SLED/SLES デスクトップでスマート カード リダイレクトを設定するには、スマート カードの信頼された認証をサポートするため、機能が依存するライブラリとルート CA 証明書をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_IP_ADDRESS DNS ネーム サーバの IP アドレス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。
ads-hostname Active Directory サーバのホスト名
ads-hostname.mydomain.com Active Directory サーバの完全修飾ドメイン名 (FQDN)
mytimeserver.mycompany.com NTP タイム サーバの DNS 名
AdminUser Linux デスクトップ管理者のユーザー名

前提条件

スマート カード リダイレクトでの SLED/SLES デスクトップと Active Directory の統合

手順

  1. 必要なライブラリ パッケージをインストールします。
    1. PAM ライブラリと他のパッケージをインストールします。
      # zypper install pam_pkcs11 mozilla-nss mozilla-nss-tools 
          pcsc-lite pcsc-ccid opensc coolkey pcsc-tools
    2. PC/SC ツールをインストールするには、次の一連のコマンドを実行します。
      # SUSEConnect --list-extensions
      # SUSEConnect -p PackageHub/12.3/x86_64
      # zypper in pcsc-tools
  2. ルート CA 証明書をインストールします。
    1. ルート CA 証明書をダウンロードし、デスクトップの /tmp/certificate.cer に保存します。ルート CA 証明書をエクスポートする方法を参照してください。
    2. ダウンロードしたルート CA 証明書を .pem ファイルに転送し、ハッシュ ファイルを作成します。
      # openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
      # cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
      # chmod a+r /etc/pam_pkcs11/cacerts/certificate.pem
      # cd /etc/pam_pkcs11/cacerts
      # pkcs11_make_hash_link
    3. NSS データベースにトラスト アンカーをインストールします。
      # mkdir /etc/pam_pkcs11/nssdb
      # certutil -N -d /etc/pam_pkcs11/nssdb
      # certutil -L -d /etc/pam_pkcs11/nssdb
      # certutil -A -n rootca -i certificate.pem -t "CT,CT,CT" -d /etc/pam_pkcs11/nssdb
    4. 必要なドライバをインストールします。
      # cp libcmP11.so /usr/lib64/
      # modutil -add "piv card 2.0" -libfile /usr/lib64/libcmP11.so -dbdir /etc/pam_pkcs11/nssdb/
  3. /etc/pam_pkcs11/pam_pkcs11.conf ファイルを編集します。
    1. use_pkcs11_module = nss を削除します。この場所に、行 use_pkcs11_module = mysc を追加します。
    2. 次の例のように、mysc モジュールを追加します。
      pkcs11_module mysc {
        module = /usr/lib64/libcmP11.so;
        description = "MY Smartcard";
        slot_num = 0;
        nss_dir = /etc/pam_pkcs11/nssdb;
        cert_policy = ca, ocsp_on, signature, crl_auto;
      }
    3. 次の例のように、共通名のマッパー構成を更新します。
      # Assume common name (CN) to be the login
      mapper cn {
            debug = false;
            module = internal;
            # module = /usr/lib64/pam_pkcs11/cn_mapper.so;
            ignorecase = true;
            mapfile = file:///etc/pam_pkcs11/cn_map;}
    4. use_mappers = ms を削除します。この場所に、行 use_mappers = cn, null を追加します。
  4. 次の行を含むように、/etc/pam_pkcs11/cn_map 構成ファイルを編集します。
    ads-hostname -> ads-hostname
  5. PAM の設定を変更します。
    1. スマート カード認証を構成できるように、まず pam_config ツールを無効にします。
      # find /etc/pam.d/ -type l -iname "common-*" -delete
      # for X in /etc/pam.d/common-*-pc; do cp -ivp $X ${X:0:-3}; done
    2. /etc/pam.d/ ディレクトリの下に、common-auth-smartcard という名前のファイルを作成します。次の内容をファイルに追加します。
      auth    required        pam_env.so
      auth    sufficient      pam_pkcs11.so
      auth    optional        pam_gnome_keyring.so
      auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass
      auth    required        pam_winbind.so  use_first_pass
    3. SLED/SLES 12 SP3 の場合、/etc/pam.d/gdm/etc/pam.d/xscreensaver の両方のファイルで、行 auth include common-auth を行 auth include common-auth-smartcard で置き換えます。
  6. ファイアウォールを無効にします。
    # rcSuSEfirewall2 stop
    # chkconfig SuSEfirewall2_setup off
    # chkconfig SuSEfirewall2_init off
    注: ファイアウォールが有効になっていると、スマート カード リダイレクトが失敗することがあります。
  7. スマート カード リダイレクトに必要なライブラリ パッケージをインストールします。
    1. SLED/SLES 12 SP3 の場合、次のインストール コマンドを実行します。
      # SUSEConnect -p sle-sdk/12.3/x86_64
      # zypper in git autoconf automake libtool flex libudev-devel gcc
    2. SLES 12 SP3 の場合は、systemd-devel をインストールします。
      # zypper in systemd-devel
  8. Horizon Agent パッケージをインストールして、スマート カード リダイレクトを有効にします。
    # sudo ./install_viewagent.sh -m yes
    注: Horizon Agent 7.9 以降をインストールする必要があります。
  9. システムを再起動して再びログインします。