若要在 Ubuntu/Debian 虛擬機器 (VM) 上設定智慧卡重新導向,請安裝該功能所依賴的程式庫,以及支援受信任的智慧卡驗證所需的根憑證授權機構 (CA) 憑證。此外,您還必須編輯某些組態檔以完成驗證設定。

此程序中的某些範例使用預留位置值來代表您網路組態中的實體,例如 AD 網域的 DNS 名稱。請將預留位置值取代為您的組態特有的資訊,如下表所說明。

預留位置值 說明
dns_IP_ADDRESS DNS 名稱伺服器的 IP 位址
mydomain.com AD 網域的 DNS 名稱
MYDOMAIN.COM AD 網域的 DNS 名稱 (全部使用大寫字母)
MYDOMAIN 包含 Samba 伺服器的工作群組或 NT 網域的 DNS 名稱 (全部使用大寫字母)
ads-hostname AD 伺服器的主機名稱
ads-hostname.mydomain.com AD 伺服器的完整網域名稱 (FQDN)
mytimeserver.mycompany.com NTP 時間伺服器的 DNS 名稱
AdminUser 虛擬機器管理員的使用者名稱

必要條件

整合 Ubuntu/Debian 虛擬機器與 AD 以進行智慧卡重新導向

程序

  1. 在 Ubuntu/Debian 虛擬機器上安裝所需的程式庫。
    sudo apt-get install -y pcscd pcsc-tools pkg-config libpam-pkcs11 opensc libengine-pkcs11-openssl libnss3-tools
  2. 安裝根 CA 憑證。
    1. 下載根 CA 憑證,並將其儲存至 Ubuntu 虛擬機器上的 /tmp/certificate.cer。請參閱《如何匯出根憑證授權機構憑證》
    2. 找出您所下載的根 CA 憑證,並將其傳輸至 .pem 檔案。
      sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
    3. 將根 CA 憑證複製到 /etc/pam_pkcs11/cacerts 目錄。
      sudo cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
  3. 建立 pkcs11 雜湊檔案。
    sudo chmod a+r certificate.pem
    sudo pkcs11_make_hash_link
  4. 設定 pam_pkcs11 程式庫。
    1. 使用預設範例內容建立 pam_pkcs11.conf 檔案。
      • (Ubuntu 20.04、Debian 10.x) 依序執行下列命令。
        sudo mkdir /etc/pam_pkcs11
        sudo zcat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example.gz | tee /etc/pam_pkcs11/pam_pkcs11.conf
      • (Ubuntu 20.04.1 及更新版本、Ubuntu 22.04、Debian 11.x/12.x) 依序執行下列命令。
        sudo mkdir /etc/pam_pkcs11
        sudo cat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example | tee /etc/pam_pkcs11/pam_pkcs11.conf
    2. 編輯 /etc/pam_pkcs11/pam_pkcs11.conf 檔案,如下列範例所示。
      use_pkcs11_module = opensc;                            
      ...
      pkcs11_module opensc {                                 
           module = /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so;         
           description = "OpenSC PKCS#11 module";               
           slot_num = 0;                           
           ca_dir = /etc/pam_pkcs11/cacerts;
           crl_dir = /etc/pam_pkcs11/crls;       
           support_threads = false;
           cert_policy = ca,signature;
           token_type = "Smart card";                       
      }                                                    
      ...
      use_mappers = cn, null;                        
      ...
      mapper cn {
           debug = false;
           module = internal;
           ignorecase = true;
           mapfile = file:///etc/pam_pkcs11/cn_map; 
      }
    3. 編輯 /etc/pam_pkcs11/cn_map 檔案,使其包含以下這一行。
      Common name -> Login ID
  5. 編輯 /etc/pam.d/gdm-password 組態檔。將 pam_pkcs11.so 授權行放在 common-auth 這一行前面,如下列範例所示。
    #%PAM-1.0
    auth    requisite       pam_nologin.so
    auth    required        pam_succeed_if.so user != root quiet_success
    auth sufficient pam_pkcs11.so                                                                               
    @include common-auth
    auth    optional        pam_gnome_keyring.so
    @include common-account
  6. 若要確認智慧卡硬體和安裝在智慧卡上的憑證,請執行下列命令。
    sudo pcsc_scan
    sudo pkcs11_listcerts
    sudo pkcs11_inspect
  7. 若要在停用 SSO 時支援智慧卡 SSO 功能和 VMware Greeter,請設定 /etc/vmware/viewagent-greeter.conf 檔案。請參閱編輯 Linux 桌面平台上的組態檔
  8. 安裝 Horizon Agent套件,並啟用智慧卡重新導向。
    sudo ./install_viewagent.sh -m yes
    備註: 如果您收到一則錯誤訊息,指示您安裝預設 PC/SC Lite 程式庫,請解除安裝目前存在於機器上的自訂 PC/SC Lite 程式庫,並使用以下命令,來安裝預設 PC/SC Lite 程式庫。
    sudo apt-get install --reinstall pcscd libpcsclite1

    之後,您可以執行 Horizon Agent 安裝程式。

  9. 如果您使用的是自訂 PC/SC Lite 程式庫,請在 /etc/vmware/config 檔案中設定 pcscd.maxReaderContextpcscd.readBody 選項。
  10. 重新啟動 Ubuntu 虛擬機器,並重新登入。