証明書の検証のため、スマートカードは Secure Shell サーバーに接続する必要があります。Secure Shell は OpenSSH に基づき、クライアントに対して必要な PKCS #11 サポートを提供するため、スマートカード用の追加の構成は不要です。Secure Shell サーバーはどの OpenSSH バージョンでも実行できます。Oracle Solaris 11.3 での Secure Shell アクセスの管理 の Secure Shell の OpenSSH 実装をインストールして切り替える方法を参照してください。
Secure Shell クライアントから、ユーザーのスマートカード上の非公開鍵が、鍵ベースの認証を使用してリモートの Secure Shell サーバーを認証します。ユーザーは鍵を構成する必要があります。
この手順では、スマートカードユーザーがスマートカードから公開鍵を取得し、その鍵を使用して Secure Shell に対してカードを識別し、それを認識するように Secure Shell を構成します。
始める前に
スマートカードが入ったスマートカードリーダーが Oracle Solaris システムに接続されています。システムに pcsclite および ccid パッケージがインストールされ、pcscd デーモンが有効になっています。
手順については、スマートカードの X.509 証明書の表示方法を参照してください。
$ cd ; mkdir .ssh ; chmod 755 .ssh $ cd .ssh ; touch authorized_keys
出力の最初の公開鍵を次のように authorized_keys ファイルに追加します。
Printing data for mapper openssh: ssh-rsa AAAAB3NzaC1yc2EAAAA ... ... fname.lname@example.org
鍵は ssh- key-signing-algorithm で始まり、電子メールアドレスで終わります。コピー&ペーストする際は空白文字を挿入しないでください。
$ chmod 600 authorized_keys
CCID 準拠のスマートカードリーダーが接続されている PC またはワークステーションから、ssh と入力してスマートカードサーバーに接続します。
$ ssh username@SSH-server
X.509 証明書ベースの CAC またはスマートカードおよび PIN によって認証されます。
Secure Shell 接続は、サーバーへのセキュアな信頼できるリンクです。ローカル PC またはワークステーションからの攻撃の可能性を防ぐため、アクティブに機能していないときには、ユーザーはサーバーをログアウトするか、スマートカードまたは CAC を取り出す必要があります。