Solaris スマートカードの管理

スマートカードによるログインの設定

次の手順で、Solaris 8、Solaris 9、または Solaris 10 OS で動作するマシンにスマートカードによるログインを設定します。一部の作業では、最初にコマンド行の例、その次に SmartCard Console の手順を示します。複雑な作業では、コマンド行の例が別の章へのリンクとして記載されている場合があります。

注 –

これらのほとんどの作業を実行するには、スーパーユーザーでログインする必要があります。

カードリーダーを追加するには (SmartCard Console)

SmartCard Console からカードリーダーを追加する手順は、次のとおりです。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

Solaris SmartCard Console を起動します。

コマンド行から sdtsmartcardadmin を実行するか、「ワークスペース (Workspace)」メニューから sdtsmartcardadmin を選択します。

ナビゲーション区画の「カードリーダー」をクリックします。

「カードリーダーを追加 (Add Reader)」アイコンおよび「IFD Terminal」アイコンがコンソール区画に表示されます。使用可能なほかのカードリーダーのタイプを表すアイコンも表示されます。

コンソール区画で「カードリーダーを追加 (Add Reader)」をダブルクリックします。

「カードリーダーを追加 (Add Reader)」ダイアログボックスが表示されます。「カードリーダーを追加 (Add Reader)」ダイアログボックスは、コンソール区画で「カードリーダーを追加 (Add Reader)」を選択し、「アクション (Action)」メニューの「属性 (Properties)」を選択して表示することもできます。

「IFD カード端末 Reader」をダブルクリックし、カードリーダーを選択して、「了解 (OK)」をクリックします。

「カードリーダー (Card-Readers)」ダイアログボックスが表示されます。

「基本構成 (Basic Configuration)」タブを選択します。

このタブはデフォルトでオンになっています。

カードリーダーの名前を「一意のカード端末名 (Unique Card Terminal Name)」フィールドに入力します。

名前を変更しない場合には、現在の名前のままにしておきます。名前にはスペースを入れないでください。

「デバイスポート」プルダウンメニューから、カードリーダーを取り付けるポートを選択します。

Sun Internal Card Reader は、デフォルトでは /dev/scmi2c0 に取り付けられます。

「IFD ハンドラー」フィールドで IFD ハンドラの場所を入力します。

IFD ハンドラのフルパスを入力します。内蔵カードリーダーの IFD ハンドラは、/usr/lib/smartcard/ifdh_scmi2c.so にあります。

「適用 (Apply)」または「了解 (OK)」をクリックします。

「IFD Terminal」がコンソール区画に表示されます。ダイアログが表示され、操作を完了するには OCF サーバーを再起動する必要があることが示されます。

内蔵カードリーダーを追加するには、「OCF を再起動する」をクリックします。

OCF が終了または再起動されるまで、内蔵カードリーダーは追加されません。

注 –
OCF をすぐに再起動しない場合は、OCF をコマンド行から再起動して内蔵カードリーダーを追加する必要があります。
# svcadm restart network/rpc/ocfserv
次に SmartCard Console を起動するか smartcard コマンドを実行したときに、ocfserv プロセスが再起動されます。

参照

コマンド行の手順については、「カードリーダーの追加」を参照してください。

新しいカードタイプのサポートを追加するには (SmartCard Console)

スマートカードの新しいタイプを使用するには、その ATR (Answer to Reset) 属性を ocfserv に設定する必要があります。Smartcard Console での手順を次に示します。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

新しい ATR を持つスマートカードをカードリーダーに挿入します。

ナビゲーション区画で「スマートカード (Smart Cards)」を選択します。

コンソール区画で現在挿入されているカードのタイプを表すアイコンをダブルクリックします。

「スマートカード (Smart Card)」ダイアログボックスには、このカードタイプですでにサポートされている ATR のリストが表示されます。「スマートカード (Smart Card)」ダイアログボックスは、コンソール区画で適切なカードを選択し、「アクション (Action)」メニューの「属性 (Properties)」を選択して表示することもできます。

カードの ATR が新しく、リストにない場合は、「Add (追加)」をクリックします。

「ATR を追加 (Add ATR)」ダイアログボックスが表示されます。カードリーダーに挿入されているカードの ATR が「挿入されているカードの ATR (Inserted Card's ATR)」リストボックスに示されます。

注 –
挿入されているカードの ATR 値が登録されているかどうかを確認するには、「追加 (Add)」ボタンをクリックします。何も表示されない場合、そのカードの ATR がすでに認識されています。それ以外の場合には、次の手順を実行します。

挿入されているカードの ATR を選択するか、「新しい ATR (New ATR)」フィールドに新しい ATR を入力します。

これで、スマートカード製品の新しい ATR 値を表示できます。

「ATR を追加 (Add ATR)」ダイアログボックスで「了解 (OK)」をクリックします。

新しい ATR が「スマートカード (Smart Card)」ダイアログボックスのリストに追加されます。

「スマートカード (Smart Card)」ダイアログボックスのリストから新しい ATR を選択します。

「スマートカード (Smart Card)」ダイアログボックスで「了解 (OK)」をクリックして、その変更を有効にします。

新しいカードタイプのサポートを追加するには (コマンド行)

コマンド行を使用する場合は、次の手順を行います。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

次の手順を実行して、新しい PayFlex ATR として 12345 を追加します。
# smartcard -c admin -x modify "PayFlex.ATR=3B69000057100A9 3B6911000000010100 12345"
注 –
現在の ATR を保持する場合は、現在の ATR および新しい ATR を入力する必要があります。

スマートカードのアプレットをスマートカードに読み込むには (SmartCard Console)

Solaris スマートカードのアプレット (SolarisAuthApplet) をスマートカードに読み込むには、次の手順を実行します。Solaris スマートカードのアプレットを読み込まないと、ユーザープロファイル情報は追加できません。Smartcard Console での手順を次に示します。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

スマートカードをカードリーダーに挿入します。

ナビゲーション区画から「アプレットを読み込む (Load Applets)」アイコンを選択します。

コンソール区画で「SolarisAuthApplet」アイコンをダブルクリックします。

「アプレットを読み込む (Load Applets)」ダイアログボックスが表示されます。その後、各種カードタイプのアプレットが左側のリストボックスに表示されます。「アプレットを読み込む (Load Applets)」ダイアログボックスは、コンソール区画で適切なカードを選択し、「アクション (Action)」メニューの「属性 (Properties)」を選択して表示することもできます。

初期化するカードタイプを選択します。

次の中から選択します。
- CyberFlex
- iButton
- PayFlex

2 つのリストボックス間の矢印をクリックします。

選択したアプレットが「アプレットのインストールを保留」リストボックスにコピーされ、そのリストボックス内でチェックマークが付けられ、スマートカードの名前が表示されます。カードリーダーにカードが挿入されていない、または間違ったスマートカードが挿入されている場合には、「No compatible devices inserted」メッセージが表示されます。そのメッセージが表示された場合には、適切なカードを挿入します。

「Install」ボタンをクリックします。

「アプレットをデバイスに読み込む (Loading Applet to Device)」ウィンドウが表示されます。アプレットは約 1 分間で読み込まれます。インストールが完了すると、「アプレットのインストールが完了しました (Applet Installation Successful)」という確認メッセージがウィンドウに表示されます。

「了解 (OK)」をクリックして、そのウィンドウを終了します。

これで、カードにデフォルト値が保存されます。以前の異なる PIN、または異なるユーザープロファイル値がカードに保存されている場合には、それらの値は上書きされます。詳細については、「PIN 属性」と「ユーザー属性とパスワード属性」を参照してください。

スマートカードのアプレットをスマートカードに読み込むには (コマンド行)

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

カードリーダーに挿入されているスマートカードを使って、次のように入力します。
# smartcard -c load -i /usr/share/lib/smartcard/SolarisAuthApplet.capx
読み込みが終了すると、次のメッセージが表示されます。
Operation successful.

ユーザープロファイルを設定するには (SmartCard Console)

カードが設定されるアプリケーション (dtlogin) に関連付けられるユーザー名とパスワードを指定するには、次の手順を実行します。Smartcard Console での手順を次に示します。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

カードリーダーに構成するスマートカードを挿入します。

ナビゲーション区画から「アプレットを構成 (Configure Applets)」を選択します。

カードリーダー内のカードのタイプを示すアイコンがコンソール区画に表示されます。

コンソール区画でアイコンをダブルクリックします。

「アプレットを構成 (Configure Applets)」ダイアログボックスが表示されます。「アプレットを構成 (Configure Applets)」ダイアログボックスは、コンソール区画でアイコンを選択し、「アクション (Action)」メニューの「属性 (Properties)」を選択して表示することもできます。

「アプレットを構成 (Configure Applets)」ダイアログボックスにある「SolarisAuthApplet」を選択します。

SolarisAuthApplet 構成フォルダがそのダイアログボックスの右側に表示されます。このフォルダには「PIN」と「User Profiles」のタブがあります。一部のスマートカードでは、「RSA Key」フォルダおよび「PKI Cert」フォルダも表示されます。ここでは、ユーザープロファイルの変更だけについて説明します。PIN の変更の詳細については、「スマートカードの PIN を変更するには (SmartCard Console)」を参照してください。

「アプレットを構成 (Configure Applets)」ダイアログボックスで「User Profiles」タブを選択します。

「User Profile Name」フィールドに dtlogin を入力します。

dtlogin は CDE デスクトップを表します。

「ユーザー名 (User Name)」フィールドにユーザー名を入力します。

この名前は、カードの使用者となるユーザーの名前です。ユーザー名は 8 文字以内にしてください。

注 –
カードに関連付けられた現在のユーザー名を確認するには、「Get」ボタンをクリックします。現在のユーザー名を確認したり、またはユーザー名やパスワードを変更するには、PIN を入力する必要があります。

「パスワード (Password)」フィールドにパスワードを入力します。

このパスワードは、前の手順で入力したユーザー名に関連付けられるパスワードです。パスワードは、/etc/nsswitch.conf (LDAP、NIS、NIS+、またはローカルファイル) の passwd の検索順に基づいて、ユーザーのパスワードと対応付ける必要があります。パスワードは 8 文字以内にしてください。

注 –
スマートカードの構成後に、ユーザーのパスワードを変更する場合、管理者またはユーザーがこれらの手順を再び実行する必要があります。スマートカードの新しいパスワードは自動的に更新されません。

「Set」ボタンをクリックします。

「Set User Profile」ポップアップが表示され、現在の PIN を入力するように要求してきます。

PIN を入力して「了解 (OK)」をクリックします。

これで、新しいユーザー名と新しいパスワードがカードに保存されます。

「了解 (OK)」をクリックして、ダイアログボックスを終了します。

ユーザープロファイルを設定するには (コマンド行)

コマンド行を使用する場合は、次の手順を行います。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

dtlogin アプリケーションのユーザー名とパスワードを設定します。

dtlogin アプリケーションに対して x にユーザー名、y にパスワードを設定するために、次のように 1 行にコマンドを入力します。この例では、PIN はデフォルト値の $$$$java です。
# smartcard -c init -A A0000000620304000 -P '$$$$java' user=x password=y application=dtlogin
注 –
読み込んだアプレット ID と現在の PIN を入力する必要があります。前の例では、-A A000000062030400 は SolarisAuthApplet のアプレット ID を示しています。PIN はデフォルトの SolarisAuthApplet 値です。$$$$java や、$ などのシェルの特殊文字を含む PIN は、単一引用符 (' ') で囲みます。単一引用符で囲まれていない場合、シェルは PIN を変数として解釈しようとし、コマンドが失敗します。

参照

詳細については、「スマートカード上でユーザー情報を作成するには (コマンド行)」を参照してください。

スマートカードの PIN を検証するには

スマートカードの PIN を検証するには、次の手順を実行します。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

カードリーダーにスマートカードを挿入します。

スーパーユーザーでログインし、次のように入力してスマートカードの PIN を検証します。
# smartcard -c init -A A000000062030400 -P 'PIN_number'
PIN_number はカードに設定された PIN を表し、A000000062030400 は SolarisAuthApplet のアプレット ID です。

PIN が無効の場合には、Invalid PIN メッセージが表示されます。PIN が有効な場合は、何のメッセージも出力されません。

スマートカードの PIN を変更するには (SmartCard Console)

Smartcard Console を使用してスマートカードの PIN を変更するには、次の手順を実行します。

注 –

現在のPIN を知っている一般ユーザーは、スマートカードのPIN を変更できます。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

カードリーダーに構成するスマートカードを挿入します。

ナビゲーション区画から「アプレットを構成 (Configure Applets)」を選択します。

リーダーのカードタイプのアイコンがコンソール区画に表示されます。

コンソール区画にあるそのアイコンをダブルクリックします。

「アプレットを構成 (Configure Applets)」ダイアログボックスが表示されます。

リストボックスで SolarisAuthApplet を選択します。

SolarisAuthApplet 構成フォルダがそのダイアログボックスの右側に表示されます。このフォルダには「PIN」と「User Profiles」のタブがあります。一部のスマートカードでは、「RSA Key」フォルダおよび「PKI Cert」フォルダも表示されます。ここでは、「PIN」の変更だけについて説明します。

「PIN」タブを選択します。

新しい PIN の入力と再入力を行います。

PIN は 8 文字以内にしてください。

「Change」をクリックします。

「Change PIN」というポップアップウィンドウが表示されます。

そのポップアップウィンドウに以前の PIN を入力します。「OK」ボタンをクリックします。

SolarisAuthApplet をカードにインストールしたときに、カードに読み込まれるデフォルトの PIN は $$$$java です。

スマートカードの PIN を変更するには (コマンド行)

コマンド行を使用する場合は、次の手順を行います。

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

カードリーダーにスマートカードを挿入して、次のように入力してデフォルト PIN ($$$$java) を 001234 に変更します。
# smartcard -c init -A A000000062030400 -P '$$$$java' pin=001234
注 –
読み込んだアプレット ID と現在の PIN を入力する必要があります。前の例では、-A A000000062030400 は SolarisAuthApplet のアプレット ID (AID) を示し、PIN はデフォルトの SolarisAuthApplet の値です。入力した新しい PIN の確認プロンプトは表示されないので、新しい PIN は正しく入力するように注意してください。$$$$java や、$ などのシェルの特殊文字を含む PIN は、単一引用符 (' ') で囲みます。単一引用符で囲まれていない場合、シェルは PIN を変数として解釈しようとし、コマンドが失敗します。

システムでのスマートカードの使用を有効にするには (SmartCard Console)

次の手順で、Smartcard Console を使用してシステムでの Solaris スマートカードの使用を有効にします。次の手順は、スマートカード認証を使用する各システム上で実行する必要があります。Solaris スマートカードのコマンドの詳細については、次のマニュアルページを参照してください。

smartcard(1M)
pam_smartcard(5)
ocfserv(1M)

手順

ocfserv デーモンが有効になっていることを確認します。

次のコマンドを入力すると、サービスの状態がわかります。
% svcs network/rpc/ocfserv
注 –
スマートカードを変更する前に、ocfserv デーモンが有効になっていることを確認する必要があります。

(省略可能) 必要に応じて、スーパーユーザーでログインし、ocfserv デーモンを有効にします。
# svcadm enable network/rpc/ocfserv

ナビゲーション区画で「OCF クライアント (OCF Clients)」を選択します。

「CDE」アイコンがコンソール区画に表示されます。

「CDE」アイコンを選択します。

「アクション (Action)」メニューから「属性 (Properties)」を選択します。

「クライアントの構成 (Configure Clients)」ダイアログボックスが表示されます。

そのダイアログボックスで「カード/認証 (Cards/Authentications)」タブを選択します。

サポートされているスマートカードが左側のリストボックスに表示されます。

「スマートカード機能を CDE アクティブにする (Activate Desktop's Smart Card Capabilities)」ラジオボタンを選択します。

その後、「クライアントの構成 (Configure Clients)」ダイアログボックスで「了解 (OK)」をクリックすると、ただちにスマートカードが有効になります。システム上に適切なカードリーダーがあり、スマートカードが各自のユーザー名とパスワードで構成されていることが必要です。

「適用 (Apply)」ボタンまたは「了解 (OK)」ボタンをクリックします。

これで、Solaris スマートカードがシステムで有効になります。

CDE を終了して、変更を有効にします。

注意事項

スマートカードの PIN がわからない場合は、システムからロックアウトされます。スマートカードを使ってシステムにアクセスできない場合、システムに対して rlogin を実行してスマートカードを無効にします。「スマートカードを無効にするには」を参照してください。

「クライアントの構成 (Configure Clients)」ダイアログボックスからスマートカードを無効にすることもできます。「スマートカード機能を CDE アクティブにしない (Deactivate Desktop's Smart Card Capabilities)」ラジオボタンを選択し、「了解 (OK) 」をクリックします。