Red Hat Training

A Red Hat training course is available for Red Hat Virtualization

5.8. 智能卡验证

智能卡(smart card)是一个提供额外安全性能的硬件设备,它常见于信用卡上,但许多机构也使用它作为身份验证的设备。智能卡可以被用来保护 Red Hat Virtualization 环境中的虚拟机。

过程 5.17. 启用智能卡

  1. 确认智能卡硬件已经插入客户端的机器上,并根据厂商的要求进行了安装。
  2. 虚拟机标签页并选择一个虚拟机。
  3. 编辑
  4. 选择控制台标签页并选启用智能卡选项。
  5. 确定
  6. 控制台图标来运行虚拟机。智能卡验证功能会从客户端硬件上被移到虚拟机上。

重要

如果智能卡硬件没有被正确安装,启用智能卡验证功能可能会导致虚拟机无法正常加载。

过程 5.18. 禁用智能卡

  1. 虚拟机标签页并选择一个虚拟机。
  2. 编辑
  3. 选择控制台标签页,取消选择启用智能卡选项。
  4. 确定

过程 5.19. 为智能卡共享配置客户端系统

  1. 智能卡可能需要特定的程序库来访问它们的证书。这些程序库必须对 NSS 程序库可见,spice-gtk 使用它们来为虚拟机提供智能卡功能。NSS 需要程序库提供 PKCS #11 接口。
  2. 模块架构需要和 spice-gtk/remote-viewer 的架构相匹配。例如,如果您只有 32b PKCS #11 程序库,则需要安装 virt-viewer 的 32b 版本才可以使智能卡正常工作。

过程 5.20. 配置带有 CoolKey 智能卡中间件的 RHEL 客户端

  • CoolKey 智能卡中间件是 Red Hat Enterprise Linux 的一部分。安装 Smart card support 组。如果 Smart Card Support 组已在一个 Red Hat Enterprise Linux 系统中安装,则会在启用智能卡时把智能卡重新定向到虚拟机。使用以下命令安装 Smart card support 组:
    # yum groupinstall "Smart card support"

过程 5.21. 配置带有其它智能卡中间件的 RHEL 客户端

  • 在系统的 NSS 数据库中注册程序库。以 root 身份运行以下命令:
    # modutil -dbdir /etc/pki/nssdb -add "module name" -libfile /path/to/library.so

过程 5.22. 配置 Windows 客户端

  • 红帽不提供 Windows 客户端对 PKCS #11 的支持,支持 PKCS #11 的程序库需要从第三方获得。在获得这些程序库后,使用一个具有适当权限的用户运行以下命令来注册它们:
    modutil -dbdir %PROGRAMDATA%\pki\nssdb -add "module name" -libfile C:\Path\to\module.dll