选项指定 opensc-pkcs11.so 模块 作为 pre-authentication 属性。