Fedora 34를 새로 설치했고 스마트 카드를 사용하여 Kerberos 티켓을 얻도록 kinit를 구성하려고 합니다. 도메인(예: Windows AD)에 가입하고 싶지 않습니다.
비밀번호로 로그인할 수 있도록 성공적으로 구성했지만 스마트 카드에서 작동하도록 할 수 없습니다. 시도하면 PIN과 비밀번호를 묻는 메시지가 나타납니다.
pkcs15-tool은 스마트 카드의 인증서를 나열하지만 여러 인증서가 있습니다. krb5.conf 파일에서 올바른 파일을 선택했는지 잘 모르겠습니다(무엇을 찾아야 할지 잘 모르겠습니다).
도메인 컨트롤러의 PEM 인증서를 /etc/ssl/certs/root로 복사하고 스마트 카드의 CA를 사용했습니다. 또한 certutil을 사용하여 동일한 인증서를 /etc/pki/nssdb에 복사했습니다.
이것은 내 krb5.conf 파일입니다.
[libdefaults]
pkinit_anchors = DIR:/etc/ssl/certs/root/
pkinit_pool = DIR:/etc/ssl/certs/sub/
#pkinit_cert_match = || <EKU>msScLogin,<KU>digitalSignature
#pkinit_eku_checking = kpServerAuth
pkinit_kdc_hostname = DC.DOMAIN.COM
pkinit_identities = PKCS11:opensc-pkcs11.so:slotid=0:certid=01
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = DC.DOMAIN.COM
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
[realms]
DC.DOMAIN.COM = {
kdc = DC.DOMAIN.COM:88
admin_server = DC.DOMAIN.COM
default_domain = DC.DOMAIN.COM
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
.dc.domain.com = DC.DOMAIN.COM
티켓을 얻을 때 사용한 명령
kinit -X 509_user_identity='PKCS11:opensc-pkcs11.so' [email protected]
-X 옵션을 빼면 비밀번호로 로그인이 가능합니다. 내가 무엇을 놓치고 있나요?
편집 - 또한 /etc/pki/nssdb에 인증서를 추가했습니다. 편집 2 - 올바른 인증서를 선택했다고 확신합니다. 인터넷에서 실행 방법에 대한 튜토리얼도 많이 봤습니다.
modutil -add "OpenSC PKCS #11 Module" -libfile opensc-pkcs11.so -dbdir /etc/pki/nssdb
하지만 이렇게 하면 이런 오류가 발생합니다.
ERROR: Failed to add module "OpenSC PKCS #11 Module". Probable cause : "Unknown PKCS #11 error.