Configurer la redirection de carte à puce sur une machine virtuelle RHEL 7.9

Pour configurer la redirection de carte à puce sur une machine virtuelle (VM) RHEL 7.9, installez les bibliothèques dont dépend la fonctionnalité et le certificat d'autorité de certification (CA) racine requis pour l'authentification. En outre, vous devez modifier certains fichiers de configuration pour terminer la configuration de l'authentification.

Pour configurer la redirection de carte à puce sur une VM RHEL 7.9, utilisez la procédure suivante.

Certains exemples de la procédure utilisent des valeurs d'espace réservé pour représenter des entités dans votre configuration réseau, telles que le nom DNS de votre domaine AD. Remplacez les valeurs d'espace réservé par des informations spécifiques à votre configuration, comme décrit dans le tableau suivant.


Valeur d'espace réservé	Description
dns_IP_ADDRESS	Adresse IP de votre serveur de nom DNS
mydomain.com	Nom DNS de votre domaine AD
MYDOMAIN.COM	Nom DNS de votre domaine AD en majuscules
MYDOMAIN	Nom DNS du groupe de travail ou domaine NT qui inclut votre serveur Samba, en majuscules
ads-hostname	Nom d'hôte de votre serveur AD

Note : Si vous utilisez la console vSphere pour vous connecter à une VM RHEL 7.9 sur laquelle Horizon Agent est installé et que la redirection de carte à puce est activée, vous pouvez observer une durée de déconnexion différée d'au moins deux minutes. Cette déconnexion différée se produit uniquement à partir de la console vSphere. L'expérience de déconnexion de RHEL 7.9 de Horizon Client n'est pas affectée.

Conditions préalables

Intégrer une machine virtuelle RHEL 7.9 à Active Directory pour la redirection de carte à puce

Procédure

Installez les bibliothèques requises.

yum install nss-tools nss-pam-ldapd esc pam_pkcs11 pam_krb5 opensc pcsc-lite-ccid authconfig 
      authconfig-gtk krb5-libs krb5-workstation krb5-pkinit pcsc-lite pcsc-lite-libs

Installez un certificat d'autorité de certification racine.
1. Téléchargez un certificat d'autorité de certification racine et enregistrez-le dans /tmp/certificate.cer sur votre poste de travail. Reportez-vous à Exportation du certificat d'autorité de certification de racine.
2. Localisez le certificat d'autorité de certification racine que vous avez téléchargé et transférez-le vers un fichier .pem.
```
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
```
3. Utilisez la commande certutil pour installer le certificat d'autorité de certification racine dans la base de données système /etc/pki/nssdb.
  Remplacez « Certificat d'autorité de certification racine » dans l'exemple de commande suivant par le nom du certificat d'autorité de certification racine dans la base de données système.
```
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
```
Accédez à Applications > Sundry > Authentification, cochez la case Activer la prise en charge de l'authentification par carte à puce et cliquez sur Appliquer.

Modifiez le paramètre module dans le fichier de configuration /etc/pam_pkcs11/pam_pkcs11.conf, comme indiqué dans l'exemple suivant.

use_pkcs11_module = coolkey;
...
pkcs11_module coolkey {
      module = libcoolkeypk11.so;                
      description = "Cool Key";
      slot_num = 0;
      nss_dir = /etc/pki/nssdb;
      cert_policy = ca, signature;
}

Modifiez le fichier /etc/pam_pkcs11/cn_map afin que son contenu soit semblable à l'exemple suivant. Pour le contenu spécifique à inclure, consultez les informations utilisateur répertoriées dans le certificat de carte à puce.
```
user sc -> user-sc
```

Modifiez le fichier de configuration /etc/krb5.conf/, comme indiqué dans l'exemple suivant.

[libdefaults]
      dns_lookup_realm = false
      ticket_lifetime = 24h
      renew_lifetime = 7d
      forwardable = true
      rdns = false
      default_realm = MYDOMAIN.COM
      default_ccache_name = KEYRING:persistent:%{uid}

[realms]
      MYDOMAIN.COM = {
            kdc = ads-hostname
            admin_server = ads-hostname
            default_domain = ads-hostname
            pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem
            pkinit_cert_match = <KU>digitalSignature
            pkinit_kdc_hostname = ads-hostname
      }

[domain_realm]
      .mydomain.com = MYDOMAIN.COM
      mydomain.com = MYDOMAIN.COM

Si la VM exécute l'environnement de poste de travail MATE, ajoutez la ligne auth include smartcard-auth au début de /etc/pam.d/mate-screensaver comme indiqué dans l'exemple suivant.
```
#%PAM-1.0
 
# Fedora Core
auth include smartcard-auth            
auth       include      system-auth
auth       optional     pam_gnome_keyring.so
account    include      system-auth
password   include      system-auth
session    include      system-auth
```
Vous devez effectuer cette configuration pour vous assurer que les utilisateurs peuvent déverrouiller l'écran lorsqu'ils se connectent avec une carte à puce.
Pour prendre en charge la fonctionnalité Single Sign-On (SSO) par carte à puce, configurez le fichier /etc/vmware/viewagent-greeter.conf. Reportez-vous à la section Définir des options dans des fichiers de configuration sur un poste de travail Linux.
Redémarrez le démon PC/SC.
```
chkconfig pcscd on
service pcscd start
```
Installez le module Horizon Agent, avec la redirection de carte à puce activée.
```
sudo ./install_viewagent.sh -m yes
```
Note : Si vous obtenez un message d'erreur vous demandant d'installer la bibliothèque PC/SC Lite par défaut, désinstallez la bibliothèque PC/SC Lite personnalisée actuellement présente sur la machine et installez la bibliothèque PC/SC Lite par défaut à l'aide de la commande suivante.
```
yum reinstall pcsc-lite-libs pcsc-lite
```
Vous pouvez ensuite exécuter le programme d'installation d'Horizon Agent.
Si vous utilisez une bibliothèque PC/SC Lite personnalisée, configurez les options pcscd.maxReaderContext et pcscd.readBody dans le fichier /etc/vmware/config.
Reportez-vous à la section Définir des options dans des fichiers de configuration sur un poste de travail Linux.
Redémarrez la VM et reconnectez-vous.