23.3. スマートカード認証のユーザー名ヒントのポリシー設定

Identity Management の管理者として、複数のアカウントにリンクされているスマートカードに ユーザー名のヒント ポリシーを設定することができます。

23.3.1. Identity Management でのユーザー名のヒント

ユーザー名ヒントポリシーでは、スマートカードユーザーにユーザー名を尋ねるように Identity Management を設定します。ユーザーが Identity Management の複数のユーザーアカウントに合致するスマートカード証明書で認証しようとすると、以下のいずれかが発生します。
  • ユーザー名ヒントポリシーが有効な場合には、ユーザーはユーザー名を求められ、認証に進むことができます。
  • ユーザー名品とポリシーが無効な場合には、プロンプトが表示されず、認証に失敗します。
Identity Management は、デフォルトでユーザー名を聞かずにスマートカードの PIN の入力を求めるアプリケーションにユーザー名ヒントを追加します。Red Hat Enterprise Linux では、現在 Gnome Desktop Manager (GDM) ログインのみで対応しています。
Gnome Desktop Manager でのユーザー名のヒント

図23.4 Gnome Desktop Manager でのユーザー名のヒント

Identity Management は、以下のようにデフォルトでユーザー名を確認するアプリケーションにはユーザー名のヒントを追加しません。
  • Identity Management の Web UI 認証。GUI で Username フィールドが常に表示されるため。
  • ssh 認証。ssh は現在のユーザーのログイン名または -l オプションや username@host 形式で指定される名前を使用するため。
  • コンソールの認証。ログイン名を常に指定するため。
このような場合に、複数のユーザーが合致する証明書での認証は常に許可されます。

23.3.2. Identity Management でのユーザー名ヒントの有効化

Identity Management の管理者は、ユーザー名ヒントのポリシーを集約的に設定します。ポリシーは、Identity Management に登録された全ホストに適用されます。
Identity Management システムで以下の手順を実行します。

コマンドライン: Identity Management でのユーザー名ヒントの有効化

  1. Identity Management の管理者としてログインします。
    $ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  2. --promptusername=True オプションを指定して ipa certmapconfig-mod コマンドを使用して、ユーザー名ヒントを有効にします。
    $ ipa certmapconfig-mod --promptusername=TRUE
    Prompt for the username: TRUE
    ユーザー名ヒントを無効にするには --promptusername=False オプションを使用します。

Web UI: Identity Management でのユーザー名ヒントの有効化

  1. AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Global Configuration をクリックします。
  2. Prompt for the username を選択し、Save をクリックします。
    Web UI でのユーザー名ヒントの有効化

    図23.5 Web UI でのユーザー名ヒントの有効化

関連資料

  • ipa certmapconfig-mod コマンドに関する詳細は、--help オプションを指定して実行します。