Fedora 34を新しくインストールし、スマートカードを使用してKerberosチケットを取得するようにkinitを設定しようとしています。ドメイン(Windows ADなど)に参加したくありません。
パスワードでログインできるように正常に設定しましたが、スマートカードで動作させることはできません。すると、PINとパスワードの入力を求められます。
pkcs15-toolはスマートカードの証明書をリストしますが、いくつかの証明書があります。 krb5.confファイルで正しいファイルを選択したかどうかはわかりません(何を見つけるのかわかりません)。
ドメインコントローラのPEM証明書を/etc/ssl/certs/rootにコピーし、スマートカードのCAを使用しました。また、certutil を使用して同じ証明書を /etc/pki/nssdb にコピーしました。
これは私のkrb5.confファイルです。
[libdefaults]
pkinit_anchors = DIR:/etc/ssl/certs/root/
pkinit_pool = DIR:/etc/ssl/certs/sub/
#pkinit_cert_match = || <EKU>msScLogin,<KU>digitalSignature
#pkinit_eku_checking = kpServerAuth
pkinit_kdc_hostname = DC.DOMAIN.COM
pkinit_identities = PKCS11:opensc-pkcs11.so:slotid=0:certid=01
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = DC.DOMAIN.COM
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
[realms]
DC.DOMAIN.COM = {
kdc = DC.DOMAIN.COM:88
admin_server = DC.DOMAIN.COM
default_domain = DC.DOMAIN.COM
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
.dc.domain.com = DC.DOMAIN.COM
チケットの取得に使用したコマンド
kinit -X 509_user_identity='PKCS11:opensc-pkcs11.so' [email protected]
-Xオプションを除くと、パスワードでログインできます。私は何を見逃していますか?
編集 - また、/etc/pki/nssdbに証明書を追加しました。編集2 - 正しい証明書を選択したと確信しています。インターネット上で実行する方法のチュートリアルもたくさん見ました。
modutil -add "OpenSC PKCS #11 Module" -libfile opensc-pkcs11.so -dbdir /etc/pki/nssdb
ただし、これを行うとこのエラーが発生します。
ERROR: Failed to add module "OpenSC PKCS #11 Module". Probable cause : "Unknown PKCS #11 error.