Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

20.16.8. 스마트 카드 장치

스마트 카드 요소를 통해 가상 스마트 카드 장치를 게스트 가상 머신에 제공할 수 있습니다. 호스트 머신의 USB 스마트 카드 판독기 장치는 호스트와 게스트 둘 다에서 사용할 수 없으므로 간단한 장치 패스스루가 있는 게스트에서 사용할 수 없으며 게스트에서 호스트 컴퓨터를 잠글 수 있습니다. 따라서 일부 하이퍼바이저는 게스트 가상 머신에 스마트 카드 인터페이스를 제공할 수 있는 특수 가상 장치를 제공하며, 호스트 시스템에서 자격 증명을 얻는 방법 또는 타사 스마트 카드 공급자가 생성한 채널을 설명할 수 있는 여러 가지 모드를 제공합니다. 문자 장치를 통해 USB 장치 리디렉션에 대한 매개 변수를 설정하려면 도메인 XML의 다음 섹션을 편집합니다.

그림 20.34. 장치 - 스마트 카드 장치


  ...
  <devices>
    <smartcard mode='host'/>
    <smartcard mode='host-certificates'>
      <certificate>cert1</certificate>
      <certificate>cert2</certificate>
      <certificate>cert3</certificate>
      <database>/etc/pki/nssdb/</database>
    </smartcard>
    <smartcard mode='passthrough' type='tcp'>
      <source mode='bind' host='127.0.0.1' service='2001'/>
      <protocol type='raw'/>
      <address type='ccid' controller='0' slot='0'/>
    </smartcard>
    <smartcard mode='passthrough' type='spicevmc'/>
  </devices>
  ...
스마트 카드 요소에는 필수 속성 모드가 있습니다. 다음 모드가 지원됩니다. 각 모드에서 게스트 가상 머신은 USB 버스에서 장치를 확인하여 물리적 USB CCID(Chip/Smart Card Interface Device) 카드처럼 작동합니다.
모드 속성은 다음과 같습니다.

표 20.16. 스마트 카드 모드 요소

매개변수설명
mode='host'이 모드에서 하이퍼바이저는 게스트 가상 머신에서 NSS를 통해 호스트 물리적 시스템의 스마트 카드로 모든 직접 액세스 요청을 릴레이합니다. 다른 속성이나 하위 요소가 필요하지 않습니다. 선택적 주소 하위 요소 사용에 대한 아래를 참조하십시오.
mode='host-certificates'이 모드를 사용하면 호스트 물리적 시스템에 스마트 카드를 연결할 필요 없이 호스트 물리적 시스템의 데이터베이스에 있는 세 개의 NSS 인증서 이름을 제공할 수 있습니다. 이러한 인증서는 certutil -d /etc/pki/nssdb -x -t CT,CT -S -s CN=cert1 -n cert1 명령을 사용하여 생성할 수 있으며 결과 세 개의 인증서 하위 요소 각각에 대한 콘텐츠로 결과 세 개의 인증서 이름을 제공해야 합니다. 추가 하위 요소 데이터베이스 는 대체 디렉터리에 대한 절대 경로를 지정할 수 있습니다(인증서를 생성할 때 certutil 명령의 -d 옵션 일치) 지정하지 않으면 기본값은 /etc/pki/nssdb 입니다.
mode='passthrough'이 모드를 사용하면 하이퍼바이저가 호스트 물리적 시스템과 직접 통신하는 대신 보조 문자 장치를 통해 모든 요청을 타사 공급자에게 터널링할 수 있습니다(따라서 스마트 카드 또는 세 개의 인증서 파일을 사용할 수 있음). 이 모드에서는 지원되는 직렬 장치 유형 중 하나와 함께, 터널의 호스트 물리적 시스템 측면을 설명하기 위해 추가 특성 유형이 필요합니다. type='tcp' 또는 type='spicevmc' ( SPICE 그래픽 장치의 스마트 카드 채널을 사용하는)가 일반적입니다. 소스( source )와 같은 서브-요소는 특정 유형에 따라 요구될 수 있지만, target 서브-요소는 필요하지 않다(자본 장치의 소비자는 게스트 가상 머신에서 볼 수 있는 장치가 아닌 하이퍼바이저 자체임).
각 모드에서는 스마트 카드와 ccid 버스 컨트롤러( 20.16.3절. “장치 주소”참조) 간의 상관 관계를 미세 조정하는 선택적 하위 요소 주소를 지원합니다.