Chapitre 7. Configuration de la gestion des identités pour l'authentification par carte à puce
La gestion des identités (IdM) prend en charge l'authentification par carte à puce avec :
- Certificats d'utilisateur délivrés par l'autorité de certification IdM
- Certificats d'utilisateur délivrés par une autorité de certification externe
Cette histoire d'utilisateur montre comment configurer l'authentification par carte à puce dans IdM pour les deux types de certificats. Dans l'histoire de l'utilisateur, le certificat CA rootca.pem est le fichier contenant le certificat d'une autorité de certification externe de confiance.
Pour plus d'informations sur l'authentification par carte à puce dans IdM, voir Comprendre l'authentification par carte à puce.
L'histoire de l'utilisateur contient les modules suivants :
- Configuration du serveur IdM pour l'authentification par carte à puce
- Configuration du client IdM pour l'authentification par carte à puce
- Ajout d'un certificat à une entrée utilisateur dans l'interface Web IdM
- Ajout d'un certificat à une entrée utilisateur dans la CLI IdM
- Installation d'outils de gestion et d'utilisation des cartes à puce
- Stocker un certificat sur une carte à puce
- Connexion à l'IdM avec des cartes à puce
- Configuration de l'accès au GDM à l'aide de l'authentification par carte à puce
- Configuration de l'accès su à l'aide de l'authentification par carte à puce
7.1. Configuration du serveur IdM pour l'authentification par carte à puce
Si vous souhaitez activer l'authentification par carte à puce pour les utilisateurs dont les certificats ont été émis par l'autorité de certification (AC) du domaine <EXAMPLE.ORG> auquel votre AC de gestion des identités (IdM) fait confiance, vous devez obtenir les certificats suivants afin de pouvoir les ajouter lors de l'exécution du script ipa-advise qui configure le serveur IdM :
- Le certificat de l'autorité de certification racine qui a délivré le certificat pour l'autorité de certification <EXAMPLE.ORG> directement ou par l'intermédiaire d'une ou de plusieurs de ses autorités de certification secondaires. Vous pouvez télécharger la chaîne de certificats à partir d'une page web dont le certificat a été délivré par l'autorité. Pour plus de détails, voir les étapes 1 à 4a de la section Configuration d'un navigateur pour activer l'authentification par certificat.
-
Le certificat de l'autorité de certification IdM. Vous pouvez obtenir le certificat de l'autorité de certification à partir du fichier
/etc/ipa/ca.crtdu serveur IdM sur lequel tourne une instance de l'autorité de certification IdM. - Les certificats de toutes les autorités de certification intermédiaires, c'est-à-dire intermédiaires entre l'autorité de certification <EXAMPLE.ORG> et l'autorité de certification IdM.
Pour configurer un serveur IdM pour l'authentification par carte à puce :
- Obtenir les fichiers contenant les certificats de l'autorité de certification au format PEM.
-
Exécutez le script intégré
ipa-advise. - Recharger la configuration du système.
Conditions préalables
- Vous avez un accès root au serveur IdM.
- Vous disposez du certificat de l'autorité de certification racine et de tous les certificats des autorités de certification intermédiaires.
Procédure
Créez un répertoire dans lequel vous effectuerez la configuration :
[root@server]# mkdir ~/SmartCard/Naviguez jusqu'au répertoire :
[root@server]# cd ~/SmartCard/Obtenez les certificats d'autorité de certification pertinents stockés dans des fichiers au format PEM. Si votre certificat d'autorité de certification est stocké dans un fichier d'un format différent, tel que DER, convertissez-le au format PEM. Le certificat de l'autorité de certification IdM est au format PEM et se trouve dans le fichier
/etc/ipa/ca.crt.Convertit un fichier DER en fichier PEM :
# openssl x509 -in <filename>.der -inform DER -out <filename>.pem -outform PEM
Pour plus de commodité, copiez les certificats dans le répertoire dans lequel vous souhaitez effectuer la configuration :
[root@server SmartCard]# cp /tmp/rootca.pem ~/SmartCard/ [root@server SmartCard]# cp /tmp/subca.pem ~/SmartCard/ [root@server SmartCard]# cp /tmp/issuingca.pem ~/SmartCard/
En option, si vous utilisez des certificats d'autorités de certification externes, utilisez l'utilitaire
openssl x509pour visualiser le contenu des fichiers au formatPEMet vérifier que les valeursIssueretSubjectsont correctes :[root@server SmartCard]# openssl x509 -noout -text -in rootca.pem | moreGénérer un script de configuration avec l'utilitaire intégré
ipa-advise, en utilisant les privilèges de l'administrateur :[root@server SmartCard]# kinit admin [root@server SmartCard]# ipa-advise config-server-for-smart-card-auth > config-server-for-smart-card-auth.sh
Le script
config-server-for-smart-card-auth.sheffectue les actions suivantes :- Il configure le serveur HTTP Apache de l'IdM.
- Il active la cryptographie à clé publique pour l'authentification initiale dans Kerberos (PKINIT) sur le centre de distribution de clés (KDC).
- Il configure l'interface Web IdM pour qu'elle accepte les demandes d'autorisation de carte à puce.
Exécutez le script en ajoutant les fichiers PEM contenant les certificats de l'autorité de certification racine et de l'autorité de certification secondaire en tant qu'arguments :
[root@server SmartCard]# chmod +x config-server-for-smart-card-auth.sh [root@server SmartCard]# ./config-server-for-smart-card-auth.sh rootca.pem subca.pem issuingca.pem Ticket cache:KEYRING:persistent:0:0 Default principal: admin@IDM.EXAMPLE.COM [...] Systemwide CA database updated. The ipa-certupdate command was successful
NoteAssurez-vous que vous ajoutez le certificat de l'autorité de certification racine en tant qu'argument avant tout certificat d'autorité de certification secondaire et que les certificats de l'autorité de certification ou de l'autorité de certification secondaire n'ont pas expiré.
En option, si l'autorité de certification qui a émis le certificat utilisateur ne fournit pas de répondeur OCSP (Online Certificate Status Protocol), il peut être nécessaire de désactiver la vérification OCSP pour l'authentification à l'IdM Web UI :
Définissez le paramètre
SSLOCSPEnableàoffdans le fichier/etc/httpd/conf.d/ssl.conf:SSLOCSPEnable offRedémarrez le démon Apache (httpd) pour que les modifications prennent effet immédiatement :
[root@server SmartCard]# systemctl restart httpd
AvertissementNe désactivez pas le contrôle OCSP si vous n'utilisez que des certificats d'utilisateur émis par l'autorité de certification IdM. Les répondeurs OCSP font partie de l'IdM.
Pour savoir comment maintenir la vérification OCSP activée, tout en empêchant un certificat d'utilisateur d'être rejeté par le serveur IdM s'il ne contient pas les informations relatives à l'emplacement où l'autorité de certification qui a délivré le certificat d'utilisateur écoute les demandes de service OCSP, voir la directive
SSLOCSPDefaultResponderdans les options de configuration de Apache mod_ssl.
Le serveur est maintenant configuré pour l'authentification par carte à puce.
Pour activer l'authentification par carte à puce dans l'ensemble de la topologie, exécutez la procédure sur chaque serveur IdM.