23.2. スマートカードで Identity Management クライアントへ認証する方法

Identity Management サーバーで複数のロールアカウントが指定された Identity Management ユーザーとして、スマートカードを使用して、Identity Management ドメインに参加するデスクトップクライアントシステムに対して認証を行うことができます。
サポートされているオプションの基本的な概要については、以下を参照してください。
認証が有効な環境を設定するための情報は、以下を参照してください。
認証方法に関する情報は、以下を参照してください。

23.2.1. Identity Management クライアントでサポートされるスマートカード認証オプション

Identity Management のユーザーは、Identity Management クライアントでスマートカードを使用して認証する際に、以下のオプションを使用できます。
ローカル認証
ローカル認証には、以下を使用した認証が含まれます。
  • テキストコンソール
  • Gnome Display Manager (GDM) などのグラフィカルコンソール
  • su または sudo などのローカル認証サービス
ssh でのリモート認証
スマートカードの証明書は、PIN で保護される SSH の秘密鍵と合わせて保存されます。
FTP などの他のサービスを使用するスマートカードベースの認証はサポートされていません。

23.2.2. スマートカード認証に向けた Identity Management の準備

Identity Management の管理者として、以下の手順を実行します。
  1. サーバーで、shell スクリプトを作成してクライアントを設定します。
    1. ipa-advise config-client-for-smart-card-auth コマンドを使用して出力をファイルに保存します。
      # ipa-advise config-client-for-smart-card-auth > client_smart_card_script.sh
    2. スクリプトファイルを開き、内容を確認します。
    3. chmod ユーティリティーを使用して実行パーミッションをファイルに追加します。
      # chmod +x client_smart_card_script.sh
  2. スクリプトをクライアントにコピーして実行します。スマートカード証明書を署名した認証局 (CA) を含む PEM ファイルへのパスを追加します。
    # ./client_smart_card_script.sh CA_cert.pem
さらに、外部の証明局 (CA) がスマートカードの証明書を署名した場合に、スマートカード CA を信頼された CA として追加します。
  1. Identity Management サーバーで CA 証明書をインストールします。
    # ipa-cacert-manage -n "SmartCard CA" -t CT,C,C install ca.pem
    # ipa-certupdate
    すべてのレプリカおよびクライアントでも ipa-certupdate を繰り返します。
  2. HTTP サーバーを再起動します。
    # systemctl restart httpd
    すべてのレプリカでも systemctl restart httpd を実行します。

注記

SSSD では、管理者は certificate_verification パラメーターで証明書の検証プロセスを調節できます。たとえば、証明書に定義されている Online Certificate Status Protocol (OCSP) サーバーは、クライアントから到達できません。詳しい情報は sssd.conf(5) の man ページを参照してください。

23.2.3. コンソールログインを使用してスマートカードで Identity Management クライアントへ認証する方法

Identity Management ユーザーとして認証するには、ユーザー名と PIN を入力します。
  • コマンドラインからログインする場合:
    client login: idm_user
    PIN for PIV Card Holder pin (PIV_II) for user idm_user@idm.example.com:
  • Gnome Desktop Manager (GDM) を使用してログインすると、GDM により、所定のユーザー名を選択した後にスマートカードと PIN が求められます。
    Gnome Desktop Manager でのスマートカードの PIN の入力

    図23.3 Gnome Desktop Manager でのスマートカードの PIN の入力

Active Directory ユーザーとして認証するには、AD.EXAMPLE.COM\ad_user または ad_user@AD.EXAMPLE.COM など、NetBIOS ドメイン名を使用する形式でユーザー名を入力します。
認証が失敗した場合には、「スマートカード認証の失敗」を参照してください。

23.2.4. SSH を使用してスマートカードで Identity Management クライアントへ認証する方法

ssh ユーティリティーを使用する場合に、スマートカードのレンダリングモジュールへのパスを指定します。以下に例を示します。
$ ssh -I /usr/lib/libmypkcs11.so -l user@example.com host.example.com
Enter PIN for 'Smart Card':
認証が失敗した場合には、「スマートカード認証の失敗」を参照してください。

23.2.5. その他のリソース