スマートカードのサポート
Linux仮想デスクトップセッションへのログオン時に、クライアントデバイスに接続されたスマートカードを認証に使用できます。この機能は、ICA®スマートカード仮想チャネルを介したスマートカードリダイレクトによって実装されます。セッション内でスマートカードを使用することもできます。ユースケースには、ドキュメントへのデジタル署名の追加、メールの暗号化または復号化、スマートカード認証を必要とするWebサイトへの認証などがあります。
-
Linux VDAは、この機能に関してWindows VDAと同じ構成を使用します。詳細については、この記事の「スマートカード環境の構成」セクションを参照してください。
-
スマートカードを使用したパススルー認証の可用性は、以下の条件に依存します。
- Linux VDAがRHEL 7.7にインストールされていること。
- CoolKeyでサポートされているスマートカードが使用されていること。
- Citrix Workspace™アプリ for Windowsが使用されていること。
注:
Linux VDAセッション内でマップされたスマートカードを使用してCitrix Gatewayにサインオンすることは、公式にはサポートされていません。
RHEL 7.7へのLinux VDAソフトウェアのインストール
RPMパッケージマネージャーまたは簡易インストールを使用してLinux VDAソフトウェアをインストールします。詳細については、「インストール概要」セクションを参照してください。
VDAのインストールが完了したら、VDAがDelivery Controller™に登録できること、および公開されたLinuxデスクトップセッションがパスワード認証を使用して正常に起動できることを確認します。
CoolKeyがスマートカードをサポートしていることの確認
CoolKeyは、RHELで広く使用されているスマートカードドライバーです。CoolKeyは、CoolKeyカード、CAC、PIV、PKCS#15の4種類のスマートカードをサポートしています。しかし、正式にサポートおよび検証されているカードの数はまだ限られています(「Smart Card Support in Red Hat Enterprise Linux」を参照)。
この記事では、構成を説明するための例としてYubiKey 4スマートカードを使用します。YubiKey 4は、Amazonやその他の小売業者から簡単に購入できるオールインワンのUSB CCID PIVデバイスです。CoolKeyドライバーはYubiKey 4をサポートしています。
組織でより高度なスマートカードが必要な場合は、RHEL 7.7とCoolKeyパッケージがインストールされた物理マシンを準備します。CoolKeyのインストールについては、「スマートカードドライバーのインストール」を参照してください。スマートカードを挿入し、次のコマンドを実行して、CoolKeyがスマートカードをサポートしていることを確認します。
pkcs11-tool --module libcoolkeypk11.so --list-slots
<!--NeedCopy-->
CoolKeyがスマートカードをサポートしている場合、コマンド出力はスロット情報を含む次の例のようになります。
s
構成
ルート証明書の準備
ルート証明書は、スマートカード上の証明書を検証するために使用されます。ルート証明書をダウンロードしてインストールするには、次の手順を実行します。
-
通常、CAサーバーからPEM形式のルート証明書を取得します。
DERファイル(*.crt、*.cer、*.der)をPEMに変換するには、次の例のようなコマンドを実行します。次のコマンド例では、certnew.cerはDERファイルです。
openssl x509 -inform der -in certnew.cer -out certnew.pem <!--NeedCopy--> -
ルート証明書を
opensslディレクトリにインストールします。certnew.pemファイルは例として使用されます。cp certnew.pem <path where you install the root certificate> <!--NeedCopy-->ルート証明書をインストールするためのパスを作成するには、
sudo mdkir -p <path where you install the root certificate>を実行します。
NSSデータベースの構成
Linux VDAログオンモジュールは、スマートカードと証明書にアクセスするためにNSSデータベースに依存しています。NSSデータベースを構成するには、次の手順を実行します。
-
前述のルート証明書をNSSデータベースに追加します。
certutil -A -n "My Corp Root" -t "CT,C,C" -a -d /etc/pki/nssdb -i /etc/pki/CA/certs/certnew.pem <!--NeedCopy--> -
ルート証明書がNSSデータベースに正常に追加されたことを確認するには、次のコマンドを実行します。
certutil -L -d /etc/pki/nssdb <!--NeedCopy-->ルート証明書が正常に追加された場合、コマンド出力は次の例のようになります。
-
CoolKeyがNSS PKCS#11ライブラリにインストールされているかを確認します。
modutil -list -dbdir /etc/pki/nssdb <!--NeedCopy-->CoolKeyモジュールがインストールされている場合、コマンド出力は次の例のようになります。
CoolKeyモジュールがインストールされていない場合は、次のコマンドを実行してモジュールを手動でインストールし、再度インストールを確認します。
modutil -add "CoolKey PKCS #11 Module" -libfile libcoolkeypk11.so -dbdir /etc/pki/nssdb <!--NeedCopy--> -
pam_pkcs11モジュールの構成。
pam_pkcs11モジュールは、ユーザー証明書を検証するためにローカルVDA構成に依存しています。pam_pkcs11で使用されるデフォルトのルート証明書は、/etc/pam_pkcs11/cacerts/にあります。このパス内の各ルート証明書にはハッシュリンクがあります。準備したルート証明書をインストールし、pam_pkcs11を構成するには、次のコマンドを実行します。
yum install pam_pkcs11 mkdir /etc/pam_pkcs11/cacerts/ cp certnew.pem /etc/pam_pkcs11/cacerts/ cacertdir_rehash /etc/pam_pkcs11/cacerts <!--NeedCopy-->
スマートカード環境の構成
ctxsmartlogon.shスクリプトを使用してスマートカード環境を構成するか、手動で構成することができます。
-
ctxsmartlogon.shスクリプトを使用したスマートカード環境の構成
注:
ctxsmartlogon.shスクリプトは、PKINIT情報をデフォルトのレルムに追加します。この設定は、/etc/krb5.conf構成ファイルを通じて変更できます。
スマートカードを初めて使用する前に、ctxsmartlogon.shスクリプトを実行してスマートカード環境を構成します。
ヒント:
ドメイン参加にSSSDを使用している場合は、ctxsmartlogon.shを実行した後でSSSDサービスを再起動してください。
sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh <!--NeedCopy-->結果は次のようになります。
ctxsmartlogon.shスクリプトを実行してスマートカードを無効にすることもできます。
sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh <!--NeedCopy-->結果は次のようになります。
-
スマートカード環境の手動構成
Linux VDAは、Windows VDAと同じスマートカード環境を使用します。この環境では、ドメインコントローラー、Microsoft証明機関(CA)、インターネットインフォメーションサービス、Citrix StoreFront、Citrix Workspaceアプリなど、複数のコンポーネントを構成する必要があります。YubiKey 4スマートカードに基づいた構成については、Knowledge Centerの記事CTX206156を参照してください。
-
次の手順に進む前に、すべてのコンポーネントが正しく構成されていること、秘密キーとユーザー証明書がスマートカードにダウンロードされていること、およびスマートカードを使用してWindows VDAに正常にログオンできることを確認してください。
PC/SC Liteパッケージのインストール
PCSC Liteは、LinuxにおけるPersonal Computer/Smart Card(PC/SC)仕様の実装です。これは、スマートカードおよびリーダーと通信するためのWindowsスマートカードインターフェイスを提供します。Linux VDAにおけるスマートカードリダイレクトは、PC/SCレベルで実装されています。
PC/SC Liteパッケージをインストールするには、次のコマンドを実行します。
yum install pcsc-lite pcsc-lite-ccid pcsc-lite-libs
<!--NeedCopy-->
CoolKeyは、RHELで広く使用されているスマートカードドライバーです。CoolKeyがインストールされていない場合は、次のコマンドを実行してインストールします。
yum install coolkey
<!--NeedCopy-->
スマートカード認証用PAMモジュールのインストール
pam_krb5およびkrb5-pkinitモジュールをインストールするには、次のコマンドを実行します。
yum install pam_krb5 krb5-pkinit
<!--NeedCopy-->
pam_krb5モジュールは、PAM対応アプリケーションがパスワードをチェックし、Key Distribution Center(KDC)からチケット保証チケットを取得するために使用できるプラガブル認証モジュールです。krb5-pkinitモジュールには、クライアントが秘密キーと証明書を使用してKDCから初期資格情報を取得できるようにするPKINITプラグインが含まれています。
pam_krb5モジュールの構成
pam_krb5モジュールは、スマートカード内の証明書を使用してKerberosチケットを取得するためにKDCと対話します。PAMでpam_krb5認証を有効にするには、次のコマンドを実行します。
authconfig --enablekrb5 --update
<!--NeedCopy-->
/etc/krb5.conf構成ファイルに、実際のレルムに従ってPKINIT情報を追加します。
注:
pkinit_cert_matchオプションは、PKINIT認証を試行する前にクライアント証明書が一致する必要がある照合ルールを指定します。照合ルールの構文は次のとおりです。
[relation-operator] component-rule …ここで、
relation-operatorは&&(すべてのコンポーネントルールが一致する必要があることを意味します)または||(1つのコンポーネントルールのみが一致する必要があることを意味します)のいずれかです。
一般的なkrb5.confファイルの例を次に示します。
EXAMPLE.COM = {
kdc = KDC. EXAMPLE.COM
auth_to_local = RULE:[1:$1@$0]
pkinit_anchors = FILE:<path where you install the root certificate>/certnew.pem
pkinit_kdc_hostname = KDC.EXAMPLE.COM
pkinit_cert_match = ||<EKU>msScLogin,<KU>digitalSignature
pkinit_eku_checking = kpServerAuth
}
<!--NeedCopy-->
PKINIT情報を追加すると、構成ファイルは次のようになります。
PAM認証の構成
PAM構成ファイルは、PAM認証に使用されるモジュールを示します。pam_krb5を認証モジュールとして追加するには、/etc/pam.d/smartcard-authファイルに次の行を追加します。
auth [success=done ignore=ignore default=die] pam_krb5.so preauth_options=X509_user_identity=PKCS11:/usr/lib64/pkcs11/libcoolkeypk11.so
SSSDを使用する場合、変更後の構成ファイルは次のようになります。
Winbindを使用する場合、変更後の構成ファイルは次のようになります。
Centrifyを使用する場合、変更後の構成ファイルは次のようになります。
(オプション)スマートカードを使用したシングルサインオン
シングルサインオン(SSO)は、仮想デスクトップおよびアプリケーションの起動でパススルー認証を実装するCitrixの機能です。この機能により、ユーザーがPINを入力する回数が減ります。Linux VDAでSSOを使用するには、Citrix Workspaceアプリを構成します。構成はWindows VDAと同じです。詳細については、Knowledge Centerの記事CTX133982を参照してください。
Citrix Workspaceアプリでグループポリシーを構成する際に、次のようにスマートカード認証を有効にします。
高速スマートカードログオン
高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトを改善したものです。これにより、高遅延WAN環境でスマートカードを使用する場合のパフォーマンスが向上します。詳細については、「スマートカード」を参照してください。
Linux VDAは、Citrix Workspaceアプリの次のバージョンで高速スマートカードをサポートしています。
- Citrix Receiver for Windows 4.12
- Citrix Workspaceアプリ1808 for Windows以降
クライアントでの高速スマートカードログオンの有効化
高速スマートカードログオンは、VDAではデフォルトで有効になっており、クライアントではデフォルトで無効になっています。クライアントで高速スマートカードログオンを有効にするには、関連するStoreFrontサイトのdefault.icaファイルに次のパラメーターを含めます。
[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->
クライアントでの高速スマートカードログオンの無効化
クライアントで高速スマートカードログオンを無効にするには、関連するStoreFrontサイトのdefault.icaファイルからSmartCardCryptographicRedirectionパラメーターを削除します。
使用方法
スマートカードを使用したLinux VDAへのログオン
SSOシナリオと非SSOシナリオの両方で、スマートカードを使用してLinux VDAにログオンできます。
- SSOシナリオでは、キャッシュされたスマートカード証明書とPINを使用してStoreFront™に自動的にログオンします。StoreFrontでLinux仮想デスクトップセッションを起動すると、PINがスマートカード認証のためにLinux VDAに渡されます。
-
非SSOシナリオでは、StoreFrontにログオンするために証明書を選択し、PINを入力するよう求められます。
StoreFrontでLinux仮想デスクトップセッションを起動すると、Linux VDAへのログオンダイアログボックスが次のように表示されます。ユーザー名はスマートカード内の証明書から抽出され、ログオン認証のためにPINを再度入力する必要があります。
この動作はWindows VDAと同じです。
スマートカードを使用したセッションへの再接続
セッションに再接続するには、スマートカードがクライアントデバイスに接続されていることを確認してください。そうしないと、Linux VDA側で灰色のキャッシュウィンドウが表示され、スマートカードが接続されていないため再認証が失敗し、すぐに終了します。この場合、スマートカードを接続するように促す他のプロンプトは表示されません。
ただし、StoreFront側でセッションに再接続しようとしたときにスマートカードが接続されていない場合、StoreFront Webは次のようなアラートを表示する場合があります。
制限事項
スマートカード取り外しポリシー
Linux VDAは、スマートカードの取り外しに対してデフォルトの動作のみを使用します。Linux VDAに正常にログオンした後でスマートカードを取り外しても、セッションは接続されたままであり、セッション画面はロックされません。
その他のスマートカードとPKCS#11ライブラリのサポート
サポートリストにはCoolKeyスマートカードのみが記載されていますが、Citrixは汎用スマートカードリダイレクトソリューションを提供しているため、他のスマートカードとPKCS#11ライブラリを試すことができます。特定のスマートカードまたはPKCS#11ライブラリに切り替えるには:
- すべての
libcoolkeypk11.soインスタンスをPKCS#11ライブラリに置き換えます -
PKCS#11ライブラリのパスをレジストリに設定するには、次のコマンドを実行します
/opt/Citrix/VDA/bin/ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Scard" -v "PKCS11LibPath" -d "PATH" <!--NeedCopy-->ここで、PATHは/usr/lib64/pkcs11/libcoolkeypk11.soなどのPKCS#11ライブラリを指します
- クライアントで高速スマートカードログオンを無効にします