Linux仮想配信エージェント 2411

PDFを表示

スマートカード

April 13, 2026

寄稿者:

C C

Linux仮想デスクトップセッションにログオンする際、クライアントデバイスに接続されたスマートカードを認証に使用できます。この機能は、ICA®スマートカード仮想チャネルを介したスマートカードリダイレクトによって実装されます。セッション内でスマートカードを使用することもできます。使用例は次のとおりです。
ドキュメントへのデジタル署名の追加
電子メールの暗号化または復号化
Webサイトへの認証

Linux VDAは、この機能にWindows VDAと同じ構成を使用します。詳細については、この記事の「スマートカード環境の構成」セクションを参照してください。

注：

Linux VDAセッション内でマップされたスマートカードを使用してCitrix Gatewayにサインオンすることはサポートされていません。

前提条件

スマートカードパススルー認証の可用性は、次の条件に依存します。

Linux VDAがDelivery Controller™に登録でき、Windows資格情報を使用して公開されたLinuxデスクトップセッションを開くことができること。
OpenSCでサポートされているスマートカードが使用されていること。詳細については、「OpenSCがスマートカードをサポートしていることを確認する」を参照してください。

OpenSCがスマートカードをサポートしていることを確認する

OpenSCは、RHEL 7.4以降で広く使用されているスマートカードドライバーです。CoolKeyの完全互換の代替として、OpenSCは多くの種類のスマートカードをサポートしています（「Red Hat Enterprise Linuxでのスマートカードサポート」を参照）。

この記事では、構成を説明するためにYubiKeyスマートカードを例として使用します。YubiKeyは、Amazonまたは他の小売業者から簡単に購入できるオールインワンのUSB CCID PIVデバイスです。OpenSCドライバーはYubiKeyをサポートしています。

組織でより高度なスマートカードが必要な場合は、サポートされているLinuxディストリビューションとOpenSCパッケージがインストールされた物理マシンを準備してください。OpenSCのインストールについては、「スマートカードドライバーのインストール」を参照してください。スマートカードを挿入し、次のコマンドを実行して、OpenSCがスマートカードをサポートしていることを確認します。

pkcs11-tool --module opensc-pkcs11.so --list-slots
<!--NeedCopy-->

構成

ルート証明書の準備

ルート証明書は、スマートカード上の証明書を検証するために使用されます。ルート証明書をダウンロードしてインストールするには、次の手順を実行します。

ルート証明書をPEM形式で取得します。通常はCAサーバーから取得します。

DERファイル（*.crt、*.cer、*.der）をPEMに変換するには、次のようなコマンドを実行します。次のコマンド例では、certnew.cerはDERファイルです。
```
openssl x509 -inform der -in certnew.cer -out certnew.pem

```
ルート証明書をopensslディレクトリにインストールします。certnew.pemファイルは例として使用されます。
```
cp certnew.pem <path where you install the root certificate>

```
ルート証明書をインストールするためのパスを作成するには、sudo mdkir -p <path where you install the root certificate>を実行します。

スマートカード環境の構成

ctxsmartlogon.shスクリプトを使用してスマートカード環境を構成するか、手動で構成を完了することができます。

（オプション1）ctxsmartlogon.shスクリプトを使用してスマートカード環境を構成する

注：

ctxsmartlogon.shスクリプトは、PKINIT情報をデフォルトレルムに追加します。この設定は、/etc/krb5.conf構成ファイルを通じて変更できます。

スマートカードを初めて使用する前に、ctxsmartlogon.shスクリプトを実行してスマートカード環境を構成します。

ヒント：

ドメイン参加にSSSDを使用している場合は、ctxsmartlogon.shを実行した後、SSSDサービスを再起動してください。 RHEL 8以降では、PAM_KRB5がEPELリポジトリに移動されたため、スクリプトはこれらのディストリビューションでEPELを有効にしようとします。

sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh
<!--NeedCopy-->

結果は次のようになります。

ctxsmartlogon.shスクリプトを実行し、「はい」を選択する

注：

ドメイン参加方法としてQuestを使用している場合、Key Distribution Center（KDC）のホスト名を指定する必要があります。例：

ctxsmartlogon.shスクリプトを実行してスマートカードを無効にすることもできます。

sudo /opt/Citrix/VDA/sbin/ctxsmartlogon.sh
<!--NeedCopy-->

結果は次のようになります。

ctxsmartlogon.shスクリプトを実行し、「いいえ」を選択する

（オプション2）スマートカード環境を手動で構成する

Linux VDAは、Windows VDAと同じスマートカード環境を使用します。この環境では、ドメインコントローラー、Microsoft証明機関（CA）、インターネットインフォメーションサービス、Citrix StoreFront、Citrix Workspaceアプリなど、複数のコンポーネントを構成する必要があります。YubiKeyスマートカードに基づいた構成については、Knowledge Centerの記事CTX206156を参照してください。

次のステップに進む前に、以下を確認してください。

すべてのコンポーネントが正しく構成されていること。
プライベートキーとユーザー証明書がスマートカードにダウンロードされていること。
スマートカードを使用してVDAに正常にログオンできること。

PC/SC Lite パッケージのインストール

PCSC Lite は、Linux における Personal Computer/Smart Card (PC/SC) 仕様の実装です。これは、スマートカードおよびリーダーと通信するための Windows スマートカードインターフェイスを提供します。Linux VDA のスマートカードリダイレクトは、PC/SC レベルで実装されています。

PC/SC Lite パッケージをインストールするには、次のコマンドを実行します。

RHEL 9.4/9.2/8.x、Rocky Linux 9.4/9.2/8.x:

yum install pcsc-lite pcsc-lite-ccid pcsc-lite-libs
<!--NeedCopy-->

Ubuntu 24.04、Ubuntu 22.04、Ubuntu 20.04、Debian 12.7、Debian 12.5、Debian 11.11:

apt-get install -y libpcsclite1 libccid
<!--NeedCopy-->

スマートカードドライバーのインストール

OpenSC は広く使用されているスマートカードドライバーです。OpenSC がインストールされていない場合は、次のコマンドを実行してインストールします。

RHEL 9.4/9.2/8.x、Rocky Linux 9.4/9.2/8.x:

yum install opensc
<!--NeedCopy-->

Ubuntu 24.04、Ubuntu 22.04、Ubuntu 20.04、Debian 12.7、Debian 12.5、Debian 11.11:

apt-get install -y opensc
<!--NeedCopy-->

スマートカード認証用 PAM モジュールのインストール

pam_krb5 および krb5-pkinit モジュールをインストールするには、次のコマンドを実行します。

RHEL 9.4/9.2/8.x、Rocky Linux 9.4/9.2/8.x:

yum install krb5-pkinit
<!--NeedCopy-->

Ubuntu 24.04、Ubuntu 22.04、Ubuntu 20.04:

apt-get install libpam-krb5 krb5-pkinit
<!--NeedCopy-->

Debian 12.7、Debian 12.5、Debian 11.11:

apt-get install -y libpam-krb5 krb5-pkinit
<!--NeedCopy-->

pam_krb5 モジュールは、プラガブル認証モジュールです。PAM 対応アプリケーションは pam_krb5 を使用してパスワードをチェックし、Key Distribution Center (KDC) からチケット保証チケットを取得できます。krb5-pkinit モジュールには、クライアントが秘密鍵と証明書を使用して KDC から初期資格情報を取得できるようにする PKINIT プラグインが含まれています。

pam_krb5 モジュールの構成

pam_krb5 モジュールは KDC と連携して、スマートカード内の証明書を使用して Kerberos チケットを取得します。PAM で pam_krb5 認証を有効にするには、次のコマンドを実行します。

authconfig --enablekrb5 --update
<!--NeedCopy-->

/etc/krb5.conf 構成ファイルに、実際のレルムに従って PKINIT 情報を追加します。

注：

pkinit_cert_match オプションは、PKINIT 認証を試行する前にクライアント証明書が一致する必要がある照合ルールを指定します。照合ルールの構文は次のとおりです。

[relation-operator] component-rule …

ここで、relation-operator は && (すべてのコンポーネントルールが一致する必要があることを意味します) または **

以下は、一般的な krb5.conf ファイルの例です。

EXAMPLE.COM = {

    kdc = KDC.EXAMPLE.COM

    auth_to_local = RULE:[1:$1@$0]

    pkinit_anchors = FILE:<path where you install the root certificate>/certnew.pem

    pkinit_kdc_hostname = KDC.EXAMPLE.COM

    pkinit_cert_match = ||<EKU>msScLogin,<KU>digitalSignature

    pkinit_eku_checking = kpServerAuth

 }
<!--NeedCopy-->

PKINIT 情報を追加すると、構成ファイルは次のようになります。

追加された PKINIT 情報

PAM 認証の構成

PAM 構成ファイルは、PAM 認証に使用されるモジュールを示します。pam_krb5 を認証モジュールとして追加するには、/etc/pam.d/smartcard-auth ファイルに次の行を追加します。

auth [success=done ignore=ignore default=die] pam_krb5.so preauth_options=X509_user_identity=PKCS11:<path to the pkcs11 driver>/opensc-pkcs11.so

SSSD を使用する場合、変更後の構成ファイルは次のようになります。

SSSD 使用時の変更された構成ファイル

(オプション) スマートカードを使用したシングルサインオン

シングルサインオン (SSO) は、仮想デスクトップおよびアプリケーションの起動時にパススルー認証を実装する Citrix の機能です。この機能により、ユーザーが PIN を入力する回数が減ります。Linux VDA で SSO を使用するには、Citrix Workspace アプリを構成します。構成は Windows VDA と同じです。詳細については、Knowledge Center の記事 CTX133982 を参照してください。

Citrix Workspace™ アプリでグループポリシーを構成する際に、スマートカード認証を次のように有効にします。

Workspace アプリでのスマートカード認証の有効化

高速スマートカードログオン

高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトに対する改善です。高遅延WAN環境でスマートカードを使用する際のパフォーマンスを向上させます。詳細については、「スマートカード」を参照してください。

Linux VDAは、以下のバージョンのCitrix Workspaceアプリで高速スマートカードをサポートしています。

Citrix Receiver for Windows 4.12
Citrix Workspaceアプリ 1808 for Windows以降

クライアントでの高速スマートカードログオンの有効化

高速スマートカードログオンは、VDAではデフォルトで有効になっており、クライアントではデフォルトで無効になっています。クライアントで高速スマートカードログオンを有効にするには、関連するStoreFrontサイトのdefault.icaファイルに次のパラメーターを含めます。

[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

クライアントでの高速スマートカードログオンの無効化

クライアントで高速スマートカードログオンを無効にするには、関連するStoreFrontサイトのdefault.icaファイルからSmartCardCryptographicRedirectionパラメーターを削除します。

XDPingの実行

前述の手順を完了した後、Linux XDPingツールを使用して、Linux VDA環境に存在する可能性のある一般的な構成の問題を確認できます。

使用方法

スマートカードを使用したLinux VDAへのログオン

スマートカードを使用して、SSOシナリオと非SSOシナリオの両方でLinux VDAにログオンできます。

SSOシナリオでは、キャッシュされたスマートカード証明書とPINを使用してStoreFront™に自動的にログオンします。StoreFrontでLinux仮想デスクトップセッションを起動すると、スマートカード認証のためにPINがLinux VDAに渡されます。
非SSOシナリオでは、StoreFrontにログオンするために証明書を選択し、PINを入力するよう求められます。

StoreFrontでLinux仮想デスクトップセッションを起動すると、Linux VDAへのログオン用のダイアログボックスが次のように表示されます。ユーザー名はスマートカードの証明書から抽出され、ログオン認証のためにPINを再度入力する必要があります。

この動作はWindows VDAと同じです。

ログオン認証

スマートカードを使用したセッションへの再接続

セッションに再接続するには、スマートカードがクライアントデバイスに接続されていることを確認してください。そうでない場合、スマートカードが接続されていないため再認証が失敗し、Linux VDA側に灰色のキャッシュウィンドウが表示されてすぐに終了します。この場合、スマートカードを接続するよう促すその他のプロンプトは表示されません。

ただし、StoreFront側では、セッションに再接続するときにスマートカードが接続されていない場合、StoreFront Webは次のようなアラートを表示する場合があります。

スマートカードの挿入

制限事項

制限されたLinuxディストリビューションとAD統合方法のサポート

スマートカードパススルー認証は、制限されたLinuxディストリビューションとAD統合方法をサポートしています。以下のマトリックスを参照してください。

	Winbind	SSSD	Centrify	Quest
Debian 12.7/12.5/11.11	はい	はい	はい	いいえ
RHEL 9.4/9.2	はい	はい	いいえ	はい
RHEL 8.10/8.8	はい	はい	はい	はい
Rocky Linux 9.4/9.2	はい	はい	いいえ	いいえ
Rocky Linux 8.10/8.8	はい	はい	いいえ	いいえ
Ubuntu 24.04	はい	はい	いいえ	いいえ
Ubuntu 22.04/20.04	はい	はい	はい	はい

スマートカード取り外し設定

セッション中にサインインしているユーザーのスマートカードがスマートカードリーダーから取り外されたときの動作を指定するには、Linux VDAで次のレジストリキーを編集します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix\LocalPolicies\SecurityOptions

Value name	Type	Default	Description
SCardRemoveOption	REG_DWORD	0x00000000	この設定は、セッション中にサインインしているユーザーのスマートカードがスマートカードリーダーから取り外されたときに何が起こるかを決定します。オプションは次のとおりです。
			0 アクションなし
			1 強制ログオフ: スマートカードの取り外し時にユーザーは自動的にサインアウトされます。
			2 セッション切断: スマートカードの取り外し時にユーザーをサインアウトせずにセッションが切断されます。ユーザーはスマートカードを再挿入して後でセッションに再接続できます。
SCardRemoveActionDelaySeconds	REG_DWORD	15	取り外しオプションが強制ログオフまたはセッション切断に設定されている場合、アクションが実行されるまでの遅延を数秒でさらに指定できます。この設定により、スマートカードが取り外された後、ユーザーセッションにメッセージボックスが表示され、指定された秒数後にセッションが強制ログオフまたは切断されることを示します。その時間内にスマートカードを再挿入すると、セッションは中断されずに続行されます。

制限事項

Linux VDAは、一度に1つのスマートカードリーダーのみをサポートします。

その他のスマートカードとPKCS#11ライブラリのサポート

Citrixは汎用スマートカードリダイレクトソリューションを提供しています。OpenSCスマートカードのみがサポートリストに記載されていますが、他のスマートカードとPKCS#11ライブラリを試すことができます。特定のスマートカードまたはPKCS#11ライブラリに切り替えるには：

すべてのopensc-pkcs11.soインスタンスをPKCS#11ライブラリに置き換えます。
PKCS#11ライブラリのパスをレジストリに設定するには、次のコマンドを実行します。
```
/opt/Citrix/VDA/bin/ctxreg update -k "HKLM\System\CurrentControlSet\Control\Citrix\VirtualChannels\Scard" -v "PKCS11LibPath" -d "PATH"

```
ここで、PATHは/usr/lib64/pkcs11/opensc-pkcs11.soのようなPKCS#11ライブラリを指します。
クライアントで高速スマートカードログオンを無効にします。

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

スマートカード

April 13, 2026

寄稿者:

C C

April 13, 2026

寄稿者:

C C

この記事の概要

前提条件
OpenSCがスマートカードをサポートしていることを確認する
構成
使用方法
- スマートカードを使用したLinux VDAへのログオン
- スマートカードを使用したセッションへの再接続
制限事項

この情報は役に立ちましたか?

スマートカード

前提条件

OpenSCがスマートカードをサポートしていることを確認する

構成

ルート証明書の準備

スマートカード環境の構成

（オプション1）ctxsmartlogon.shスクリプトを使用してスマートカード環境を構成する

（オプション2）スマートカード環境を手動で構成する

PC/SC Lite パッケージのインストール

スマートカードドライバーのインストール

スマートカード認証用 PAM モジュールのインストール

pam_krb5 モジュールの構成

PAM 認証の構成

(オプション) スマートカードを使用したシングルサインオン

高速スマートカードログオン

クライアントでの高速スマートカードログオンの有効化

クライアントでの高速スマートカードログオンの無効化

XDPingの実行

使用方法

スマートカードを使用したLinux VDAへのログオン

スマートカードを使用したセッションへの再接続

制限事項

制限されたLinuxディストリビューションとAD統合方法のサポート

スマートカード取り外し設定

制限事項

その他のスマートカードとPKCS#11ライブラリのサポート

この記事の概要