Authentification unique avec des cartes à puce

Les utilisateurs peuvent utiliser une carte à puce connectée à la machine cliente pour s’authentifier lors de la connexion à une session de bureau virtuel Linux. Cette fonctionnalité est implémentée via la redirection de carte à puce sur le canal virtuel de la carte à puce ICA. Les utilisateurs peuvent également utiliser la carte à puce dans la session. Les cas d’utilisation incluent l’ajout d’une signature numérique à un document, le cryptage ou le décryptage d’un e-mail ou l’authentification sur un site Web nécessitant l’authentification par carte à puce.

Le VDA Linux utilise la même configuration que le VDA Windows pour cette fonctionnalité. Pour plus d’informations, consultez la section suivante Configurer l’environnement de la carte à puce.

La disponibilité de l’authentification pass-through avec des cartes à puce dépend des facteurs suivants :

  • Le VDA Linux est installé sur RHEL 7.6.
  • Des cartes à puce prises en charge par CoolKey sont utilisées.
  • L’application Citrix Workspace pour Windows est utilisée.

Remarque :

L’authentification par carte à puce auprès de Citrix n’est pas officiellement prise en charge.

Installer le logiciel VDA Linux sur RHEL 7.6

Installez le logiciel VDA Linux à l’aide du gestionnaire de package RPM ou de Easy Install, consultez la section Présentation de l’installation.

Une fois l’installation du VDA terminée, vérifiez que le VDA peut s’enregistrer auprès du Delivery Controller et que les sessions de bureau Linux publiées peuvent être lancées avec succès à l’aide de l’authentification par mot de passe.

S’assurer que CoolKey prend en charge votre carte à puce

CoolKey est un pilote de carte à puce largement utilisé sur RHEL. CoolKey prend en charge quatre types de cartes à puce, à savoir les cartes CoolKey, CAC, PIV et PKCS#15. Cependant, le nombre de cartes officiellement prises en charge et validées reste limité (consultez la page Smart Card Support in Red Hat Enterprise Linux).

Dans cet article, la carte à puce Yubikey 4 est utilisée comme exemple pour illustrer la configuration. Yubikey 4 est un périphérique USB CCID PIV tout-en-un qui peut facilement être acheté auprès d’Amazon ou d’autres revendeurs. Le pilote CoolKey prend en charge Yubikey 4.

image de yubikey4

Si votre organisation a besoin d’une autre carte à puce plus avancée, préparez une machine physique avec les packages RHEL 7.6 et CoolKey installés. Pour plus d’informations sur l’installation de CoolKey, consultez la section Installer le pilote de la carte à puce. Insérez votre carte à puce et exécutez la commande suivante pour vérifier que CoolKey prend en charge votre carte à puce :

pkcs11-tool --module libcoolkeypk11.so --list-slots

Si CoolKey prend en charge votre carte à puce, les résultats de la commande sont similaires aux suivants avec informations sur le logement de la carte.

image des résultats lorsque coolkey prend en charge votre carte à puce

Configuration

Préparer un certificat racine

Un certificat racine est utilisé pour vérifier le certificat sur la carte à puce. Procédez comme suit pour télécharger et installer un certificat racine.

  1. Procurez-vous un certificat racine au format PEM, généralement auprès de votre serveur d’autorité de certification.

    Vous pouvez exécuter une commande similaire à la suivante pour convertir un fichier DER (*.crt, *.cer, *.der) en PEM. Dans l’exemple de commande suivant, certnew.cer est un fichier DER.

    openssl x509 -inform der -in certnew.cer -out certnew.pem
    
  2. Installez le certificat racine dans le répertoire openssl. Le fichier certnew.pem est utilisé à titre d’exemple.

    cp certnew.pem /etc/pki/CA/certs/

Configurer la base de données NSS

Le module de connexion au VDA Linux utilise la base de données NSS pour accéder aux cartes à puce et aux certificats. Procédez comme suit pour configurer la base de données NSS.

  1. Ajoutez le certificat racine mentionné précédemment à la base de données NSS.

    certutil -A -n "My Corp Root" -t "CT,C,C" -a -d /etc/pki/nssdb -i  /etc/pki/CA/certs/certnew.pem
    
  2. Exécutez la commande suivante pour vérifier que le certificat racine est correctement ajouté à la base de données NSS.

    certutil -L -d /etc/pki/nssdb
    

    Les résultats de la commande sont similaires aux suivants si le certificat racine est ajouté avec succès.

    image des résultats de la commande lorsque le certificat racine est ajouté avec succès

  3. Vérifiez si CoolKey est installé dans la bibliothèque NSS PKCS # 11.

    modutil -list -dbdir /etc/pki/nssdb
    

    Les résultats de la commande sont similaires aux suivants si le module CoolKey est installé.

    image des résultats de la commande lorsque le module coolkey est installé

    Si le module CoolKey n’est pas installé, exécutez la commande suivante pour l’installer manuellement et vérifiez à nouveau l’installation.

    modutil -add "CoolKey PKCS #11 Module" -libfile libcoolkeypk11.so -dbdir /etc/pki/nssdb
    

Configurer l’environnement de la carte à puce

Vous pouvez utiliser le script ctxsmartlogon.sh pour configurer l’environnement de carte à puce ou effectuer la configuration manuellement.

  • Utiliser le script ctxsmartlogon.sh pour configurer l’environnement de carte à puce

    Remarque :

    Le script ctxsmartlogon.sh définit CoolKey comme pilote de carte à puce par défaut et ajoute des informations pkinit au domaine par défaut. Vous pouvez modifier ce paramètre via les fichiers de configuration /etc/pam.d/smartcard-auth et /etc/krb5.conf.

    Avant d’utiliser les cartes à puce pour la première fois, exécutez le script ctxsmartlogon.sh pour configurer l’environnement de la carte à puce.

     sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh
    

    Les résultats ressemblent à ce qui suit :

    image de l'exécution du script ctxsmartlogon.sh pour activer

    Pour désactiver les cartes à puce :

     sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh
    

    Les résultats ressemblent à ce qui suit :

    image de l'exécution du script ctxsmartlogon.sh pour désactiver

  • Configurer manuellement l’environnement de carte à puce

    Le VDA Linux utilise le même environnement de carte à puce que le VDA Windows. Dans l’environnement, plusieurs composants doivent être configurés, notamment le contrôleur de domaine, l’autorité de certification Microsoft (CA), Internet Information Services, Citrix StoreFront et l’application Citrix Workspace. Pour plus d’informations sur la configuration basée sur la carte à puce Yubikey 4, consultez l’article CTX206156 du Centre de connaissances.

    Avant de passer à l’étape suivante, vérifiez que tous les composants sont correctement configurés, que la clé privée et le certificat utilisateur sont téléchargés sur la carte à puce et que vous pouvez ouvrir une session sur le VDA Windows à l’aide de la carte à puce.

Installer les packages PC/SC Lite

PCSC Lite est une mise en œuvre de la spécification PC/SC (Personal Computer/Smart Card) sous Linux. Il fournit une interface de carte à puce Windows pour communiquer avec les cartes à puce et les lecteurs. La redirection de carte à puce dans le VDA Linux est implémentée au niveau PC/SC.

Exécutez la commande suivante pour installer les packages PC/SC Lite.

yum install pcsc-lite pcsc-lite-ccid pcsc-lite-libs

Installer le pilote de la carte à puce

CoolKey est un pilote de carte à puce largement utilisé sur RHEL. Si CoolKey n’est pas installé, exécutez la commande suivante pour l’installer.

yum install coolkey

Installer les modules PAM pour l’authentification par carte à puce

Exécutez la commande suivante pour installer les modules pam_krb5 et krb5-pkinit.

yum install pam_krb5 krb5-pkinit

Le module pam_krb5 est un module d’authentification enfichable que les applications prenant en charge PAM peuvent utiliser pour vérifier les mots de passe et obtenir des tickets d’octroi de tickets depuis le centre de distribution de clés (KDC). Le module krb5-pkinit contient le plugin PKINIT qui permet aux clients d’obtenir les informations d’identification initiales depuis le KDC à l’aide d’une clé privée et d’un certificat.

Configurer le module pam_krb5

Le module pam_krb5 interagit avec le KDC pour obtenir des tickets Kerberos à l’aide des certificats de la carte à puce. Pour activer l’authentification pam_krb5 dans PAM, exécutez la commande suivante :

authconfig --enablekrb5 --update

Dans le fichier de configuration /etc/krb5.conf, ajoutez des informations pkinit en fonction du domaine réel.

EXAMPLE.COM = {

    kdc = KDC. EXAMPLE.COM

    auth_to_local = RULE:[1:$1@$0]

    pkinit_anchors = FILE:/etc/pki/CA/certs/certnew.pem

    pkinit_kdc_hostname = KDC.EXAMPLE.COM

    pkinit_cert_match = ||<EKU>msScLogin,<KU>digitalSignature

    pkinit_eku_checking = kpServerAuth

 }

Le fichier de configuration ressemble à ce qui suit une fois que vous avez ajouté les informations pkinit.

image des informations pkinit ajoutées

Configurer l’authentification PAM

Les fichiers de configuration PAM indiquent les modules qui sont utilisés pour l’authentification PAM. Pour ajouter pam_krb5 en tant que module d’authentification, ajoutez la ligne suivante au fichier /etc/pam.d/smartcard-auth :

auth [success=done ignore=ignore default=die] pam_krb5.so preauth_options=X509_user_identity=PKCS11:/usr/lib64/pkcs11/libcoolkeypk11.so

Le fichier de configuration ressemble à ce qui suit après les modifications si SSSD est utilisé.

image du fichier configurarion modifié si SSSD est utilisé

Le fichier de configuration ressemble à ce qui suit après les modifications si Winbind est utilisé.

image du fichier configurarion modifié si Winbind est utilisé

Le fichier de configuration ressemble à ce qui suit après les modifications si Centrify est utilisé.

image du fichier configurarion modifié si Centrify est utilisé

(Facultatif) Single Sign-On avec cartes à puce

Citrix Single Sign-On (SSO) est une fonctionnalité qui implémente l’authentification unique lors du lancement de bureaux virtuels et d’applications. Cette fonctionnalité réduit le nombre de fois que les utilisateurs entrent leur code PIN. Pour utiliser l’authentification SSO avec le VDA Linux, configurez l’application Citrix Workspace. La configuration est la même avec le VDA Windows. Pour plus d’informations, consultez l’article CTX133982 du centre de connaissances.

Activez l’authentification par carte à puce comme suit lors de la configuration de la stratégie de groupe dans l’application Citrix Workspace.

image de l'activation de l'authentification par carte à puce dans l'application Workspace

Connexion par carte à puce rapide

La carte à puce rapide constitue une amélioration par rapport à la redirection de carte à puce PC/SC HDX existante. Elle améliore les performances lorsque les cartes à puce sont utilisées dans des environnements WAN à latence élevée. Pour plus d’informations, veuillez consulter l’article cartes à puce.

Le VDA Linux prend en charge les cartes à puce rapides sur les versions suivantes de l’application Citrix Workspace :

  • Citrix Receiver pour Windows 4.12
  • Application Citrix Workspace 1808 pour Windows et versions ultérieures

Activer une connexion par carte à puce rapide sur le client

La connexion par carte à puce rapide est activée par défaut sur le VDA et désactivée par défaut sur le client. Sur le client, pour activer la connexion par carte à puce rapide, incluez le paramètre suivant dans le fichier default.ica du site StoreFront associé :

[WFClient]
SmartCardCryptographicRedirection=On

Désactiver une connexion par carte à puce rapide sur le client

Pour désactiver la connexion par carte à puce rapide sur le client, supprimez le paramètre SmartCardCryptographicRedirection dans le fichier default.ica du site StoreFront associé.

Utilisation

Se connecter au VDA Linux en utilisant une carte à puce

Les utilisateurs peuvent utiliser une carte à puce pour se connecter au VDA Linux dans les scénarios SSO et non SSO.

  • Dans le scénario SSO, les utilisateurs sont automatiquement connectés à StoreFront avec le certificat et le code PIN de la carte à puce mis en cache. Lorsque les utilisateurs lancent une session de bureau virtuel Linux dans StoreFront, le code PIN est transmis au VDA Linux pour l’authentification par carte à puce.
  • Dans le scénario non SSO, les utilisateurs sont invités à sélectionner un certificat et à entrer un code PIN pour se connecter à StoreFront.

    image de la saisie d'un code pour se connecter à StoreFront

Lorsque les utilisateurs lancent une session de bureau virtuel Linux dans StoreFront, une boîte de dialogue de connexion au VDA Linux apparaît comme suit. Le nom d’utilisateur est extrait du certificat dans la carte à puce et les utilisateurs doivent le saisir de nouveau pour l’authentification de connexion.

Le comportement est le même avec le VDA Windows.

image de connexion xendesktop

Se reconnecter à une session en utilisant une carte à puce

Pour vous reconnecter à une session, assurez-vous que la carte à puce est connectée à la machine cliente. Sinon, une fenêtre de mise en cache grise apparaît du côté du VDA Linux et se ferme rapidement car la ré-authentification échoue si la carte à puce n’est pas connectée. Aucune autre invite ne s’affiche dans ce cas pour vous rappeler de connecter la carte à puce.

Du côté de StoreFront, cependant, si une carte à puce n’est pas connectée lorsque vous essayez de vous reconnecter à une session, le site Web StoreFront peut afficher une alerte comme suit.

image du message Insérez une carte à puce

Limitation

Stratégie de retrait de carte à puce

Actuellement, le VDA Linux utilise uniquement le comportement par défaut pour le retrait de la carte à puce. Lorsque vous retirez la carte à puce après vous être connecté au VDA Linux, la session reste connectée et l’écran de session n’est pas verrouillé.

Prise en charge des autres cartes à puce et de la bibliothèque PKCS#11

Bien que seule la carte à puce CoolKey soit répertoriée dans notre liste de prise en charge, vous pouvez essayer d’utiliser d’autres cartes à puce et la bibliothèque PKCS #11 car Citrix fournit une solution générique de redirection de carte à puce. Pour passer à votre carte à puce spécifique ou à la bibliothèque PKCS#11 :

  1. Remplacez toutes les instances libcoolkeypk11.so par votre bibliothèque PKCS#11.

  2. Pour définir le chemin d’accès de votre bibliothèque PKCS#11 sur le Registre, exécutez la commande suivante :

    /opt/Citrix/VDA/bin/ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Scard" -v "PKCS11LibPath" -d "PATH"
    

    PATH pointe vers votre bibliothèque PKCS#11 comme /usr/lib64/pkcs11/libcoolkeypk11.so

  3. Désactivez la connexion par carte à puce rapide sur le client.