Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

23.3. スマートカードを使用した Identity Management クライアントに対する認証

Identity Management サーバーに複数のロールアカウントを持つ Identity Management ユーザーとして、Identity Management ドメインに参加しているデスクトップクライアントシステムにスマートカードで認証できます。これにより、選択したロールとしてクライアントシステムを使用できます。
サポートされているオプションの基本的な概要は、以下を参照してください。
認証を有効にするために環境を設定する方法は、以下を参照してください。
認証方法の詳細は、以下を参照してください。

23.3.1. Identity Management クライアントでサポートされるスマートカードベースの認証オプション

Identity Management のユーザーは、Identity Management クライアントでスマートカードを使用して認証する場合には、以下のオプションを使用できます。
ローカル認証
ローカル認証には、以下を使用した認証が含まれます。
  • テキストコンソール
  • Gnome Display Manager(GDM)などのグラフィカルコンソール
  • susudoなどのローカル認証サービス
sshでのリモート認証
スマートカードの証明書は、PIN で保護される SSH 秘密鍵と合わせて保存されます。
FTP などの他のサービスを使用したスマートカードベースの認証はサポートされていません。

23.3.2. スマートカード認証用の Identity Management クライアントの準備

Identity Management 管理者は、以下の手順を実行します。
  1. サーバーで、クライアントを設定するシェルスクリプトを作成します。
    1. ipa-advise config-client-for-smart-card-auth コマンドを使用して、その出力をファイルに保存します。 
      # ipa-advise config-client-for-smart-card-auth > client_smart_card_script.sh
    2. スクリプトファイルを開き、そのコンテンツを確認します。
    3. chmod ユーティリティーを使用して、実行パーミッションをファイルに追加します。 
      # chmod +x client_smart_card_script.sh
  2. スクリプトをクライアントにコピーし、これを実行します。スマートカード証明書に署名した認証局(CA)で PEM ファイルへのパスを追加します。 
    # ./client_smart_card_script.sh CA_cert.pem
また、スマートカードで外部認証局(CA)が証明書を署名した場合は、スマートカード CA を信頼できる CA として追加します。
  1. Identity Management サーバーで、CA 証明書をインストールします。 
    # ipa-cacert-manage -n "SmartCard CA" -t CT,C,C install ca.pem
# ipa-certupdate
    ipa-certupdate もすべてのレプリカおよびクライアントで繰り返します。
  2. HTTP サーバーを再起動します。 
    # systemctl restart httpd
    すべてのレプリカでも、systemctl restart httpd を繰り返します。
注記
SSSD を使用すると、管理者は、証明書に定義された Online Certificate Status Protocol(OCSP)サーバーがクライアントから到達できない場合など、certificate_verification パラメーターを使用して証明書の検証プロセスを調整できます。詳細は sssd.conf(5) の man ページを参照してください。

23.3.3. コンソールログインを使用したスマートカードを使用した Identity Management クライアントでの認証

Identity Management ユーザーとして認証するには、ユーザー名と PIN を入力します。
  • コマンドラインからログインする場合は、以下を行います。 
    client login: idm_user
PIN for PIV Card Holder pin (PIV_II) for user idm_user@idm.example.com:
  • Gnome Desktop Manager(GDM)を使用してログインする場合には、必要なユーザーを選択したら GDM により、スマートカードの PIN の入力が求められます。

    図23.13 Gnome Desktop Manager でのスマートカード PIN の入力

    Gnome Desktop Manager でのスマートカード PIN の入力
Active Directory ユーザーとして認証するには、NetBIOS ドメイン名 (AD.EXAMPLE.COM\ad_user または )を使用する形式でユーザー名を入力します。
「スマートカード認証の失敗の調査」

23.3.4. ローカルシステムからのリモートシステムに対する認証

ローカルシステムで以下の手順を実行します。
  1. スマートカードを挿入します。
  2. ssh を起動し、-I オプションで PKCS#11 ライブラリーを指定します。
    • Identity Management ユーザーとして、以下を実行します。 
      $ ssh -I /usr/lib64/opensc-pkcs11.so -l idm_user server.idm.example.com

Enter PIN for 'PIV_II (PIV Card Holder pin)':
Last login: Thu Apr  6 12:49:32 2017 from 10.36.116.42
    • Active Directory ユーザーとして以下を実行します。 
      $ ssh -I /usr/lib64/opensc-pkcs11.so -l ad_user@ad.example.com server.idm.example.com

Enter PIN for 'PIV_II (PIV Card Holder pin)':
Last login: Thu Apr  6 12:49:32 2017 from 10.36.116.42
  3. 任意です。id ユーティリティーを使用し、所定のユーザーとしてログインしていることを確認します。
    • Identity Management ユーザーとして、以下を実行します。 
      $ id
uid=1928200001(idm_user) gid=1928200001(idm_user) groups=1928200001(idm_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
    • Active Directory ユーザーとして以下を実行します。 
      $ id
uid=1171201116(ad_user@ad.example.com) gid=1171201116(ad_user@ad.example.com) groups=1171201116(ad_user@ad.example.com),1171200513(domain users@ad.example.com) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
「スマートカード認証の失敗の調査」

23.3.5. 関連情報

このページには機械翻訳が使用されている場合があります (詳細はこちら)。