Ubuntu/Debian VM(가상 시스템)에서 스마트 카드 리디렉션을 구성하려면 해당 기능이 의존하는 라이브러리와 스마트 카드의 신뢰할 수 있는 인증을 지원하기 위한 루트 CA(인증 기관) 인증서를 설치합니다. 또한 인증 설정을 완료하려면 일부 구성 파일을 편집해야 합니다.

이 절차의 일부 예시는 AD 도메인의 DNS 이름과 같은 네트워크 구성의 엔티티를 나타내기 위해 자리 표시자 값을 사용합니다. 다음 표에 설명된 대로 자리 표시자 값을 구성과 관련된 정보로 바꿉니다.

자리 표시자 값 설명
dns_IP_ADDRESS DNS 이름 서버의 IP 주소
mydomain.com AD 도메인의 DNS 이름
MYDOMAIN.COM AD 도메인의 DNS 이름(모두 대문자)
MYDOMAIN Samba 서버를 포함하는 작업 그룹 또는 NT 도메인의 DNS 이름(모두 대문자)
ads-hostname AD 서버의 호스트 이름
ads-hostname.mydomain.com AD 서버의 FQDN(정규화된 도메인 이름)
mytimeserver.mycompany.com NTP 시간 서버의 DNS 이름
AdminUser VM 관리자의 사용자 이름

사전 요구 사항

스마트 카드 리디렉션을 위해 Ubuntu/Debian 가상 시스템을 Active Directory와 통합

프로시저

  1. Ubuntu/Debian VM에 필요한 라이브러리를 설치합니다.
    sudo apt-get install -y pcscd pcsc-tools pkg-config libpam-pkcs11 opensc libengine-pkcs11-openssl libnss3-tools
  2. 루트 CA 인증서를 설치합니다.
    1. 루트 CA 인증서를 다운로드하고 Ubuntu VM의 /tmp/certificate.cer에 저장합니다. 루트 인증 기관 인증서를 내보내는 방법을 참조하십시오.
    2. 다운로드한 루트 CA 인증서를 찾은 후 .pem 파일에 전송합니다.
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    3. 루트 CA 인증서를 /etc/pam_pkcs11/cacerts 디렉토리에 복사합니다.
      sudo cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
  3. pkcs11 해시 파일을 생성합니다.
    sudo chmod a+r certificate.pem
    sudo pkcs11_make_hash_link
  4. pam_pkcs11 라이브러리를 구성합니다.
    1. 기본 예시 컨텐츠를 사용하여 pam_pkcs11.conf 파일을 생성합니다.
      • (Ubuntu 20.04, Debian 10.x) 다음 명령 시퀀스를 실행합니다.
        sudo mkdir /etc/pam_pkcs11
        sudo zcat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example.gz | tee /etc/pam_pkcs11/pam_pkcs11.conf
      • (Ubuntu 20.04.1 이상, Ubuntu 22.04, Debian 11.x) 다음 명령 시퀀스를 실행합니다.
        sudo mkdir /etc/pam_pkcs11
        sudo cat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example | tee /etc/pam_pkcs11/pam_pkcs11.conf
    2. 다음 예시와 같이 /etc/pam_pkcs11/pam_pkcs11.conf 파일을 편집합니다.
      use_pkcs11_module = opensc;                            
      ...
      pkcs11_module opensc {                                 
           module = /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so;         
           description = "OpenSC PKCS#11 module";               
           slot_num = 0;                           
           ca_dir = /etc/pam_pkcs11/cacerts;
           crl_dir = /etc/pam_pkcs11/crls;       
           support_threads = false;
           cert_policy = ca,signature;
           token_type = "Smart card";                       
      }                                                    
      ...
      use_mappers = cn, null;                        
      ...
      mapper cn {
           debug = false;
           module = internal;
           ignorecase = true;
           mapfile = file:///etc/pam_pkcs11/cn_map; 
      }
    3. 다음 줄을 포함하도록 /etc/pam_pkcs11/cn_map 파일을 편집합니다.
      Common name -> Login ID
  5. /etc/pam.d/gdm-password 구성 파일을 편집합니다. 다음 예시와 같이 common-auth 줄 앞에 pam_pkcs11.so 인증 줄을 넣습니다.
    #%PAM-1.0
    auth    requisite       pam_nologin.so
    auth    required        pam_succeed_if.so user != root quiet_success
    auth sufficient pam_pkcs11.so                                                                               
    @include common-auth
    auth    optional        pam_gnome_keyring.so
    @include common-account
  6. 스마트 카드에 설치된 스마트 카드 하드웨어와 인증서를 확인하려면 다음 명령을 실행합니다.
    sudo pcsc_scan
    sudo pkcs11_listcerts
    sudo pkcs11_inspect
  7. 스마트 카드 리디렉션을 사용하도록 설정하고 Horizon Agent 패키지를 설치합니다.
    sudo ./install_viewagent.sh -m yes
    참고: 기본 PC/SC Lite 라이브러리를 설치하라는 오류 메시지가 표시되면 시스템에 현재 있는 사용자 지정 PC/SC Lite 라이브러리를 제거하고 다음 명령을 사용하여 기본 PC/SC Lite 라이브러리를 설치합니다.
    sudo apt-get install --reinstall pcscd libpcsclite1

    그런 다음, Horizon Agent 설치 관리자를 실행할 수 있습니다.

  8. 사용자 지정 PC/SC Lite 라이브러리를 사용하는 경우 /etc/vmware/config 파일에서 pcscd.maxReaderContextpcscd.readBody 옵션을 구성합니다.
  9. Ubuntu VM을 다시 시작하고 다시 로그인합니다.