Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

23.6. スマートカードを使用して Identity Management Web UI への認証を行う方法

Identity Management サーバーで複数のロールアカウントが指定された Identity Management ユーザーとして、選択したロールでスマートカードを使用して、Identity Management Web UI に対して認証を行うことができます。このように、選択したロールで Web UI を使用できるようになります。

注記

Identity Management ユーザーのみが、スマートカードで Web UI にログイン できます。詳細は、「AD ユーザーとしての IdM Web UI への認証」を参照してください。
認証が有効な環境を設定するための情報は、以下を参照してください。
認証方法に関する情報は、以下を参照してください。

23.6.1. Web UI でのスマートカード認証に向けた Identity Management サーバーの準備

Identity Management の管理者として:
  1. Identity Management サーバーで、shell スクリプトを作成してサーバーを設定します。
    1. ipa-advise config-server-for-smart-card-auth コマンドを使用して出力をファイルに保存します。
      # ipa-advise config-server-for-smart-card-auth > server_smart_card_script.sh
    2. スクリプトファイルを開き、内容を確認します。
    3. chmod ユーティリティーを使用して実行パーミッションをファイルに追加します。
      # chmod +x server_smart_card_script.sh
  2. Identity Management ドメインの全サーバー上でスクリプトを実行します。
  3. sssd-dbus パッケージがインストールされていることを確認します。
さらに、外部の証明局 (CA) がスマートカードの証明書を署名した場合:
  1. Identity Management サーバーで、CA 証明書を、HTTP サーバーが使用する NSS データベースに追加します。
    # ipa-cacert-manage -n "SmartCard CA" -t CT,C,C install ca.pem
    # ipa-certupdate
    すべてのレプリカおよびクライアントでも ipa-certupdate を繰り返します。
  2. HTTP サーバーと Kerberos サーバーを再起動します。
    # systemctl restart httpd
    # systemctl restart krb5kdc
    すべてのレプリカでこのコマンドを繰り返し実行します。

23.6.2. スマートカード認証用のブラウザーの準備

スマートカード用にブラウザーを設定するには、Web UI にアクセスする Web ブラウザーを起動するクライアントで以下の手順を実行します。ブラウザーが実行されるシステムは、Identity Management ドメインに所属する必要はありません。以下の手順では、Firefox ブラウザーを使用します。
  1. Firefox を起動します。
  2. スマートカードから証明書が読み取られるように Firefox を設定します。
    1. EditPreferencesAdvancedCertificatesSecurity Devices を選択します。
      Firefox でのセキュリティーデバイスの設定

      図23.6 Firefox でのセキュリティーデバイスの設定

    2. Load をクリックします。Load PKCS#11 Device ウィンドウで以下の情報を入力します。
      • Module Name: OpenSC
      • Module filename: /usr/lib64/opensc-pkcs11.so
      Firefox のデバイスマネージャー

      図23.7 Firefox のデバイスマネージャー

    3. OK をクリックして確定してから、再度 OK をクリックしてデバイスマネージャーを終了します。
Firefox で、認証にスマートカード証明書が使用できるようになりました。

23.6.3. Identity Management ユーザーとしてスマートカードを使用して Identity Management Web UI への認証を行う方法

認証方法:
  1. スマートカードをスマートカードリーダーに挿入します。
  2. ブラウザーで Identity Management Web UI (https://ipaserver.example.com/ipa/ui) に移動します。
  3. スマートカード証明書が単一のユーザーアカウントにリンクされている場合には、Username フィールドには入力しないでください。
    スマートカード証明書が複数のユーザーアカウントにリンクされている場合には Username フィールドに入力して所定のアカウントにを指定します。
  4. Login Using Certificate をクリックします。
    Identity Management Web UI の Login Using Certificate

    図23.8 Identity Management Web UI の Login Using Certificate

  5. プロンプトが表示されたらスマートカードの情報を入力します。
    スマートカード PIN の入力

    図23.9 スマートカード PIN の入力

  6. 新しいウィンドウが開き、使用する証明書を提示するように求められます。スマートカード証明書を選択します。
    スマートカード証明書の選択

    図23.10 スマートカード証明書の選択

スマートカード証明書に対応するユーザーとして認証されました。

その他のリソース

23.6.4. その他のリソース

  • Identity Management の Web UI の詳細は「IdM Web UI」を参照してください。