Para configurar o redirecionamento de cartão inteligente em uma máquina virtual (VM) Ubuntu, instale as bibliotecas das quais o recurso depende e o certificado da Autoridade de Certificação (CA) raiz para oferecer suporte à autenticação confiável de cartões inteligentes. Além disso, você deve editar alguns arquivos de configuração para concluir a configuração da autenticação.
Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades em sua configuração de rede, como o nome DNS do seu domínio do AD. Substitua os valores do espaço reservado por informações específicas para sua configuração, conforme descrito na tabela a seguir.
Valor do espaço reservado |
Descrição |
dns_IP_ADDRESS |
Endereço IP do seu servidor de nomes DNS |
meudomínio.com |
Nome DNS do seu domínio do AD |
MEUDOMÍNIO.COM |
Nome DNS do seu domínio do AD, em letras maiúsculas |
MEUDOMÍNIO |
Nome DNS do grupo de trabalho ou domínio NT que inclui o servidor Samba, em letras maiúsculas |
ads-hostname |
Nome do host do seu servidor AD |
ads-hostname.mydomain.com |
Nome de domínio totalmente qualificado (FQDN) do seu servidor AD |
mytimeserver.mycompany.com |
Nome DNS do seu servidor de horário NTP |
AdminUser |
Nome de usuário do administrador da VM |
Procedimento
- Instale as bibliotecas necessárias na VM Ubuntu.
apt-get install -y pcscd pcsc-tools pkg-config libpam-pkcs11 opensc
libengine-pkcs11-openssl libnss3-tools
- Instale um certificado da Autoridade de Certificação Raiz (CA).
- Baixe um certificado de CA raiz e salve-o em /tmp/certificate.cer na VM Ubuntu. Consulte Como exportar o certificado da autoridade de certificação raiz.
- Localize o certificado de CA raiz que você baixou e transfira-o para um arquivo .pem.
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- Use o comando certutil para instalar o certificado de CA raiz no banco de dados do sistema /etc/pki/nssdb.
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- Copie o certificado da CA raiz para o diretório /etc/pam_pkcs11/cacerts.
mkdir -p /etc/pam_pkcs11/cacerts
cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
- Crie um arquivo hash pkcs11.
chmod a+r certificate.pem
pkcs11_make_hash_link
- Copie os drivers necessários e adicione os arquivos de biblioteca necessários ao diretório nssdb.
- Execute comandos semelhantes ao exemplo a seguir.
Esses comandos de exemplo mostram como adicionar
libcmP11.so, o arquivo de driver para a placa Gemalto PIV 2.0, ao diretório
nssdb. No lugar de
libcmP11.so, você pode substituir o arquivo de driver pelo cartão inteligente.
cp libcmP11.so /usr/lib/
mkdir -p /etc/pki/nssdb
certutil -N -d /etc/pki/nssdb
certutil -A -n rootca -i certificate.pem -t "CT,CT,CT" -d /etc/pki/nssdb
modutil -dbdir /etc/pki/nssdb/ -add "piv card 2.0" -libfile /usr/lib/libcmP11.so
- Verifique se o certificado esperado foi carregado com êxito executando o seguinte comando.
# certutil -L -d /etc/pki/nssdb
Verifique se o comando retorna uma saída semelhante ao exemplo a seguir.
Certificate Nickname
rootca
- Verifique se as bibliotecas esperadas foram adicionadas com êxito executando o seguinte comando.
modutil -dbdir /etc/pki/nssdb -list
Verifique se o comando retorna uma saída semelhante ao exemplo a seguir.
Listing of PKCS #11 Modules
–-----------------------------------------------------------
1. NSS Internal PKCS #11 Module
slots: 2 slots attached
status: loaded
slot: NSS Internal Cryptographic Services
token: NSS Generic Crypto Services
slot: NSS User Private Key and Certificate Services
token: NSS Certificate DB
2. piv card 2.0
library name: /usr/lib/libcmP11.so
slots: There are no slots attached to this module
status: loaded
–-----------------------------------------------------------
- Configure a biblioteca pam_pkcs11.
- Crie um arquivo pam_pkcs11.conf usando o conteúdo de exemplo padrão.
- Para o Ubuntu 18.04 ou 20.04, execute a seguinte sequência de comandos.
mkdir /etc/pam_pkcs11
zcat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example.gz | tee /etc/pam_pkcs11/pam_pkcs11.conf
- Para o Ubuntu 20.04.1 ou posterior, execute a seguinte sequência de comandos.
mkdir /etc/pam_pkcs11
cat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example | tee /etc/pam_pkcs11/pam_pkcs11.conf
- Edite o arquivo /etc/pam_pkcs11/pam_pkcs11.conf conforme mostrado no exemplo a seguir.
use_pkcs11_module = mysc;
pkcs11_module mysc {
module = /usr/lib/libcmP11.so;
description = "LIBCMP11";
slot_num = 0;
ca_dir = /etc/pam_pkcs11/cacerts;
nss_dir = /etc/pki/nssdb;
cert_policy = ca;
}
...
use_mappers = cn, null;
...
mapper cn {
debug = false;
module = internal;
# module = /lib/pam_pkcs11/cn_mapper.so;
ignorecase = true;
mapfile = file:///etc/pam_pkcs11/cn_map;
# mapfile = "none";
}
- Edite o arquivo /etc/pam_pkcs11/cn_map para que ele inclua a seguinte linha.
- Edite o arquivo de configuração /etc/pam.d/gdm-password. Coloque a linha de autorização pam_pkcs11.so antes da linha common-auth, conforme mostrado no exemplo a seguir.
#%PAM-1.0
auth requisite pam_nologin.so
auth required pam_succeed_if.so user != root quiet_success
auth sufficient pam_pkcs11.so
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
- Para verificar o hardware do cartão inteligente e os certificados instalados no cartão inteligente, execute os comandos a seguir.
pcsc_scan
pkcs11_listcerts
pkcs11_inspect
- Configure o serviço pcscd para ser iniciado automaticamente após a reinicialização da VM.
Observação: Se o serviço pccd não for iniciado após a reinicialização da VM, a primeira tentativa de logon por meio de pam_pkcs11 falhará.
- Edite o arquivo /lib/systemd/system/pcscd.service adicionando a linha
WantedBy=multi-user.target
à seção [Install].
Verifique se o arquivo editado é semelhante ao exemplo a seguir.
[Unit]
Description=PC/SC Smart Card Daemon
Requires=pcscd.socket
[Service]
ExecStart=/usr/sbin/pcscd --foreground --auto-exit
ExecReload=/usr/sbin/pcscd --hotplug
[Install]
WantedBy=multi-user.target
Also=pcscd.socket
- Habilite o serviço pccd.
systemctl enable pcscd.service
- Atualize a biblioteca do PC/SC Lite para a versão 1.8.8.
apt-get install -y git autoconf automake libtool flex libudev-dev
git clone https://salsa.debian.org/rousseau/PCSC.git
cd PCSC/
git checkout -b pcsc-1.8.8 1.8.8
./bootstrap
./configure --prefix=/usr --sysconfdir=/etc --libdir=/lib/x86_64-linux-gnu/ CFLAGS="-g -O2
-fstack-protector-strong -Wformat -Werror=format-security" LIBS="-ldl" LDFLAGS="-Wl,
-Bsymbolic-functions -Wl,-z,relro" CPPFLAGS="-Wdate-time -D_FORTIFY_SOURCE=2"
make
make install
- Instale o pacote Horizon Agent, com o redirecionamento de cartão inteligente ativado.
sudo ./install_viewagent.sh -m yes
- Reinicie a VM do Ubuntu e faça login novamente.