Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

23.4. スマートカード認証用のユーザー名 Hint ポリシーの設定

Identity Management 管理者は、複数のアカウントにリンクしたスマートカードの ユーザー名ヒント ポリシーを設定できます。

23.4.1. Identity Management のユーザー名ヒント

ユーザー名ヒントポリシーは、スマートカードユーザーにユーザー名を要求するように Identity Management を設定します。ユーザーが、Identity Management の複数のユーザーアカウントに一致するスマートカード証明書で認証を試みると、以下のいずれかが発生します。
  • ユーザー名のヒントポリシーを有効にすると、ユーザーにはユーザー名の入力が求められ、認証に進むことができます。
  • ユーザー名のヒントポリシーが無効になっていると、認証情報を要求せずに認証に失敗します。
Identity Management は、ユーザー名を求めずに、デフォルトでスマートカード PIN を要求するアプリケーションにユーザー名ヒントを追加します。Red Hat Enterprise Linux では、現在 Gnome Desktop Manager(GDM) ログインのみが対象になります。

図23.14 Gnome Desktop Manager のユーザー名ヒント

Gnome Desktop Manager のユーザー名ヒント
Identity Management は、デフォルトでユーザー名を尋ねるアプリケーションにユーザー名ヒントを追加しません。以下に例を示します。
  • GUI は常に Username フィールドを表示するため、Identity Management の Web UI 認証
  • ssh は、-l オプションまたは username@host 形式で提供された現在のユーザーのログイン名または名前を使用するため、ssh 認証
  • コンソール認証。ログイン名は常に指定されます。
このような状況では、複数のユーザーに一致する証明書を使用した認証が常に許可されます。

23.4.2. Identity Management での User Name Hints の有効化

Identity Management 管理者は、ユーザー名ヒントポリシーを一元的に設定します。このポリシーは、Identity Management ドメインに登録されている全ホストに適用されます。
Identity Management システムで以下の手順を実行します。

コマンドライン: Identity Management での User Name Hints の有効化

  1. Identity Management 管理者としてログインします。
    $ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  2. --promptusername=True オプションを指定して ipa certmapconfig-mod コマンドを使用して、ユーザー名ヒントを有効にします。
    $ ipa certmapconfig-mod --promptusername=TRUE
    Prompt for the username: TRUE
    ユーザー名のヒントを無効にするには、--promptusername=False オプションを使用します。

Web UI: Identity Management での User Name Hints の有効化

  1. AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Global Configuration をクリックします。
  2. Prompt for the username を選択し、Save をクリックします。

    図23.15 Web UI でユーザー名ヒントの有効化

    Web UI でユーザー名ヒントの有効化

関連情報

  • ipa certmapconfig-mod コマンドの詳細は、--help オプションを指定して実行します。