このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
適切なハードウェアがインストールおよびサポートされている場合は、ユーザーの認証にスマート・カードを使用できます。 pam_pkcs11
パッケージには、X.509証明書ベースのユーザー認証を有効にするPAMログイン・モジュールが用意されています。 このモジュールは、ローカルに格納されているルートCA証明書、オンラインまたはローカルでアクセス可能な証明書失効リスト(CRL)、およびオンライン証明書ステータス・プロトコル(OCSP)を使用することで、名前サービス・スイッチ(NSS)を使用し、PKCS #11スマート・カードを管理および検証します。
スマート・カード認証を有効にするには:
pam_pkcs11
パッケージをインストールします。#
yum install pam_pkcs11
次のコマンドを使用して、NSSデータベースにルートCA証明書をインストールします。
#
certutil -A -d /etc/pki/nssdb -t "TC,C,C" -n "Root CA certificates" -i
CACert.pem
この例では、
CACert.pem
はbase-64形式のルートCA証明書ファイルです。認証構成GUIを実行します。
#
system-config-authentication
「≪詳細オプション」タブで、スマート・カード・サポートの有効化チェック・ボックスを選択します。
他のすべての認証方法を無効にする場合は、ログインにはスマート・カードが必須チェック・ボックスを選択します。
注意このオプションは、システムでの認証にスマート・カードを使用できることをテストするまで選択しないでください。
カード取外しアクション・メニューから、ユーザーがセッションへのログイン中にスマート・カードを取り外した場合のシステムの対応を選択します。
- Ignore
現在のセッションでのカードの取外しを無視します。
- Lock
セッションからユーザーをロックします。
次のコマンドを使用して、スマート・カード認証を構成することもできます。
# authconfig --enablesmartcard --update
ユーザーがセッションへのログイン中にスマート・カードを取り外した場合のシステムの対応を指定するには:
authconfig --smartcardaction=0
|1 --update
カードが取り外された場合にシステムをロックするには、値0を--smartcardactionに指定します。 カードの取外しを無視するには、値1を使用します。
システムでの認証にスマート・カードを使用できることをテストした後は、他のすべてのログイン認証方法を無効にできます。
# authconfig --enablerequiresmartcard --update