若要在 Ubuntu/Debian 虛擬機器 (VM) 上設定智慧卡重新導向,請安裝該功能所依賴的程式庫,以及支援受信任的智慧卡驗證所需的根憑證授權機構 (CA) 憑證。此外,您還必須編輯某些組態檔以完成驗證設定。
此程序中的某些範例使用預留位置值來代表您網路組態中的實體,例如 AD 網域的 DNS 名稱。請將預留位置值取代為您的組態特有的資訊,如下表所說明。
預留位置值 |
說明 |
dns_IP_ADDRESS |
DNS 名稱伺服器的 IP 位址 |
mydomain.com |
AD 網域的 DNS 名稱 |
MYDOMAIN.COM |
AD 網域的 DNS 名稱 (全部使用大寫字母) |
MYDOMAIN |
包含 Samba 伺服器的工作群組或 NT 網域的 DNS 名稱 (全部使用大寫字母) |
ads-hostname |
AD 伺服器的主機名稱 |
ads-hostname.mydomain.com |
AD 伺服器的完整網域名稱 (FQDN) |
mytimeserver.mycompany.com |
NTP 時間伺服器的 DNS 名稱 |
AdminUser |
虛擬機器管理員的使用者名稱 |
程序
- 在 Ubuntu/Debian 虛擬機器上安裝所需的程式庫。
sudo apt-get install -y pcscd pcsc-tools pkg-config libpam-pkcs11 opensc libengine-pkcs11-openssl libnss3-tools
- 安裝根 CA 憑證。
- 下載根 CA 憑證,並將其儲存至 Ubuntu 虛擬機器上的 /tmp/certificate.cer。請參閱《如何匯出根憑證授權機構憑證》。
- 找出您所下載的根 CA 憑證,並將其傳輸至 .pem 檔案。
sudo openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
- 將根 CA 憑證複製到 /etc/pam_pkcs11/cacerts 目錄。
sudo cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
- 建立 pkcs11 雜湊檔案。
sudo chmod a+r certificate.pem
sudo pkcs11_make_hash_link
- 設定 pam_pkcs11 程式庫。
- 使用預設範例內容建立 pam_pkcs11.conf 檔案。
- (Ubuntu 20.04、Debian 10.x) 依序執行下列命令。
sudo mkdir /etc/pam_pkcs11
sudo zcat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example.gz | tee /etc/pam_pkcs11/pam_pkcs11.conf
- (Ubuntu 20.04.1 及更新版本、Ubuntu 22.04、Debian 11.x/12.x) 依序執行下列命令。
sudo mkdir /etc/pam_pkcs11
sudo cat /usr/share/doc/libpam-pkcs11/examples/pam_pkcs11.conf.example | tee /etc/pam_pkcs11/pam_pkcs11.conf
- 編輯 /etc/pam_pkcs11/pam_pkcs11.conf 檔案,如下列範例所示。
use_pkcs11_module = opensc;
...
pkcs11_module opensc {
module = /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so;
description = "OpenSC PKCS#11 module";
slot_num = 0;
ca_dir = /etc/pam_pkcs11/cacerts;
crl_dir = /etc/pam_pkcs11/crls;
support_threads = false;
cert_policy = ca,signature;
token_type = "Smart card";
}
...
use_mappers = cn, null;
...
mapper cn {
debug = false;
module = internal;
ignorecase = true;
mapfile = file:///etc/pam_pkcs11/cn_map;
}
- 編輯 /etc/pam_pkcs11/cn_map 檔案,使其包含以下這一行。
- 編輯 /etc/pam.d/gdm-password 組態檔。將 pam_pkcs11.so 授權行放在 common-auth 這一行前面,如下列範例所示。
#%PAM-1.0
auth requisite pam_nologin.so
auth required pam_succeed_if.so user != root quiet_success
auth sufficient pam_pkcs11.so
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
- 若要確認智慧卡硬體和安裝在智慧卡上的憑證,請執行下列命令。
sudo pcsc_scan
sudo pkcs11_listcerts
sudo pkcs11_inspect
- 若要在停用 SSO 時支援智慧卡 SSO 功能和 VMware Greeter,請設定 /etc/vmware/viewagent-greeter.conf 檔案。請參閱編輯 Linux 桌面平台上的組態檔。
- 安裝 Horizon Agent套件,並啟用智慧卡重新導向。
sudo ./install_viewagent.sh -m yes
備註: 如果您收到一則錯誤訊息,指示您安裝預設 PC/SC Lite 程式庫,請解除安裝目前存在於機器上的自訂 PC/SC Lite 程式庫,並使用以下命令,來安裝預設 PC/SC Lite 程式庫。
sudo apt-get install --reinstall pcscd libpcsclite1
之後,您可以執行 Horizon Agent 安裝程式。
- 如果您使用的是自訂 PC/SC Lite 程式庫,請在 /etc/vmware/config 檔案中設定 pcscd.maxReaderContext 和 pcscd.readBody 選項。
- 重新啟動 Ubuntu 虛擬機器,並重新登入。