スマートカードを使用したKerberos認証

スマートカードを使用したKerberos認証

Fedora 34を新しくインストールし、スマートカードを使用してKerberosチケットを取得するようにkinitを設定しようとしています。ドメイン(Windows ADなど)に参加したくありません。

パスワードでログインできるように正常に設定しましたが、スマートカードで動作させることはできません。すると、PINとパスワードの入力を求められます。

pkcs15-toolはスマートカードの証明書をリストしますが、いくつかの証明書があります。 krb5.confファイルで正しいファイルを選択したかどうかはわかりません(何を見つけるのかわかりません)。

ドメインコントローラのPEM証明書を/etc/ssl/certs/rootにコピーし、スマートカードのCAを使用しました。また、certutil を使用して同じ証明書を /etc/pki/nssdb にコピーしました。

これは私のkrb5.confファイルです。

[libdefaults]
    pkinit_anchors = DIR:/etc/ssl/certs/root/
    pkinit_pool = DIR:/etc/ssl/certs/sub/
    #pkinit_cert_match = || <EKU>msScLogin,<KU>digitalSignature
    #pkinit_eku_checking = kpServerAuth
    pkinit_kdc_hostname = DC.DOMAIN.COM
    pkinit_identities = PKCS11:opensc-pkcs11.so:slotid=0:certid=01
    default_ccache_name = KEYRING:persistent:%{uid}
    default_realm = DC.DOMAIN.COM
    default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
    default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

[realms]
  DC.DOMAIN.COM = {
    kdc = DC.DOMAIN.COM:88
    admin_server = DC.DOMAIN.COM
    default_domain = DC.DOMAIN.COM
}

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
.dc.domain.com = DC.DOMAIN.COM

チケットの取得に使用したコマンド

kinit -X 509_user_identity='PKCS11:opensc-pkcs11.so' [email protected]

-Xオプションを除くと、パスワードでログインできます。私は何を見逃していますか?

編集 - また、/etc/pki/nssdbに証明書を追加しました。編集2 - 正しい証明書を選択したと確信しています。インターネット上で実行する方法のチュートリアルもたくさん見ました。

modutil -add "OpenSC PKCS #11 Module" -libfile opensc-pkcs11.so -dbdir /etc/pki/nssdb

ただし、これを行うとこのエラーが発生します。

ERROR: Failed to add module "OpenSC PKCS #11 Module". Probable cause : "Unknown PKCS #11 error.

関連情報