Ubuntu デスクトップでスマート カード リダイレクトを設定するには、スマート カードの信頼された認証をサポートするため、機能が依存するライブラリとルート CA 証明書をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。
説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。
プレースホルダーの値 |
説明 |
dns_IP_ADDRESS |
DNS ネーム サーバの IP アドレス |
mydomain.com |
Active Directory ドメインの DNS 名 |
MYDOMAIN.COM |
Active Directory ドメインの DNS 名。すべて大文字にします。 |
MYDOMAIN |
ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。 |
ads-hostname |
Active Directory サーバのホスト名 |
ads-hostname.mydomain.com |
Active Directory サーバの完全修飾ドメイン名 (FQDN) |
mytimeserver.mycompany.com |
NTP タイム サーバの DNS 名 |
AdminUser |
Linux デスクトップ管理者のユーザー名 |
手順
- 必要なライブラリをインストールします。
# apt-get install -y pcscd pcsc-tools pkg-config libpam-pkcs11 opensc
libengine-pkcs11-openssl libnss3-tools
- ルート CA 証明書をインストールします。
- ルート CA 証明書をダウンロードし、デスクトップの /tmp/certificate.cer に保存します。ルート CA 証明書をエクスポートする方法を参照してください。
- ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
# openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- certutil コマンドを使用して、ルート CA 証明書をシステム データベース /etc/pki/nssdb にインストールします。
# certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
- ルート CA 証明書を /etc/pam_pkcs11/cacerts にディレクトリにコピーします。
# mkdir -p /etc/pam_pkcs11/cacerts
# cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
- pkcs11 ハッシュ ファイルを作成します。
# chmod a+r certificate.pem
# pkcs11_make_hash_link
- 必要なドライバをコピーし、必要なライブラリ ファイルを nssdb ディレクトリに追加します。
- 次のコマンドを実行します。
# cp libcmP11.so /usr/lib/
# mkdir -p /etc/pki/nssdb
# certutil -N -d /etc/pki/nssdb
# certutil -A -n rootca -i certificate.pem -t "CT,CT,CT" -d /etc/pki/nssdb
# modutil -dbdir /etc/pki/nssdb/ -add "piv card 2.0" -libfile /usr/lib/libcmP11.so
- 予期した証明書が正常に読み込まれていることを確認します。
# certutil -L -d /etc/pki/nssdb
Certificate Nickname
rootca
- 予期したライブラリが正常に追加されていることを確認します。
modutil -dbdir /etc/pki/nssdb -list
Listing of PKCS #11 Modules
–-----------------------------------------------------------
1. NSS Internal PKCS #11 Module
slots: 2 slots attached
status: loaded
slot: NSS Internal Cryptographic Services
token: NSS Generic Crypto Services
slot: NSS User Private Key and Certificate Services
token: NSS Certificate DB
2. piv card 2.0
library name: /usr/lib/libcmP11.so
slots: There are no slots attached to this module
status: loaded
–-----------------------------------------------------------
- pam_pkcs11 ライブラリを設定します。
- デフォルトのサンプル コンテンツを使用して、pam_pkcs11 ファイルを作成します。
# mkdir /etc/pam_pkcs11
# zcat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example.gz |
tee /etc/pam_pkcs11/pam_pkcs11.conf
- 次の例のように、/etc/pam_pkcs11/pam_pkcs11.conf ファイルを編集します。
use_pkcs11_module = mysc;
pkcs11_module mysc {
module = /usr/lib/libcmP11.so;
description = "LIBCMP11";
slot_num = 0;
ca_dir = /etc/pki/cacerts;
nss_dir = /etc/pki/nssdb;
cert_policy = ca;
}
...
use_mappers = cn, null;
...
mapper cn {
debug = false;
module = internal;
# module = /lib/pam_pkcs11/cn_mapper.so;
ignorecase = true;
mapfile = file:///etc/pam_pkcs11/cn_map;
# mapfile = "none";
}
- 次の行を含むように、/etc/pam_pkcs11/cn_map ファイルを編集します。
ads-hostname -> ads-hostname
- PAM 認証を設定します。
- /etc/pam.d/gdm-password 構成ファイルを編集します。次の例のように、pam_pkcs11.so 認証行を common-auth 行の前に配置します。
#%PAM-1.0
auth requisite pam_nologin.so
auth required pam_succeed_if.so user != root quiet_success
auth sufficient pam_pkcs11.so
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
- Ubuntu 16.04 の場合は、/etc/pam.d/lightdm 構成ファイルを編集します。次の例のように、pam_pkcs11.so 認証行を common-auth 行の前に配置します。
#%PAM-1.0
auth requisite pam_nologin.so debug
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin debug
auth [success=3 default=ignore} pam_pkcs11.so
@include common-auth
auth optional pam_gnome_keyring.so
auth optional pam_kwallet.so
- Ubuntu 16.04 の場合は、/etc/pam.d/unity 構成ファイルを編集します。次の例のように、pam_pkcs11.so 認証行を common-auth 行の前に配置します。
auth [success=3 default=ignore} pam_pkcs11.so
@include common-auth
auth optional pam_gnome_keyring.so
- スマート カード ハードウェアとスマート カードにインストールされている証明書を確認するには、次のコマンドを実行します。
# pcsc_scan
# pkcs11_listcerts
# pkcs11_inspect
- スマート カードの取り外し時にロックされるように、Gnome スクリーンセーバーを設定します。
- スクリーンセーバーのパッケージをインストールします。
# apt-get install gnome-screensaver
- スクリーンセーバーを設定するには、次の例のように、etc/pam_pkcs11/pkcs11_eventmgr.conf ファイルを編集します。
pkcs11_eventmgr {
# Run in background? Implies debug=false if true
daemon = true;
# show debug messages?
debug = false;
# polling time in seconds
polling_time = 1;
# expire time in seconds
# default = 0 ( no expire )
expire_time = 0;
# pkcs11 module to use
pkcs11_module = /usr/lib/libcmP11.so;
#
# list of events and actions
# Card inserted
event card_insert {
# what to do if an action fail?
# ignore : continue to next action
# return : end action sequence
# quit : end program
on_error = ignore ;
# You can enter several, comma-separated action entries
# they will be executed in turn
action = "gnome-screensaver-command --poke";
}
# Card has been removed
event card_remove {
on_error = ignore;
action = "gnome-screensaver-command --lock";
}
# Too much time card removed
event expire_time {
on_error = ignore;
action = "/bin/false";
}
}
- pkcs11_eventmgr を実行します。
# /usr/bin/pkcs11_eventmgr &
- Horizon Agent パッケージをインストールして、スマート カード リダイレクトを有効にします。
# sudo ./install_viewagent.sh -m yes
注:
Horizon Agent 7.9 以降をインストールする必要があります。
- システムを再起動して再びログインします。