Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

23.17.7. 스마트 카드 장치

가상 스마트 카드 장치는 스마트 카드 요소를 통해 게스트 가상 머신에 제공할 수 있습니다. 호스트 물리적 머신의 USB 스마트 카드 리더 장치는 장치 패스스루가 있는 게스트 가상 시스템에서 사용할 수 없습니다. 이는 호스트 물리적 시스템과 게스트 가상 시스템에서 모두 사용할 수 없으므로 게스트 가상 시스템에서 제거될 때 호스트 물리적 시스템 컴퓨터를 잠글 수 있기 때문입니다. 따라서 일부 하이퍼바이저는 게스트 가상 머신에 스마트 카드 인터페이스를 제공할 수 있는 특수 가상 장치를 제공하며, 호스트 물리적 시스템에서 또는 타사 스마트 카드 공급자로 생성된 채널에서 인증 정보를 얻는 방법을 설명하는 몇 가지 모드를 제공합니다.
도메인 XML의 다음 섹션을 수정하려면 관리 도구로 문자 장치를 통해 USB 장치 리디렉션을 구성합니다.

그림 23.45. 장치 - 스마트 카드 장치


  ...
  <devices>
    <smartcard mode='host'/>
    <smartcard mode='host-certificates'>
      <certificate>cert1</certificate>
      <certificate>cert2</certificate>
      <certificate>cert3</certificate>
      <database>/etc/pki/nssdb/</database>
    </smartcard>
    <smartcard mode='passthrough' type='tcp'>
      <source mode='bind' host='127.0.0.1' service='2001'/>
      <protocol type='raw'/>
      <address type='ccid' controller='0' slot='0'/>
    </smartcard>
    <smartcard mode='passthrough' type='spicevmc'/>
  </devices>
  ...
smartcard 요소에는 필수 특성 모드가 있습니다. 각 모드에서 게스트 가상 머신은 실제 USB CCID(Chip/Smart Card Interface 장치) 카드처럼 작동하는 USB 버스의 장치를 확인합니다.
모드 속성은 다음과 같습니다.

표 23.19. 스마트 카드 모드 요소

매개변수 설명
mode='host' 이 모드에서 하이퍼바이저는 게스트 가상 머신의 모든 요청을 NSS를 통해 호스트 물리적 시스템의 스마트 카드에 직접 액세스할 수 있도록 릴레이합니다. 다른 속성이나 하위 요소가 필요하지 않습니다. 선택적 주소 하위 요소 사용에 대한 아래를 참조하십시오.
mode='host-certificates' 이 모드를 사용하면 스마트 카드를 호스트 물리적 시스템에 연결해야 하는 대신 호스트 물리적 시스템의 데이터베이스에 있는 세 개의 NSS 인증서 이름을 제공할 수 있습니다. 이러한 인증서는 certutil -d /etc/pki/nssdb -x -tGPU,CT,CT -S -s CN=cert1 -n cert1 명령을 사용하여 생성할 수 있으며 결과 3개의 인증서 이름을 각각 세 개의 인증서 하위 요소 콘텐츠로 제공해야 합니다. 추가 하위 요소 데이터베이스 는 대체 디렉터리의 절대 경로를 지정할 수 있습니다(인증서를 생성할 때 certutil 명령의 -d 플래그 일치)가 존재하지 않는 경우 기본값은 /etc/pki/nssdb 입니다.
mode='passthrough' 이 모드를 사용하면 보조 문자 장치를 통해 모든 요청을 타사 제공자에게 터널링하거나 하이퍼바이저가 호스트 물리적 시스템과 직접 통신하는 대신 3개의 인증서 파일을 사용할 수 있습니다. 이 작업 모드에서는 지원되는 직렬 장치 유형 중 하나와 일치하는 추가 속성 유형이 필요하며 터널의 호스트 물리적 시스템 측면을 설명할 수 있습니다. type='tcp' 또는 type='spicevmc' ( SPICE 그래픽 장치의 스마트 카드 채널을 사용하는)는 일반적입니다. 소스 와 같은 추가 하위 요소(예: 소스 )는 지정된 유형에 따라 필요할 수 있지만 대상 하위 요소(대상 하위 요소 사용자는 게스트 가상 머신에 표시되는 장치가 아닌) 문자 장치의 소비자가 하이퍼바이저 자체임을 가정할 수 있습니다.
각 모드는 스마트 카드와 ccid 버스 컨트롤러 간의 상관관계를 미세 조정하는 선택적 하위 요소 주소. 자세한 내용은 23.17.2절. “장치 주소”을 참조하십시오.