Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.4. スマートカード用の Kerberos クライアントの設定

スマートカードは Kerberos との使用が可能ですが、スマートカード上で X.509 (SSL) ユーザー証明書を認識するための追加設定が必要になります。
  1. 他のクライアントパッケージと共に、必要な PKI/OpenSSL パッケージをインストールします。
    [root@server ~]# yum install krb5-pkinit
    [root@server ~]# yum install krb5-workstation krb5-libs
  2. /etc/krb5.conf 設定ファイルを編集して、公開鍵インフラストラクチャー(PKI)のパラメーターを設定の [realms] セクションに追加します。pkinit_anchors パラメーターは CA 証明書バンドルファイルの場所を設定します。
    [realms]
      EXAMPLE.COM = {
        kdc = kdc.example.com.:88
        admin_server = kdc.example.com
        default_domain = example.com
        ...
        pkinit_anchors = FILE:/usr/local/example.com.crt
     }
  3. スマートカード認証(/etc/pam.d/smartcard-auth)およびシステム認証(/etc/pam.d/system-auth)の両方の PAM 設定に PKI モジュール情報を追加します。両方のファイルに追加する行は、以下のとおりです。
    auth    optional    pam_krb5.so use_first_pass no_subsequent_prompt preauth_options=X509_user_identity=PKCS11:/usr/lib64/pkcs11/opensc-pkcs11.so
    OpenSC モジュールが想定どおりに動作しない場合は、coolkey パッケージのモジュール (/usr/lib64/pkcs11/libcoolkeypk11.so )を使用します。この場合は、Red Hat テクニカルサポートまたは問題に関する Bugzilla レポートの作成を検討してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。