RHEL 9.x/8.x 仮想マシンでのスマートカードリダイレクトの構成

RHEL 9.x/8.x 仮想マシン (VM) でスマートカードリダイレクトを構成するには、スマートカードの信頼された認証をサポートするため、機能が依存するライブラリとルート認証局 (CA) 証明書をインストールします。

前提条件

スマートカードリダイレクトでの RHEL 9.x/8.x 仮想マシンと Active Directory の統合
FIPS モードでスマートカードのシングルサインオン (SSO) 機能を使用するには、FIPS 準拠の Linux 仮想マシンの構成で説明されているすべての手順を完了していることを確認します。VMwareBlastServer の信頼される CA 証明書を /etc/vmware/ssl/rui.crt に追加し、rui.crt とペアのキーを /etc/vmware/ssl/rui.key に追加する必要があります。

手順

必要なライブラリをインストールします。

yum install -y opensc pcsc-lite pcsc-lite-libs pcsc-lite-ccid nss-tools

pcscd サービスを有効にします。

systemctl enable pcscd
systemctl start pcscd

/etc/sssd/sssd.conf 構成ファイルに次の行が含まれていることを確認します。これにより、スマートカード認証が有効になります。
```
[pam]
pam_cert_auth = True
```

必要な CA 証明書を /etc/sssd/pki/sssd_auth_ca_db.pem にコピーします。

openssl x509 -inform der -in certificate.cer -out certificate.pem
cp certificate.pem /etc/sssd/pki/sssd_auth_ca_db.pem

スマートカードのステータスを確認するには、次の pkcs11-tool コマンドを実行し、正しい出力が返されることを確認します。
```
pkcs11-tool -L

pkcs11-tool --login -O

pkcs11-tool --test --login
```
スマートカードの SSO 機能をサポートするには、/etc/vmware/viewagent-greeter.conf ファイルを設定します。Linux デスクトップでの構成ファイルのオプション設定を参照してください。
Horizon Agent パッケージをインストールして、スマートカードリダイレクトを有効にします。
- .rpm インストーラを使用する場合：
  1. インストーラを実行し、デフォルトの機能オプションを使用して Horizon Agent をインストールします。
```
sudo rpm -ivh VMware-horizonagent-linux-YYMM-y.y.y-xxxxxxx.el8.x86_64.rpm
```
  2. スマートカードリダイレクト機能を追加するには、ViewSetup.sh スクリプトを実行します。
```
/usr/lib/vmware/viewagent/bin/ViewSetup.sh -m yes
```
- .tar.gz インストーラを使用する場合は、次のパラメータを指定してインストーラを実行し、スマートカードリダイレクトを有効にします。
```
sudo ./install_viewagent.sh -m yes
```
注：デフォルトの PC/SC Lite ライブラリをインストールするように指示するエラーメッセージが表示された場合は、マシンに現在存在するカスタム PC/SC Lite ライブラリをアンインストールし、次のコマンドを使用してデフォルトの PC/SC Lite ライブラリをインストールします。
```
yum reinstall pcsc-lite-libs pcsc-lite
```
その後、Horizon Agent インストーラを実行できます。
カスタム PC/SC Lite ライブラリを使用している場合は、/etc/vmware/config ファイルで pcscd.maxReaderContext および pcscd.readBody オプションを構成します。
Linux デスクトップでの構成ファイルのオプション設定を参照してください。
仮想マシンを再起動して、再度ログインします。