Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

23.5.3. Active Directory ユーザーとしての - Identity Management クライアントでの PKINIT を使用した認証

前提条件

管理者は、Active Directory ユーザーの PKINIT 認証をサポートする環境を設定します。
  • Active Directory サーバーが、スマートカードの証明書を発行した認証局(CA)を信頼するように設定します。NTAuth ストア( Microsoft サポートを参照)で CA をインポートし、信頼される CA として CA を追加します。詳細は、Active Directory のドキュメントを参照してください。
  • スマートカード証明書を発行した CA を信頼するように Kerberos クライアントを設定します。
    1. Identity Management クライアントで /etc/krb5.conf ファイルを開きます。
    2. ファイルに以下の行を追加します。
      [libdefaults]
      [... file truncated ...]
       pkinit_eku_checking = kpServerAuth
       pkinit_kdc_hostname = adserver.ad.domain.com
  • ユーザー証明書に証明書失効リスト(CRL)の分散拡張が含まれていない場合は、Active Directory が失効エラーを無視するように設定します。
    1. 以下の REG 形式のコンテンツをプレーンテキストファイルに保存し、ファイルをダブルクリックして Windows レジストリーにインポートします。
      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc]
      "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors"=dword:00000001
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Kerberos\Parameters]
      "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors"=dword:00000001
      または、regedit.exe アプリケーションを使用して値を手動で設定します。
    2. Windows システムを再起動して変更を適用します。

手順

Identity Management クライアントで kinit ユーティリティーを使用して認証します。ユーザー名とドメイン名で Active Directory ユーザーを指定します。
$ kinit -X X509_user_identity='PKCS11:opensc-pkcs11.so' ad_user@AD.DOMAIN.COM
-X オプションは opensc-pkcs11.so モジュールを pre-authentication 属性として指定します。詳細は、kinit(1) の man ページを参照してください。