若要在 Ubuntu 虛擬機器 (VM) 上設定智慧卡重新導向,請安裝該功能所依賴的程式庫,以及支援受信任的智慧卡驗證所需的根憑證授權機構 (CA) 憑證。此外,您還必須編輯某些組態檔以完成驗證設定。

此程序中的某些範例使用預留位置值來代表您網路組態中的實體,例如 AD 網域的 DNS 名稱。請將預留位置值取代為您的組態特有的資訊,如下表所說明。

預留位置值 說明
dns_IP_ADDRESS DNS 名稱伺服器的 IP 位址
mydomain.com AD 網域的 DNS 名稱
MYDOMAIN.COM AD 網域的 DNS 名稱 (全部使用大寫字母)
MYDOMAIN 包含 Samba 伺服器的工作群組或 NT 網域的 DNS 名稱 (全部使用大寫字母)
ads-hostname AD 伺服器的主機名稱
ads-hostname.mydomain.com AD 伺服器的完整網域名稱 (FQDN)
mytimeserver.mycompany.com NTP 時間伺服器的 DNS 名稱
AdminUser 虛擬機器管理員的使用者名稱

必要條件

整合 Ubuntu 虛擬機器與 Active Directory 以支援智慧卡重新導向

程序

  1. 在 Ubuntu 虛擬機器上安裝所需的程式庫。 
    apt-get install -y pcscd pcsc-tools pkg-config libpam-pkcs11 opensc 
     libengine-pkcs11-openssl libnss3-tools
  2. 安裝根 CA 憑證。
    1. 下載根 CA 憑證,並將其儲存至 Ubuntu 虛擬機器上的 /tmp/certificate.cer。請參閱《如何匯出根憑證授權機構憑證》
    2. 找出您所下載的根 CA 憑證,並將其傳輸至 .pem 檔案。 
      openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    3. 使用 certutil命令將根 CA 憑證安裝至系統資料庫 /etc/pki/nssdb
      將以下範例命令中的「root CA cert」取代為系統資料庫中根 CA 憑證的名稱。 
      certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
    4. 將根 CA 憑證複製到 /etc/pam_pkcs11/cacerts 目錄。 
      mkdir -p /etc/pam_pkcs11/cacerts

cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
  3. 建立 pkcs11 雜湊檔案。 
    chmod a+r certificate.pem
pkcs11_make_hash_link
  4. 複製所需的驅動程式,並將所需的程式庫檔案新增至 nssdb 目錄。
    1. 執行類似下列範例的命令。
      這些範例命令會顯示如何將 Gemalto PIV 2.0 卡的驅動程式檔案 libcmP11.so 新增至 nssdb 目錄。若要取代 libcmP11.so,您可以替代智慧卡的驅動程式檔案。 
      cp libcmP11.so /usr/lib/
mkdir -p /etc/pki/nssdb
certutil -N -d /etc/pki/nssdb
certutil -A -n rootca -i certificate.pem -t "CT,CT,CT" -d /etc/pki/nssdb
modutil -dbdir /etc/pki/nssdb/  -add "piv card 2.0" -libfile /usr/lib/libcmP11.so
    2. 執行以下命令,確認預期的憑證已成功載入。 
      # certutil -L -d /etc/pki/nssdb
      確認命令傳回的輸出與下列範例類似。 
      Certificate Nickname
rootca
    3. 執行以下命令,確認預期的程式庫已成功新增。 
      modutil -dbdir /etc/pki/nssdb -list
      確認命令傳回的輸出與下列範例類似。 
      Listing of PKCS #11 Modules
–-----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
         slots: 2 slots attached
        status: loaded

         slot: NSS Internal Cryptographic Services
        token: NSS Generic Crypto Services

         slot: NSS User Private Key and Certificate Services
        token: NSS Certificate DB

  2. piv card 2.0
        library name: /usr/lib/libcmP11.so
         slots: There are no slots attached to this module
        status: loaded
–-----------------------------------------------------------
  5. 設定 pam_pkcs11 程式庫。
    1. 使用預設範例內容建立 pam_pkcs11.conf 檔案。
      • 對於 Ubuntu 18.04 或.20.04,請依序執行下列命令。
        mkdir /etc/pam_pkcs11
zcat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example.gz | tee /etc/pam_pkcs11/pam_pkcs11.conf
      • 對於 Ubuntu 20.04.1 或更新版本,請依序執行下列命令。
        mkdir /etc/pam_pkcs11
cat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example | tee /etc/pam_pkcs11/pam_pkcs11.conf
    2. 編輯 /etc/pam_pkcs11/pam_pkcs11.conf 檔案,如下列範例所示。 
      use_pkcs11_module = mysc;                            
        
pkcs11_module mysc {                                 
              module = /usr/lib/libcmP11.so;         
              description = "LIBCMP11";               
              slot_num = 0;                           
              ca_dir = /etc/pam_pkcs11/cacerts;       
              nss_dir = /etc/pki/nssdb;        
              cert_policy = ca;                       
}                                                    
...
use_mappers = cn, null;                        
...
mapper cn {
      debug = false;
      module = internal;
      # module = /lib/pam_pkcs11/cn_mapper.so;
      ignorecase = true;
      mapfile = file:///etc/pam_pkcs11/cn_map;         
      # mapfile = "none";
}
    3. 編輯 /etc/pam_pkcs11/cn_map 檔案,使其包含以下這一行。 
      Common name -> Login ID
  6. 編輯 /etc/pam.d/gdm-password 組態檔。將 pam_pkcs11.so 授權行放在 common-auth 這一行前面,如下列範例所示。 
    #%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_succeed_if.so user != root quiet_success
auth sufficient pam_pkcs11.so                                                                               
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
  7. 若要確認智慧卡硬體和安裝在智慧卡上的憑證,請執行下列命令。 
    pcsc_scan
pkcs11_listcerts
pkcs11_inspect
  8. 將 pcscd 服務設定為在虛擬機器重新啟動後自動啟動。
    備註: 如果 pcscd 服務未在虛擬機器重新啟動後啟動,則第一次透過 pam_pkcs11 嘗試登入將會失敗。
    1. 編輯 /lib/systemd/system/pcscd.service 檔案並將 WantedBy=multi-user.target 一行新增至 [Install] 區段。
      確認已編輯的檔案類似於下列範例。 
      [Unit]
Description=PC/SC Smart Card Daemon
Requires=pcscd.socket

[Service]
ExecStart=/usr/sbin/pcscd --foreground --auto-exit
ExecReload=/usr/sbin/pcscd --hotplug

[Install]
WantedBy=multi-user.target
Also=pcscd.socket
    2. 啟用 pcscd 服務。 
      systemctl enable pcscd.service
  9. 將 PC/SC Lite 程式庫更新至 1.8.8 版。 
    apt-get install -y git autoconf automake libtool flex libudev-dev
git clone https://salsa.debian.org/rousseau/PCSC.git
cd PCSC/
git checkout -b pcsc-1.8.8 1.8.8
./bootstrap
./configure --prefix=/usr --sysconfdir=/etc --libdir=/lib/x86_64-linux-gnu/ CFLAGS="-g -O2 
     -fstack-protector-strong -Wformat -Werror=format-security" LIBS="-ldl" LDFLAGS="-Wl,
     -Bsymbolic-functions -Wl,-z,relro" CPPFLAGS="-Wdate-time -D_FORTIFY_SOURCE=2"
make
make install
  10. 安裝 Horizon Agent套件,並啟用智慧卡重新導向。 
    sudo ./install_viewagent.sh -m yes
  11. 重新啟動 Ubuntu 虛擬機器,並重新登入。