Ubuntu デスクトップでスマート カード リダイレクトを設定するには、スマート カードの信頼された認証をサポートするため、機能が依存するライブラリとルート CA 証明書をインストールします。また、一部の構成ファイルを編集して、認証設定を完了する必要があります。

説明の中で、Active Directory ドメインの DNS 名などのネットワーク構成のエンティティをプレースホルダーで表している部分があります。次の表を参考にして、これらのプレースホルダーの値をご使用の環境に合わせて変更してください。

プレースホルダーの値 説明
dns_IP_ADDRESS DNS ネーム サーバの IP アドレス
mydomain.com Active Directory ドメインの DNS 名
MYDOMAIN.COM Active Directory ドメインの DNS 名。すべて大文字にします。
MYDOMAIN ワークグループの DNS 名または Samba サーバが含まれている NT ドメインの DNS 名。すべて大文字にします。
ads-hostname Active Directory サーバのホスト名
ads-hostname.mydomain.com Active Directory サーバの完全修飾ドメイン名 (FQDN)
mytimeserver.mycompany.com NTP タイム サーバの DNS 名
AdminUser Linux デスクトップ管理者のユーザー名

手順

  1. 必要なライブラリをインストールします。
    # apt-get install -y pcscd pcsc-tools pkg-config libpam-pkcs11 opensc
          libengine-pkcs11-openssl libnss3-tools
  2. ルート CA 証明書をインストールします。
    1. ルート CA 証明書をダウンロードし、デスクトップの /tmp/certificate.cer に保存します。ルート CA 証明書をエクスポートする方法を参照してください。
    2. ダウンロードしたルート CA 証明書を .pem ファイルに転送します。
      # openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    3. certutil コマンドを使用して、ルート CA 証明書をシステム データベース /etc/pki/nssdb にインストールします。
      # certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    4. ルート CA 証明書を /etc/pam_pkcs11/cacerts にディレクトリにコピーします。
      # mkdir -p /etc/pam_pkcs11/cacerts
      
      # cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
  3. pkcs11 ハッシュ ファイルを作成します。
    # chmod a+r certificate.pem
    # pkcs11_make_hash_link
  4. 必要なドライバをコピーし、必要なライブラリ ファイルを nssdb ディレクトリに追加します。
    1. 次のコマンドを実行します。
      # cp libcmP11.so /usr/lib/
      # mkdir -p /etc/pki/nssdb
      # certutil -N -d /etc/pki/nssdb
      # certutil -A -n rootca -i certificate.pem -t "CT,CT,CT" -d /etc/pki/nssdb
      # modutil -dbdir /etc/pki/nssdb/  -add "piv card 2.0" -libfile /usr/lib/libcmP11.so
    2. 予期した証明書が正常に読み込まれていることを確認します。
      # certutil -L -d /etc/pki/nssdb
      
      Certificate Nickname
      
      rootca
    3. 予期したライブラリが正常に追加されていることを確認します。
      modutil -dbdir /etc/pki/nssdb -list
      
      Listing of PKCS #11 Modules
      –-----------------------------------------------------------
        1. NSS Internal PKCS #11 Module
               slots: 2 slots attached
              status: loaded
      
               slot: NSS Internal Cryptographic Services
              token: NSS Generic Crypto Services
      
               slot: NSS User Private Key and Certificate Services
              token: NSS Certificate DB
      
        2. piv card 2.0
              library name: /usr/lib/libcmP11.so
               slots: There are no slots attached to this module
              status: loaded
      –-----------------------------------------------------------
  5. pam_pkcs11 ライブラリを設定します。
    1. デフォルトのサンプル コンテンツを使用して、pam_pkcs11 ファイルを作成します。
      # mkdir /etc/pam_pkcs11
      # zcat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example.gz | 
             tee /etc/pam_pkcs11/pam_pkcs11.conf
    2. 次の例のように、/etc/pam_pkcs11/pam_pkcs11.conf ファイルを編集します。
      use_pkcs11_module = mysc;                            
              
      pkcs11_module mysc {                                 
                    module = /usr/lib/libcmP11.so;         
                    description = "LIBCMP11";               
                    slot_num = 0;                           
                    ca_dir = /etc/pki/cacerts;       
                    nss_dir = /etc/pki/nssdb;        
                    cert_policy = ca;                       
      }                                                    
      ...
      use_mappers = cn, null;                        
      ...
      mapper cn {
            debug = false;
            module = internal;
            # module = /lib/pam_pkcs11/cn_mapper.so;
            ignorecase = true;
            mapfile = file:///etc/pam_pkcs11/cn_map;         
            # mapfile = "none";
      }
    3. 次の行を含むように、/etc/pam_pkcs11/cn_map ファイルを編集します。
      ads-hostname -> ads-hostname
  6. PAM 認証を設定します。
    1. /etc/pam.d/gdm-password 構成ファイルを編集します。次の例のように、pam_pkcs11.so 認証行を common-auth 行の前に配置します。
      #%PAM-1.0
      auth    requisite       pam_nologin.so
      auth    required        pam_succeed_if.so user != root quiet_success
      auth sufficient pam_pkcs11.so                                                                               
      @include common-auth
      auth    optional        pam_gnome_keyring.so
      @include common-account
    2. Ubuntu 16.04 の場合は、/etc/pam.d/lightdm 構成ファイルを編集します。次の例のように、pam_pkcs11.so 認証行を common-auth 行の前に配置します。
      #%PAM-1.0
      auth    requisite       pam_nologin.so debug
      auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin debug
      auth    [success=3 default=ignore}     pam_pkcs11.so                                   
      @include common-auth
      auth    optional        pam_gnome_keyring.so
      auth    optional        pam_kwallet.so
    3. Ubuntu 16.04 の場合は、/etc/pam.d/unity 構成ファイルを編集します。次の例のように、pam_pkcs11.so 認証行を common-auth 行の前に配置します。
      auth    [success=3 default=ignore}     pam_pkcs11.so                                   
      @include common-auth
      auth optional pam_gnome_keyring.so
  7. スマート カード ハードウェアとスマート カードにインストールされている証明書を確認するには、次のコマンドを実行します。
    # pcsc_scan
    
    # pkcs11_listcerts
    
    # pkcs11_inspect
  8. スマート カードの取り外し時にロックされるように、Gnome スクリーンセーバーを設定します。
    1. スクリーンセーバーのパッケージをインストールします。
      # apt-get install gnome-screensaver
    2. スクリーンセーバーを設定するには、次の例のように、etc/pam_pkcs11/pkcs11_eventmgr.conf ファイルを編集します。
      pkcs11_eventmgr {
        # Run in background? Implies debug=false if true
        daemon = true;
      
        # show debug messages?
        debug = false;
      
        # polling time in seconds
        polling_time = 1;
      
        # expire time in seconds
        # default = 0 ( no expire )
        expire_time = 0;
      
        # pkcs11 module to use
        pkcs11_module = /usr/lib/libcmP11.so;
      
        #
        # list of events and actions
        # Card inserted
        event card_insert {
          # what to do if an action fail?
          # ignore : continue to next action
          # return : end action sequence
          # quit : end program
          on_error = ignore ;
      
          # You can enter several, comma-separated action entries
          # they will be executed in turn
          action = "gnome-screensaver-command --poke";
        }
      
        # Card has been removed
        event card_remove {
        on_error = ignore;
          action = "gnome-screensaver-command --lock";
        }
      
        # Too much time card removed
          event expire_time {
          on_error = ignore;
          action = "/bin/false";
        }
      }
    3. pkcs11_eventmgr を実行します。
      # /usr/bin/pkcs11_eventmgr &
  9. Horizon Agent パッケージをインストールして、スマート カード リダイレクトを有効にします。
    # sudo ./install_viewagent.sh -m yes
    注: : Horizon Agent 7.9 以降をインストールする必要があります。
  10. システムを再起動して再びログインします。