要在 Ubuntu 桌面上配置智能卡重定向,需安装该功能所依赖的库以及用于支持智能卡的受信任身份验证的根 CA 证书。此外,您还必须编辑某些配置文件以完成身份验证设置。

该过程中的一些示例使用占位符值以表示网络配置中的实体,例如,AD 域的 DNS 名称。请将占位符值替换为您的配置特定的信息,如下表中所述。

占位符值 描述
dns_IP_ADDRESS DNS 名称服务器的 IP 地址
mydomain.com AD 域的 DNS 名称
MYDOMAIN.COM AD 域的 DNS 名称,全部为大写字母
MYDOMAIN 包含 Samba 服务器的工作组或 NT 域的 DNS 名称,全部为大写字母
ads-hostname AD 服务器的主机名
ads-hostname.mydomain.com AD 服务器的完全限定域名 (FQDN)
mytimeserver.mycompany.com NTP 时间服务器的 DNS 名称
AdminUser Linux 桌面管理员的用户名

前提条件

将 Ubuntu 桌面与 Active Directory 集成以进行智能卡重定向

过程

  1. 安装所需的库。
    apt-get install -y pcscd pcsc-tools pkg-config libpam-pkcs11 opensc
          libengine-pkcs11-openssl libnss3-tools
  2. 安装根证书颁发机构 (Certification Authority, CA) 证书。
    1. 下载一个根 CA 证书,并将其保存到桌面上的 /tmp/certificate.cer 中。请参阅如何导出根证书颁发机构证书
    2. 找到下载的根 CA 证书,并将其传输到 .pem 文件。
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    3. 使用 certutil 命令将根 CA 证书安装到系统数据库 /etc/pki/nssdb 中。
      certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    4. 将根 CA 证书复制到 /etc/pam_pkcs11/cacerts 目录中。
      mkdir -p /etc/pam_pkcs11/cacerts
      
      cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
  3. 创建一个 pkcs11 哈希文件。
    chmod a+r certificate.pem
    pkcs11_make_hash_link
  4. 复制所需的驱动程序,并将必要的库文件添加到 nssdb 目录。
    1. 运行以下命令。
      cp libcmP11.so /usr/lib/
      mkdir -p /etc/pki/nssdb
      certutil -N -d /etc/pki/nssdb
      certutil -A -n rootca -i certificate.pem -t "CT,CT,CT" -d /etc/pki/nssdb
      modutil -dbdir /etc/pki/nssdb/  -add "piv card 2.0" -libfile /usr/lib/libcmP11.so
    2. 确认已成功加载所需的证书。
      certutil -L -d /etc/pki/nssdb
      
      Certificate Nickname
      
      rootca
    3. 确认已成功添加所需的库。
      modutil -dbdir /etc/pki/nssdb -list
      
      Listing of PKCS #11 Modules
      –-----------------------------------------------------------
        1. NSS Internal PKCS #11 Module
               slots: 2 slots attached
              status: loaded
      
               slot: NSS Internal Cryptographic Services
              token: NSS Generic Crypto Services
      
               slot: NSS User Private Key and Certificate Services
              token: NSS Certificate DB
      
        2. piv card 2.0
              library name: /usr/lib/libcmP11.so
               slots: There are no slots attached to this module
              status: loaded
      –-----------------------------------------------------------
  5. 配置 pam_pkcs11 库。
    1. 使用默认示例内容创建一个 pam_pkcs11.conf 文件。
      mkdir /etc/pam_pkcs11
      zcat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example.gz | 
             tee /etc/pam_pkcs11/pam_pkcs11.conf
    2. 编辑 /etc/pam_pkcs11/pam_pkcs11.conf 文件,如以下示例中所示。
      use_pkcs11_module = mysc;                            
              
      pkcs11_module mysc {                                 
                    module = /usr/lib/libcmP11.so;         
                    description = "LIBCMP11";               
                    slot_num = 0;                           
                    ca_dir = /etc/pam_pkcs11/cacerts;       
                    nss_dir = /etc/pki/nssdb;        
                    cert_policy = ca;                       
      }                                                    
      ...
      use_mappers = cn, null;                        
      ...
      mapper cn {
            debug = false;
            module = internal;
            # module = /lib/pam_pkcs11/cn_mapper.so;
            ignorecase = true;
            mapfile = file:///etc/pam_pkcs11/cn_map;         
            # mapfile = "none";
      }
    3. 编辑 /etc/pam_pkcs11/cn_map 文件,使其包含以下行。
      ads-hostname -> ads-hostname
  6. 配置 PAM 身份验证。
    1. 编辑 /etc/pam.d/gdm-password 配置文件。将 pam_pkcs11.so 授权行放置在 common-auth 行之前,如以下示例中所示。
      #%PAM-1.0
      auth    requisite       pam_nologin.so
      auth    required        pam_succeed_if.so user != root quiet_success
      auth sufficient pam_pkcs11.so                                                                               
      @include common-auth
      auth    optional        pam_gnome_keyring.so
      @include common-account
    2. 对于 Ubuntu 16.04,请编辑 /etc/pam.d/lightdm 配置文件。将 pam_pkcs11.so 授权行放置在 common-auth 行之前,如以下示例中所示。
      #%PAM-1.0
      auth    requisite       pam_nologin.so debug
      auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin debug
      auth    [success=3 default=ignore}     pam_pkcs11.so                                   
      @include common-auth
      auth    optional        pam_gnome_keyring.so
      auth    optional        pam_kwallet.so
    3. 对于 Ubuntu 16.04,请编辑 /etc/pam.d/unity 配置文件。将 pam_pkcs11.so 授权行放置在 common-auth 行之前,如以下示例中所示。
      auth    [success=3 default=ignore}     pam_pkcs11.so                                   
      @include common-auth
      auth optional pam_gnome_keyring.so
  7. 要确认已在智能卡上安装智能卡硬件和证书,请运行以下命令。
    pcsc_scan
    
    pkcs11_listcerts
    
    pkcs11_inspect
  8. 将 pcscd 服务配置为在系统重新引导后自动启动。
    注: 如果在系统重新引导后 pcscd 服务未启动,则首次通过 pam_pkcs11 登录会失败。
    1. 编辑 /lib/systemd/system/pcscd.service 文件,在 [Install] 部分添加行 WantedBy=multi-user.target
      确认编辑后的文件类似于以下示例。
      [Unit]
      Description=PC/SC Smart Card Daemon
      Requires=pcscd.socket
      
      [Service]
      ExecStart=/usr/sbin/pcscd --foreground --auto-exit
      ExecReload=/usr/sbin/pcscd --hotplug
      
      [Install]
      WantedBy=multi-user.target
      Also=pcscd.socket
    2. 启用 pcscd 服务。
      systemctl enable pcscd.service
  9. 使用以下命令序列将 PC/SC Lite 库更新到版本 1.8.8。
    apt-get install -y git autoconf automake libtool flex libudev-dev
    git clone https://salsa.debian.org/rousseau/PCSC.git
    cd PCSC/
    git checkout -b 1.8.8 pcsc-1.8.8
    ./bootstrap
    ./configure --prefix=/usr --sysconfdir=/etc --libdir=/lib/x86_64-linux-gnu/ 
       CFLAGS="-g -O2 -fstack-protector-strong -Wformat ->Werror=format-security" 
       LIBS="-ldl" LDFLAGS="-Wl,-Bsymbolic-functions -Wl,-z,relro" CPPFLAGS="-Wdate-time -D_FORTIFY_SOURCE=2"
    make
    make install
  10. 安装 Horizon Agent 软件包并启用智能卡重定向。
    sudo ./install_viewagent.sh -m yes
    注: 您必须安装 Horizon Agent 7.9 或更高版本。
  11. 重新引导系统,然后重新登录。