Prise en charge des cartes à puce

Vous pouvez utiliser une carte à puce connectée au périphérique client pour l’authentification lors de la connexion à une session de bureau virtuel Linux. Cette fonctionnalité est implémentée via la redirection de carte à puce sur le canal virtuel de carte à puce ICA®. Vous pouvez également utiliser la carte à puce au sein de la session. Les cas d’utilisation incluent l’ajout d’une signature numérique à un document, le chiffrement ou le déchiffrement d’un e-mail, ou l’authentification à un site Web nécessitant une authentification par carte à puce.

• Le VDA Linux utilise la même configuration que le VDA Windows pour cette fonctionnalité. Pour plus d’informations, consultez la section Configurer l’environnement de carte à puce de cet article.

• La disponibilité de l’authentification pass-through à l’aide de cartes à puce dépend des conditions suivantes :

• Le VDA Linux est installé sur RHEL 7.7.
• Des cartes à puce prises en charge par CoolKey sont utilisées.
• L’application Citrix Workspace™ pour Windows est utilisée.

Remarque :

L’utilisation d’une carte à puce mappée au sein d’une session VDA Linux pour se connecter à Citrix Gateway n’est pas officiellement prise en charge.

Installer le logiciel VDA Linux sur RHEL 7.7

Installez le logiciel VDA Linux à l’aide du gestionnaire de packages RPM ou de l’installation facile, consultez la section Présentation de l’installation.

Une fois l’installation du VDA terminée, vérifiez que le VDA peut s’enregistrer auprès du Delivery Controller™ et que les sessions de bureau Linux publiées peuvent être lancées avec succès à l’aide de l’authentification par mot de passe.

Assurez-vous que CoolKey prend en charge votre carte à puce

CoolKey est un pilote de carte à puce largement utilisé sur RHEL. CoolKey prend en charge quatre types de cartes à puce : les cartes CoolKey, CAC, PIV et PKCS#15. Cependant, le nombre de cartes officiellement prises en charge et validées reste limité (voir Smart Card Support in Red Hat Enterprise Linux).

Dans cet article, la carte à puce YubiKey 4 est utilisée comme exemple pour illustrer la configuration. YubiKey 4 est un périphérique USB CCID PIV tout-en-un qui peut être facilement acheté sur Amazon ou auprès d’autres détaillants. Le pilote CoolKey prend en charge YubiKey 4.

Si votre organisation nécessite une autre carte à puce plus avancée, préparez une machine physique avec RHEL 7.7 et le package CoolKey installé. Pour plus d’informations sur l’installation de CoolKey, consultez Installer le pilote de carte à puce. Insérez votre carte à puce et exécutez la commande suivante pour vérifier que CoolKey prend en charge votre carte à puce :

pkcs11-tool --module libcoolkeypk11.so --list-slots
<!--NeedCopy-->

Si CoolKey prend en charge votre carte à puce, la sortie de la commande est similaire à ce qui suit, où les informations d’emplacement sont contenues.

Configuration

Préparer un certificat racine

Un certificat racine est utilisé pour vérifier le certificat sur la carte à puce. Procédez comme suit pour télécharger et installer un certificat racine.

1. Obtenez un certificat racine au format PEM, généralement depuis votre serveur d’autorité de certification.

   Vous pouvez exécuter une commande similaire à la suivante pour convertir un fichier DER (*.crt, *.cer, *.der) en PEM. Dans l’exemple de commande suivant, certnew.cer est un fichier DER.

   openssl x509 -inform der -in certnew.cer -out certnew.pem
   <!--NeedCopy-->
   

2. Installez le certificat racine dans le répertoire openssl. Le fichier certnew.pem est utilisé comme exemple.

   cp certnew.pem <path where you install the root certificate>
   <!--NeedCopy-->
   

   Pour créer un chemin d’accès pour l’installation du certificat racine, exécutez sudo mdkir -p <chemin où vous installez le certificat racine>.

Configurer la base de données NSS

Le module de connexion VDA Linux s’appuie sur la base de données NSS pour accéder aux cartes à puce et aux certificats. Procédez comme suit pour configurer la base de données NSS.

1. Ajoutez le certificat racine mentionné précédemment à la base de données NSS.

   certutil -A -n "My Corp Root" -t "CT,C,C" -a -d /etc/pki/nssdb -i  /etc/pki/CA/certs/certnew.pem
   <!--NeedCopy-->
   

2. Exécutez la commande suivante pour vérifier que le certificat racine est ajouté à la base de données NSS avec succès.

   certutil -L -d /etc/pki/nssdb
   <!--NeedCopy-->
   

   La sortie de la commande est similaire à ce qui suit si le certificat racine est ajouté avec succès.

   

3. Vérifiez si CoolKey est installé dans la bibliothèque NSS PKCS#11.

   modutil -list -dbdir /etc/pki/nssdb
   <!--NeedCopy-->
   

   La sortie de la commande est similaire à ce qui suit si le module CoolKey est installé.

   

   Si le module CoolKey n’est pas installé, exécutez la commande suivante pour installer le module manuellement, puis vérifiez à nouveau l’installation.

   modutil -add "CoolKey PKCS #11 Module" -libfile libcoolkeypk11.so -dbdir /etc/pki/nssdb
   <!--NeedCopy-->
   

4. Configurez le module pam_pkcs11.

   Le module pam_pkcs11 s’appuie sur la configuration VDA locale pour vérifier les certificats utilisateur. Le certificat racine par défaut utilisé par pam_pkcs11 se trouve à l’emplacement /etc/pam_pkcs11/cacerts/. Chaque certificat racine dans ce chemin possède un lien de hachage. Exécutez les commandes suivantes pour installer le certificat racine préparé et configurer pam_pkcs11.

   yum install pam_pkcs11
   
   mkdir /etc/pam_pkcs11/cacerts/
   
   cp certnew.pem /etc/pam_pkcs11/cacerts/
   
   cacertdir_rehash /etc/pam_pkcs11/cacerts
   <!--NeedCopy-->
   

Configurer l’environnement de carte à puce

Vous pouvez utiliser le script ctxsmartlogon.sh pour configurer l’environnement de carte à puce ou effectuer la configuration manuellement.

• Utilisez le script ctxsmartlogon.sh pour configurer l’environnement de carte à puce

  Remarque :

  Le script ctxsmartlogon.sh ajoute des informations PKINIT au domaine par défaut. Vous pouvez modifier ce paramètre via le fichier de configuration /etc/krb5.conf.

  Avant d’utiliser des cartes à puce pour la première fois, exécutez le script ctxsmartlogon.sh pour configurer l’environnement de carte à puce.

  Conseil :

  Si vous avez utilisé SSSD pour la jonction de domaine, redémarrez le service SSSD après avoir exécuté ctxsmartlogon.sh.

   sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh
   <!--NeedCopy-->
  

  Les résultats ressemblent à ce qui suit :

  

  Vous pouvez également désactiver les cartes à puce en exécutant le script ctxsmartlogon.sh :

   sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh
   <!--NeedCopy-->
  

  Les résultats ressemblent à ce qui suit :

  

• Configurez manuellement l’environnement de carte à puce

  Le VDA Linux utilise le même environnement de carte à puce que le VDA Windows. Dans cet environnement, plusieurs composants doivent être configurés, notamment le contrôleur de domaine, l’autorité de certification (CA) Microsoft, les services Internet (IIS), Citrix StoreFront et l’application Citrix Workspace. Pour plus d’informations sur la configuration basée sur la carte à puce YubiKey 4, consultez l’article du Knowledge Center CTX206156.

• Avant de passer à l’étape suivante, assurez-vous que tous les composants sont correctement configurés, que la clé privée et le certificat utilisateur sont téléchargés sur la carte à puce, et que vous pouvez vous connecter avec succès au VDA Windows à l’aide de la carte à puce.

Installer les packages PC/SC Lite

PCSC Lite est une implémentation de la spécification Personal Computer/Smart Card (PC/SC) sous Linux. Il fournit une interface de carte à puce Windows pour communiquer avec les cartes à puce et les lecteurs. La redirection de carte à puce dans le VDA Linux est implémentée au niveau PC/SC.

Exécutez la commande suivante pour installer les packages PC/SC Lite.

yum install pcsc-lite pcsc-lite-ccid pcsc-lite-libs
<!--NeedCopy-->

• Installer le pilote de carte à puce

CoolKey est un pilote de carte à puce largement utilisé sur RHEL. Si CoolKey n’est pas installé, exécutez la commande suivante pour l’installer.

yum install coolkey
<!--NeedCopy-->

Installer les modules PAM pour l’authentification par carte à puce

Exécutez la commande suivante pour installer les modules pam_krb5 et krb5-pkinit.

yum install pam_krb5 krb5-pkinit
<!--NeedCopy-->

Le module pam_krb5 est un module d’authentification enfichable que les applications compatibles PAM peuvent utiliser pour vérifier les mots de passe et obtenir des tickets d’octroi de tickets auprès du centre de distribution de clés (KDC). Le module krb5-pkinit contient le plug-in PKINIT qui permet aux clients d’obtenir des informations d’identification initiales auprès du KDC à l’aide d’une clé privée et d’un certificat.

Configurer le module pam_krb5

Le module pam_krb5 interagit avec le KDC pour obtenir des tickets Kerberos à l’aide de certificats de la carte à puce. Pour activer l’authentification pam_krb5 dans PAM, exécutez la commande suivante :

authconfig --enablekrb5 --update
<!--NeedCopy-->

Dans le fichier de configuration /etc/krb5.conf, ajoutez les informations PKINIT en fonction du domaine réel.

Remarque :

L’option pkinit_cert_match spécifie les règles de correspondance que le certificat client doit respecter avant d’être utilisé pour tenter l’authentification PKINIT. La syntaxe des règles de correspondance est la suivante :

[opérateur-de-relation] règle-de-composant …

où opérateur-de-relation peut être &&, ce qui signifie que toutes les règles de composant doivent correspondre, ou ||, ce qui signifie qu’une seule règle de composant doit correspondre.

Voici un exemple de fichier krb5.conf générique :

EXAMPLE.COM = {

    kdc = KDC. EXAMPLE.COM

    auth_to_local = RULE:[1:$1@$0]

    pkinit_anchors = FILE:<path where you install the root certificate>/certnew.pem

    pkinit_kdc_hostname = KDC.EXAMPLE.COM

    pkinit_cert_match = ||<EKU>msScLogin,<KU>digitalSignature

    pkinit_eku_checking = kpServerAuth

 }
<!--NeedCopy-->

Le fichier de configuration ressemble à ce qui suit après l’ajout des informations PKINIT.

Configurer l’authentification PAM

Les fichiers de configuration PAM indiquent les modules utilisés pour l’authentification PAM. Pour ajouter pam_krb5 en tant que module d’authentification, ajoutez la ligne suivante au fichier /etc/pam.d/smartcard-auth :

auth [success=done ignore=ignore default=die] pam_krb5.so preauth_options=X509_user_identity=PKCS11:/usr/lib64/pkcs11/libcoolkeypk11.so

Le fichier de configuration ressemble à ce qui suit après modification si SSSD est utilisé.

Le fichier de configuration ressemble à ce qui suit après modification si Winbind est utilisé.

Le fichier de configuration ressemble à ce qui suit après modification si Centrify est utilisé.

(Facultatif) Authentification unique à l’aide de cartes à puce

L’authentification unique (SSO) est une fonctionnalité Citrix qui implémente l’authentification pass-through avec les lancements d’applications et de bureaux virtuels. Cette fonctionnalité réduit le nombre de fois où les utilisateurs saisissent leur code PIN. Pour utiliser l’authentification unique avec le VDA Linux, configurez l’application Citrix Workspace. La configuration est la même qu’avec le VDA Windows. Pour plus d’informations, consultez l’article du centre de connaissances CTX133982.

Activez l’authentification par carte à puce comme suit lors de la configuration de la stratégie de groupe dans l’application Citrix Workspace.

Ouverture de session rapide par carte à puce

La carte à puce rapide est une amélioration par rapport à la redirection de carte à puce HDX basée sur PC/SC existante. Elle améliore les performances lorsque les cartes à puce sont utilisées dans des environnements WAN à latence élevée. Pour plus d’informations, consultez Cartes à puce.

Le VDA Linux prend en charge la carte à puce rapide sur les versions suivantes de l’application Citrix Workspace :

• Citrix Receiver pour Windows 4.12
• Application Citrix Workspace 1808 pour Windows et versions ultérieures

Activer l’ouverture de session rapide par carte à puce sur le client

L’ouverture de session rapide par carte à puce est activée par défaut sur le VDA et désactivée par défaut sur le client. Sur le client, pour activer l’ouverture de session rapide par carte à puce, incluez le paramètre suivant dans le fichier default.ica du site StoreFront associé :

[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Désactiver l’ouverture de session rapide par carte à puce sur le client

Pour désactiver l’ouverture de session rapide par carte à puce sur le client, supprimez le paramètre SmartCardCryptographicRedirection du fichier default.ica du site StoreFront associé.

Utilisation

Ouvrir une session sur le VDA Linux à l’aide d’une carte à puce

Vous pouvez utiliser une carte à puce pour ouvrir une session sur le VDA Linux dans les scénarios SSO et non-SSO.

• Dans le scénario SSO, vous êtes automatiquement connecté à StoreFront™ à l’aide du certificat de carte à puce et du code PIN mis en cache. Lorsque vous lancez une session de bureau virtuel Linux dans StoreFront, le code PIN est transmis au VDA Linux pour l’authentification par carte à puce.

• Dans le scénario non-SSO, vous êtes invité à sélectionner un certificat et à saisir un code PIN pour vous connecter à StoreFront.

  

Lorsque vous lancez une session de bureau virtuel Linux dans StoreFront, une boîte de dialogue d’ouverture de session sur le VDA Linux apparaît comme suit. Le nom d’utilisateur est extrait du certificat de la carte à puce et vous devez saisir à nouveau le code PIN pour l’authentification de l’ouverture de session.

Ce comportement est le même qu’avec le VDA Windows.

Se reconnecter à une session à l’aide d’une carte à puce

Pour vous reconnecter à une session, assurez-vous que la carte à puce est connectée au périphérique client. Sinon, une fenêtre de mise en cache grise apparaît côté VDA Linux et se ferme rapidement car la réauthentification échoue sans la carte à puce connectée. Aucune autre invite n’est fournie dans ce cas pour vous rappeler de connecter la carte à puce.

Côté StoreFront, cependant, si une carte à puce n’est pas connectée lorsque vous tentez de vous reconnecter à une session, le site web StoreFront peut afficher une alerte comme suit.

Limitation

Stratégie de retrait de carte à puce

Le VDA Linux utilise uniquement le comportement par défaut pour le retrait de carte à puce. Lorsque vous retirez la carte à puce après vous être connecté avec succès au VDA Linux, la session reste connectée et l’écran de session n’est pas verrouillé.

Prise en charge d’autres cartes à puce et de la bibliothèque PKCS#11

Bien que seule la carte à puce CoolKey soit répertoriée dans notre liste de support, vous pouvez essayer d’utiliser d’autres cartes à puce et la bibliothèque PKCS#11, car Citrix fournit une solution générique de redirection de carte à puce. Pour passer à votre carte à puce spécifique ou à la bibliothèque PKCS#11 :

1. Remplacez toutes les instances de libcoolkeypk11.so par votre bibliothèque PKCS#11.

2. Pour définir le chemin de votre bibliothèque PKCS#11 dans le registre, exécutez la commande suivante :

   /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Scard" -v "PKCS11LibPath" -d "PATH"
   <!--NeedCopy-->
   

   où PATH pointe vers votre bibliothèque PKCS#11, telle que /usr/lib64/pkcs11/libcoolkeypk11.so

3. Désactivez l’ouverture de session rapide par carte à puce sur le client.