5.9. スマートカード認証

スマートカードは外部のハードウェアセキュリティー機能で、クレジットカードで最もよく見られますが、多くの企業で認証トークンとしても使用されています。Red Hat Virtualization 仮想マシンの保護には、スマートカードを使用できます。

スマートカードの有効化

  1. スマートカードハードウェアがクライアントマシンに接続され、製造元の指示に従ってインストールされていることを確認します。
  2. ComputeVirtual Machines をクリックし、仮想マシンを選択します。
  3. Edit をクリックします。
  4. Console タブをクリックし、Smartcard enabled チェックボックスをオンにします。
  5. OK をクリックします。
  6. Console ボタンをクリックして、実行中の仮想マシンに接続します。スマートカード認証がクライアントハードウェアから仮想マシンに渡されるようになりました。
重要

スマートカードハードウェアが正しくインストールされていない場合には、スマートカード機能を有効にすると、仮想マシンが正しく読み込まれなくなります。

スマートカードの無効化

  1. ComputeVirtual Machines をクリックし、仮想マシンを選択します。
  2. Edit をクリックします。
  3. コンソール タブをクリックし、スマートカードを有効にする チェックボックスをオフにします。
  4. OK をクリックします。

スマートカード共有用のクライアントシステムの設定

  • スマートカードは、証明書へのアクセスに特定のライブラリーが必要になる場合があります。これらのライブラリーは、NSS ライブラリーに表示される必要があります。この NSS ライブラリーは、spice-gtk を使用してゲストにスマートカードを渡します。NSS では、ライブラリーに PKCS#11 インターフェイスが含まれる必要があります。
  • モジュールアーキテクチャーが spice-gtk/remote-viewer アーキテクチャーと一致していることを確認してください。たとえば、使用可能な 32b PKCS#11 ライブラリーしかない場合には、スマートカードを機能させるには、virt-viewer の 32b ビルドをインストールする必要があります。

スマートカードをサポートするための RHEL クライアントの設定

Red Hat Enterprise Linux では、スマートカードをサポートします。Smart card support グループをインストールします。スマートカードサポートグループが Red Hat Enterprise Linux システムにインストールされている場合には、スマートカードが有効になると、スマートカードはゲストにリダイレクトされます。

  1. Smart card support グループをインストールするには、次のコマンドを実行します。 

    # dnf groupinstall "Smart card support"

他のスマートカードミドルウェアを使用した RHEL クライアントの設定

Red Hat Enterprise Linux は、システム全体のレジストリーである p11-kit の pkcs11 モジュールを提供するので、すべてのアプリケーションからアクセスできます。

  1. サードパーティーの PKCS#11 ライブラリーを p11-kit データベースに登録するには、root として次のコマンドを実行します。 

    # echo "module: /path/to/library.so" > /etc/pkcs11/modules/my.module

  2. このライブラリーを介してスマートカードが p11-kit に表示されていることを確認するには、次のコマンドを実行します。 

    $ p11-kit list-modules

Windows クライアントの設定

Red Hat では、Windows クライアントに対する PKCS#11 はサポートしません。PKCS#11 サポートを提供するライブラリーは、サードパーティーから入手する必要があります。

  1. このようなライブラリーを取得したら、次のコマンドを昇格特権のあるユーザーとして実行して、ライブラリーを登録します。 

    modutil -dbdir %PROGRAMDATA%\pki\nssdb -add "module name" -libfile C:_\Path\to\module_.dll