Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

B.4.4. タイムアウトのエラーメッセージでスマートカード認証が失敗する

sssd_pam.log ファイルおよび sssd_EXAMPLE.COM. log ファイルには、以下のようなタイムアウトエラーメッセージが含まれます。
Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000):
Setting up signal handler up for pid [12370]
(Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Signal
handler set up for pid [12370]
(Wed Jun 14 18:24:08 2017) [sssd[pam]] [pam_initgr_cache_remove] (0x2000):
[idmeng] removed from PAM initgroup cache
(Wed Jun 14 18:24:13 2017) [sssd[pam]] [p11_child_timeout] (0x0020): Timeout
reached for p11_child.
(Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_forwarder_cert_cb] (0x0040):
get_cert request failed.
(Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_reply] (0x0200): pam_reply called
with result [4]: System error.

エラー内容:

転送されたスマートカードリーダーまたは Online Certificate Status Protocol(OCSP)を使用する場合は、スマートカードで認証できるようにユーザーが特定のデフォルト値を調整する必要がある場合があります。

解決方法:

ユーザーと、ユーザーを認証するクライアントで、/etc/sssd/sssd.conf ファイルで以下の変更を加えます。
  1. [pam] セクションで、p 11_child_timeout の値を 60 秒に増やします。
  2. [domain/EXAMPLE.COM] セクションで、krb 5_auth_timeout の値を 60 秒に増やします。
  3. 証明書で OCSP を使用している場合は、OCSP サーバーに到達できることを確認します。OCSP サーバーを直接到達できない場合は、以下のオプションを /etc/sssd/sssd.conf に追加してプロキシー OCSP サーバーを設定します。
    certificate_verification = ocsp_default_responder=http://ocsp.proxy.url,
    ocsp_default_responder_signing_cert=nickname
    nickname は /etc/pki/nssdb/ ディレクトリーの OCSP 署名証明書のニックネームに置き換えます。
    これらのオプションの詳細は、sssd.conf(5) の man ページを参照してください。