SLED/SLES デスクトップでスマート カード リダイレクトを設定するには、スマート カードの信頼された認証をサポートするため、機能が依存するライブラリとルート CA 証明書をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。
説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。
プレースホルダーの値 |
説明 |
dns_IP_ADDRESS |
DNS ネーム サーバの IP アドレス |
mydomain.com |
Active Directory ドメインの DNS 名 |
MYDOMAIN.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
MYDOMAIN |
ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。 |
ads-hostname |
Active Directory サーバのホスト名 |
ads-hostname.mydomain.com |
Active Directory サーバの完全修飾ドメイン名 (FQDN) |
mytimeserver.mycompany.com |
NTP タイム サーバの DNS 名 |
AdminUser |
Linux デスクトップ管理者のユーザー名 |
手順
- 必要なライブラリ パッケージをインストールします。
- PAM ライブラリと他のパッケージをインストールします。
# zypper install pam_pkcs11 mozilla-nss mozilla-nss-tools
pcsc-lite pcsc-ccid opensc coolkey pcsc-tools
- PC/SC ツールをインストールするには、次の一連のコマンドを実行します。
# SUSEConnect --list-extensions
# SUSEConnect -p PackageHub/12.3/x86_64
# zypper in pcsc-tools
- ルート CA 証明書をインストールします。
- ルート CA 証明書をダウンロードし、デスクトップの /tmp/certificate.cer に保存します。ルート CA 証明書をエクスポートする方法を参照してください。
- ダウンロードしたルート CA 証明書を .pem ファイルに転送し、ハッシュ ファイルを作成します。
# openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
# cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
# chmod a+r /etc/pam_pkcs11/cacerts/certificate.pem
# cd /etc/pam_pkcs11/cacerts
# pkcs11_make_hash_link
- NSS データベースにトラスト アンカーをインストールします。
# mkdir /etc/pam_pkcs11/nssdb
# certutil -N -d /etc/pam_pkcs11/nssdb
# certutil -L -d /etc/pam_pkcs11/nssdb
# certutil -A -n rootca -i certificate.pem -t "CT,CT,CT" -d /etc/pam_pkcs11/nssdb
- 必要なドライバをインストールします。
# cp libcmP11.so /usr/lib64/
# modutil -add "piv card 2.0" -libfile /usr/lib64/libcmP11.so -dbdir /etc/pam_pkcs11/nssdb/
- /etc/pam_pkcs11/pam_pkcs11.conf ファイルを編集します。
- 行 use_pkcs11_module = nss を削除します。この場所に、行 use_pkcs11_module = mysc を追加します。
- 次の例のように、mysc モジュールを追加します。
pkcs11_module mysc {
module = /usr/lib64/libcmP11.so;
description = "MY Smartcard";
slot_num = 0;
nss_dir = /etc/pam_pkcs11/nssdb;
cert_policy = ca, ocsp_on, signature, crl_auto;
}
- 次の例のように、共通名のマッパー構成を更新します。
# Assume common name (CN) to be the login
mapper cn {
debug = false;
module = internal;
# module = /usr/lib64/pam_pkcs11/cn_mapper.so;
ignorecase = true;
mapfile = file:///etc/pam_pkcs11/cn_map;}
- 行 use_mappers = ms を削除します。この場所に、行 use_mappers = cn, null を追加します。
- 次の行を含むように、/etc/pam_pkcs11/cn_map 構成ファイルを編集します。
ads-hostname -> ads-hostname
- PAM の設定を変更します。
- スマート カード認証を構成できるように、まず pam_config ツールを無効にします。
# find /etc/pam.d/ -type l -iname "common-*" -delete
# for X in /etc/pam.d/common-*-pc; do cp -ivp $X ${X:0:-3}; done
- /etc/pam.d/ ディレクトリの下に、common-auth-smartcard という名前のファイルを作成します。次の内容をファイルに追加します。
auth required pam_env.so
auth sufficient pam_pkcs11.so
auth optional pam_gnome_keyring.so
auth [success=1 default=ignore] pam_unix.so nullok_secure try_first_pass
auth required pam_winbind.so use_first_pass
- SLED/SLES 12 SP3 の場合、/etc/pam.d/gdm と /etc/pam.d/xscreensaver の両方のファイルで、行 auth include common-auth を行 auth include common-auth-smartcard で置き換えます。
- ファイアウォールを無効にします。
# rcSuSEfirewall2 stop
# chkconfig SuSEfirewall2_setup off
# chkconfig SuSEfirewall2_init off
注: ファイアウォールが有効になっていると、スマート カード リダイレクトが失敗することがあります。
- スマート カード リダイレクトに必要なライブラリ パッケージをインストールします。
- SLED/SLES 12 SP3 の場合、次のインストール コマンドを実行します。
# SUSEConnect -p sle-sdk/12.3/x86_64
# zypper in git autoconf automake libtool flex libudev-devel gcc
- SLES 12 SP3 の場合は、systemd-devel をインストールします。
# zypper in systemd-devel
- Horizon Agent パッケージをインストールして、スマート カード リダイレクトを有効にします。
# sudo ./install_viewagent.sh -m yes
注:
Horizon Agent 7.9 以降をインストールする必要があります。
- システムを再起動して再びログインします。