Show Table of Contents
11.4. スマートカード用の Kerberos クライアントの設定
スマートカードは Kerberos との使用が可能ですが、スマートカード上で X.509 (SSL) ユーザー証明書を認識するための追加設定が必要になります。
- 他のクライアントパッケージと共に、必要となる PKI/OpenSSL パッケージをインストールします。
[root@server ~]# yum install krb5-pkinit [root@server ~]# yum install krb5-workstation krb5-libs
/etc/krb5.conf設定ファイルを編集し、公開鍵インフラストラクチャー (PKI) 用のパラメーターを設定ファイルの[realms]セクションに追加します。pkinit_anchorsパラメーターは CA 証明書バンドルファイルの場所を設定します。[realms] EXAMPLE.COM = { kdc = kdc.example.com.:88 admin_server = kdc.example.com default_domain = example.com ... pkinit_anchors = FILE:/usr/local/example.com.crt }- スマートカード認証 (
/etc/pam.d/smartcard-auth) およびシステム認証 (/etc/pam.d/system-auth) 用の PAM 設定に PKI モジュール情報を追加します。両ファイルに追加する行は、以下のようになります。auth optional pam_krb5.so use_first_pass no_subsequent_prompt preauth_options=X509_user_identity=PKCS11:/usr/lib64/pkcs11/opensc-pkcs11.so
OpenSC モジュールが予想どおりに動作しない場合、coolkey パッケージのモジュール/usr/lib64/pkcs11/libcoolkeypk11.soを使用します。この場合、この問題について Red Hat テクニカルサポートへ問い合わせるか、Bugzilla に報告することを検討してください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.