Para configurar o redirecionamento de cartão inteligente em uma máquina virtual (VM) RHEL 7. x, instale as bibliotecas das quais o recurso depende, o certificado da CA raiz necessário para autenticação e a biblioteca necessária do PC/SC Lite. Além disso, você deve editar alguns arquivos de configuração para concluir a configuração de autenticação.
Use o procedimento a seguir para configurar o redirecionamento de cartão inteligente em uma VM do RHEL 7. x.
Alguns exemplos no procedimento usam valores de espaço reservado para representar entidades na sua configuração de rede, como o nome DNS do domínio do AD. Substitua os valores de espaço reservado por informações específicas à sua configuração, conforme descrito na tabela a seguir.
Valor do espaço reservado Descrição
dns_IP_ADDRESS Endereço IP do seu servidor de nome DNS
mydomain.com Nome DNS do domínio do AD
Valor do espaço reservado Descrição
MYDOMAIN.COM Nome DNS do domínio do AD, em todas as letras
maiúsculas
Mydomain Nome DNS do grupo de trabalho ou do domínio NT que
inclui seu servidor Samba, em todas as letras maiúsculas
ADS-nome do host Nome do host do seu servidor do AD
O redirecionamento de cartão inteligente é compatível com as áreas de trabalho que executam o RHEL 7,2 ou posterior.
Observação Se você usar o console vSphere para fazer login em um RHEL 7. x. VM que tenha o Horizon Agent instalado e redirecionamento de cartão inteligente habilitado, poderá ocorrer um tempo de logout atrasado de dois minutos ou mais. Esse logout com atraso ocorre apenas no console do vSphere. A experiência de logout do RHEL 7. x do Horizon Client não é afetada.
Pré-requisitos
Integre um Hine virtual de Mac de RHEL 7. x com Active Directory para redirecionamento de cartão inteligente
Procedimentos
1 Instale as bibliotecas necessárias.
yum install nss-tools nss-pam-ldapd esc pam_pkcs11 pam_krb5 opensc pcsc-lite-ccid authconfig
authconfig-gtk krb5-libs krb5-workstation krb5-pkinit pcsc-lite pcsc-lite-libs
2 Instale um certificado de autoridade de certificação raiz (CA).
a Baixe um certificado de autoridade de certificação raiz e salve-o em /tmp/
Certificate.cer na sua área de trabalho. Consulte como exportar o certificado da autoridade de certificação raiz .
b Localize o certificado da CA raiz que você baixou e transfira-o para um arquivo . pem .
openssl x509 -inform der -in /tmp/certificate.cer -out /tmp/certificate.pem
c Use o comando certutil para instalar o certificado da CA raiz no banco de dados do sistema /etc/PKI/nssdb .
certutil -A -d /etc/pki/nssdb -n "root CA cert" -t "CT,C,C" -i /tmp/certificate.pem
d Copie o certificado da CA raiz para o diretório /etc/pam_pkcs11/cacerts .
mkdir -p /etc/pam_pkcs11/cacerts
cp /tmp/certificate.pem /etc/pam_pkcs11/cacerts
3 Vá para aplicativos (Applications) > sundry (Sundry) > autenticação (Authentication), marque a caixa de seleção habilitar suporte a cartão inteligente (Enable smart card support) e clique em aplicar (Apply).
4 Copie os drivers do cartão inteligente e adicione a biblioteca de drivers ao banco de dados do sistema /etc/PKI/nssdb .
cp libcmP11.so /usr/lib64/
modutil -add "piv card 2.0" -libfile /usr/lib64/libcmP11.so -dbdir /etc/pki/nssdb/
5 Edite a configuração do Module no arquivo de configuração /etc/pam_pkcs11/
pam_pkcs11. conf , conforme mostrado no exemplo a seguir.
pkcs11_module coolkey {
module = libcmP11.so;
description = "Cool Key";
slot_num = 0;
ca_dir = /etc/pam_pkcs11/cacerts;
nss_dir = /etc/pki/nssdb;
cert_policy = ca, signature;
}
6 Edite o arquivo /etc/pam_pkcs11/cn_map para que ele inclua conteúdo semelhante ao exemplo a seguir. Para incluir o conteúdo específico, consulte as informações do usuário listadas no certificado do cartão inteligente.
user sc -> user-sc
7 Edite o arquivo de configuração /etc/krb5.conf/, conforme mostrado no exemplo a seguir.
[libdefaults]
dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false
default_realm = MYDOMAIN.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
MYDOMAIN.COM = {
kdc = ADS-hostname
admin_server = anúncios-hostname default_domain = ADS-hostname
pkinit_anchors = FILE:/etc/pki/nssdb/certificate.pem pkinit_cert_match = <KU>digitalSignature
pkinit_kdc_hostname = ADS-hostname }
[domain_realm]
. mydomain.com = MYDOMAIN.COM mydomain.com = MYDOMAIN.COM
8 Edite o arquivo de configuração /etc/pam.d/system-auth para que ele inclua a linha mostrada no exemplo a seguir. Certifique-se de que o conteúdo apareça em uma única linha sem um retorno de carro.
auth optional pam_krb5.so use_first_pass no_subsequent_prompt preauth_options=X509_user_identity=PKCS11:/usr/lib64/libcmP11.so
9 Reinicie o daemon do PC/SC.
chkconfig pcscd on service pcscd start
10 Instale o PC/SC Lite, versão 1.8.8.
yum install git flex autoconf automake libtool libudev-devel flex git clone https://salsa.debian.org/rousseau/PCSC.git
cd PCSC
git checkout -b pcsc-1.8.8 1.8.8 ./bootstrap
./configure --build=x86_64-redhat-linux-gnu --host=x86_64-redhat-linux-gnu --program-prefix=
disable-dependency-tracking prefix=/usr exec-prefix=/usr bindir=/usr/bin --sbindir=/usr/sbin
--sysconfdir=/etc --datadir=/usr/share --includedir=/usr/include --libdir=/usr/lib64 --libexecdir=/usr/libexec --localstatedir=/var --sharedstatedir=/var/lib --mandir=/usr/
share/man
--infodir=/usr/share/info --disable-static --enable-usbdropdir=/usr/lib64/pcsc/drivers make
make install
11 Instale o pacote Horizon Agent com o redirecionamento de cartão inteligente ativado.
sudo ./install_viewagent.sh -m yes
12 Reinicie a VM do RHEL 7. x e faça o login novamente.