Verwenden von Smartcards zur Authentifizierung - Amazon WorkSpaces

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Smartcards zur Authentifizierung

Pakete für Windows und Linux WorkSpaces on WorkSpaces Streaming Protocol (WSP) ermöglichen die Verwendung von Common Access Card (CAC)- und Personal Identity Verification (PIV)- Smartcards für die Authentifizierung.

Amazon WorkSpaces unterstützt die Verwendung von Smartcards sowohl für die Authentifizierung vor der Sitzung als auch für die Authentifizierung während der Sitzung. Die Authentifizierung vor der Sitzung bezieht sich auf die Smartcard-Authentifizierung, die durchgeführt wird, während sich Benutzer bei ihrem anmelden WorkSpaces. Die Authentifizierung während der Sitzung bezieht sich auf die Authentifizierung, die durchgeführt wird, nachdem Sie sich angemeldet haben.

Beispielsweise können Sie Smartcards für die Authentifizierung während der Sitzung verwenden, während Sie mit Webbrowsern und Anwendungen arbeiten. Sie können Smartcards auch für Aktionen verwenden, für die Administratorberechtigungen erforderlich sind. Wenn der Benutzer beispielsweise über Administratorberechtigungen auf seinem Linux- verfügt WorkSpace, kann er Smartcards verwenden, um sich beim Ausführen von - sudo und -sudo -iBefehlen zu authentifizieren.

Voraussetzungen

  • Für die Authentifizierung vor der Sitzung ist ein Active-Directory-Connector-(AD-Connector)-Verzeichnis erforderlich. AD Connector verwendet die zertifikatbasierte gegenseitige Transport-Layer-Security-Authentifizierung (mutual TLS), um Benutzer mit hardware- oder softwarebasierten Smartcard-Zertifikaten bei Active Directory zu authentifizieren. Weitere Informationen zum Konfigurieren Ihres AD Connector und Ihres On-Premises-Verzeichnisses finden Sie unter Verzeichniskonfiguration.

  • Um eine Smartcard mit einem Windows- oder Linux- zu verwenden WorkSpace, muss der Benutzer den Amazon WorkSpaces -Windows-Client Version 3.1.1 oder höher oder die WorkSpaces macOS-Clientversion 3.1.5 oder höher verwenden. Weitere Informationen zur Verwendung von Smartcards mit den Windows- und macOS-Clients finden Sie unter Smartcard-Unterstützung im Amazon- WorkSpaces Benutzerhandbuch.

  • Die Stammzertifizierungsstelle und die Smartcard-Zertifikate müssen bestimmte Anforderungen erfüllen. Weitere Informationen finden Sie unter Aktivieren der mTLS-Authentifizierung in AD Connector für die Verwendung mit Smartcards im AWS Directory Service -Administratorhandbuch und unter Zertifikatanforderungen in der Microsoft-Dokumentation.

    Zusätzlich zu diesen Anforderungen WorkSpaces müssen Benutzerzertifikate, die für die Smartcard-Authentifizierung bei Amazon eingesetzt werden, die folgenden Attribute enthalten:

    • Der AD-Benutzer userPrincipalName (UPN) im Feld subjectAltName (SAN) des Zertifikats. Es wird empfohlen, Smartcard-Zertifikate für den Standard-UPN des/der Benutzer:in auszustellen.

    • Das EKU-Attribut (Extended Key Usage) für die Client-Authentifizierung (1.3.6.1.5.5.7.3.2).

    • Das EKU-Attribut für Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2).

  • Für die Authentifizierung vor der Sitzung ist das Online Certificate Status Protocol (OCSP) zur Überprüfung des Zertifikats erforderlich. Für die Authentifizierung während der Sitzung wird OCSP empfohlen, ist jedoch nicht erforderlich.

Einschränkungen

  • Nur die WorkSpaces Windows-Clientanwendung Version 3.1.1 oder höher und die macOS-Clientanwendung Version 3.1.5 oder höher werden derzeit für die Smartcard-Authentifizierung unterstützt.

  • Die WorkSpaces Windows-Clientanwendung 3.1.1 oder höher unterstützt Smartcards nur, wenn der Client auf einer 64-Bit-Version von Windows ausgeführt wird.

  • Ubuntu unterstützt derzeit WorkSpaces keine Smartcard-Authentifizierung.

  • Derzeit werden nur AD-Connector-Verzeichnisse für die Smartcard-Authentifizierung unterstützt.

  • Die Authentifizierung während der Sitzung ist in allen Regionen verfügbar, in denen WSP unterstützt wird. Die Authentifizierung vor der Sitzung ist in folgenden Regionen verfügbar:

    • Region Asien-Pazifik (Sydney)

    • Region Asien-Pazifik (Tokio)

    • Region Europa (Irland)

    • AWS GovCloud Region (USA-Ost)

    • AWS GovCloud Region (USA-West)

    • Region USA Ost (Nord-Virginia)

    • Region USA West (Oregon)

  • Für die Authentifizierung während der Sitzung und die Authentifizierung vor der Sitzung unter Linux oder Windows ist derzeit WorkSpacesnur eine Smartcard gleichzeitig zulässig.

  • Für die Authentifizierung vor der Sitzung wird die Aktivierung sowohl der Smartcard-Authentifizierung als auch der Anmeldeauthentifizierung im selben Verzeichnis derzeit nicht unterstützt.

  • Derzeit werden nur CAC- und PIV-Karten unterstützt. Andere Arten von hardware- oder softwarebasierten Smartcards funktionieren möglicherweise, wurden aber für die Verwendung mit WSP nicht hinreichend getestet.

Verzeichniskonfiguration

Zur Aktivierung der Smartcard-Authentifizierung müssen Sie Ihr AD-Connector-Verzeichnis und Ihr On-Premises-Verzeichnis wie folgt konfigurieren.

Verzeichniskonfiguration für AD Connector

Bevor Sie beginnen, stellen Sie sicher, dass Ihr AD-Connector-Verzeichnis wie unter AD-Connector-Voraussetzungen im AWS Directory Service -Administratorhandbuch beschrieben eingerichtet wurde. Stellen Sie insbesondere sicher, dass Sie die erforderlichen Ports in Ihrer Firewall geöffnet haben.

Zum Abschließen der Konfiguration Ihres AD-Connector-Verzeichnisses folgen Sie den Anweisungen unter Aktivieren der mTLS-Authentifizierung in AD Connector für die Verwendung mit Smartcards im AWS Directory Service -Administratorhandbuch.

Anmerkung

Die Smartcard-Authentifizierung setzt voraus, dass Kerberos Constrained Delegation (KCD) ordnungsgemäß funktioniert. KCD erfordert, dass der Benutzernamenteil des AD-Connector-AccountName Servicekontos mit dem sAM desselben Benutzers übereinstimmt. Ein sAM AccountName darf 20 Zeichen nicht überschreiten.

Konfiguration des On-Premises-Verzeichnisses

Neben der Konfiguration Ihres AD-Connector-Verzeichnisses müssen Sie auch sicherstellen, dass für die Zertifikate, die für die Domain-Controller für Ihr On-Premises-Verzeichnis ausgestellt werden, die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) „KDC Authentication“ festgelegt ist. Verwenden Sie dazu die standardmäßige Kerberos-Authentifizierungszertifikatsvorlage für Active Directory Domain Services (AD DS). Verwenden Sie keine Vorlage für ein Domain-Controller-Zertifikat oder eine Zertifikatsvorlage für die Domain-Controller-Authentifizierung, da diese Vorlagen nicht die erforderlichen Einstellungen für die Smartcard-Authentifizierung enthalten.

Smartcards für Windows aktivieren WorkSpaces

Allgemeine Hinweise zur Aktivierung der Smartcard-Authentifizierung unter Windows finden Sie in der Microsoft-Dokumentation unter Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern.

So erkennen Sie den Windows-Sperrbildschirm und trennen die Sitzung

Damit Benutzer Windows entsperren können WorkSpaces , die für die Smartcard-Authentifizierung vor der Sitzung aktiviert sind, wenn der Bildschirm gesperrt ist, können Sie die Windows-Sperrbildschirmerkennung in Benutzersitzungen aktivieren. Wenn der Windows-Sperrbildschirm erkannt wird, wird die WorkSpace Sitzung getrennt, und der Benutzer kann sich mithilfe seiner Smartcard erneut mit dem WorkSpaces Client verbinden.

Sie können mithilfe der Gruppenrichtlinieneinstellungen das Trennen der Sitzung aktivieren, wenn der Windows-Sperrbildschirm für Windows-WorkSpaces erkannt wird. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des Trennens der Sitzung bei Bildschirmsperre für WSP.

So aktivieren Sie die Authentifizierung während der Sitzung oder vor der Sitzung

Standardmäßig WorkSpaces ist Windows nicht aktiviert, um die Verwendung von Smartcards für die Authentifizierung vor oder während der Sitzung zu unterstützen. Bei Bedarf können Sie die Authentifizierung während der Sitzung und vor der Sitzung für Windows mithilfe WorkSpaces der Gruppenrichtlinieneinstellungen aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Smartcard-Umleitung für WSP.

Zur Authentifizierung vor der Sitzung müssen Sie nicht nur die Gruppenrichtlinieneinstellungen aktualisieren, sondern auch die Authentifizierung vor der Sitzung über Ihre AD-Connector-Verzeichniseinstellungen aktivieren. Weitere Informationen finden Sie in den Anweisungen unter Aktivieren der mTLS-Authentifizierung in AD Connector für die Verwendung mit Smartcards im AWS Directory Service -Administratorhandbuch.

So ermöglichen Sie die Verwendung von Smartcards in einem Browser

Wenn Ihre Benutzer Chrome als Browser verwenden, ist für die Verwendung von Smartcards keine spezielle Konfiguration erforderlich.

Wenn Ihre Benutzer Firefox als Browser verwenden, können Sie Ihren Benutzern mithilfe von Gruppenrichtlinien die Verwendung von Smartcards in Firefox ermöglichen. Sie können diese Vorlagen für Firefox-Gruppenrichtlinien in verwenden GitHub.

Sie können beispielsweise die 64-Bit-Version von OpenSC für Windows installieren, um PKCS #11 zu unterstützen, und dann die folgende Gruppenrichtlinieneinstellung verwenden, wobei NAME_OF_DEVICE der Wert ist, den Sie zur Identifizierung von PKCS #11 verwenden möchten (z. B. OpenSC), und PATH_TO_LIBRARY_FOR_DEVICE der Pfad zum PKCS-#11-Modul ist. Dieser Pfad sollte auf eine Bibliothek mit der Erweiterung .DLL verweisen (z. B. C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll).

Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
Tipp

Wenn Sie OpenSC verwenden, können Sie das OpenSC-Modul pkcs11 auch in Firefox laden, indem Sie das Programm pkcs11-register.exe ausführen. Zur Ausführung dieses Programms klicken Sie entweder doppelt auf die Datei unter C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe oder öffnen Sie ein Befehlszeilenfenster und führen Sie den folgenden Befehl aus:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"

Gehen Sie wie folgt vor, um zu überprüfen, ob das OpenSC-Modul pkcs11 in Firefox geladen wurde:

  1. Wenn Firefox bereits läuft, schließen Sie es.

  2. Öffnen Sie Firefox. Wählen Sie die Menüschaltfläche 
                                Firefox menu button
                            in der oberen rechten Ecke und dann Optionen aus.

  3. Wählen Sie auf der Seite about:preferences im linken Navigationsbereich die Option Datenschutz & Sicherheit aus.

  4. Wählen Sie unter Zertifikate die Option Sicherheitsgeräte aus.

  5. Im Dialogfeld Geräte-Manager sollte im linken Navigationsbereich das OpenSC-Smartcard-Framework (0.21) angezeigt werden und es sollte die folgenden Werte haben, wenn Sie es auswählen:

    Modul: OpenSC smartcard framework (0.21)

    Pfad: C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll

Fehlerbehebung

Informationen zur Problembehandlung bei Smartcards finden Sie in der Microsoft-Dokumentation unter Zertifikat- und Konfigurationsprobleme.

Einige häufig auftretende Probleme, die zu Problemen führen können:

  • Falsche Zuordnung der Slots zu den Zertifikaten.

  • Es befinden sich mehrere Zertifikate auf der Smartcard, die dem/der Benutzer:in entsprechen können. Zertifikate werden anhand der folgenden Kriterien abgeglichen:

    • Die Stammzertifizierungsstelle für das Zertifikat.

    • Die Felder <KU> und <EKU> des Zertifikats.

    • Der UPN im Zertifikatantragsteller.

  • Mehrere Zertifikate, die <EKU>msScLogin in der Schlüsselnutzung verwendet.

Im Allgemeinen empfiehlt es sich, nur ein Zertifikat für die Smartcard-Authentifizierung zu verwenden, das dem allerersten Slot der Smartcard zugeordnet ist.

Die Tools zur Verwaltung der Zertifikate und Schlüssel auf der Smartcard (z. B. zum Entfernen oder Neuzuordnen der Zertifikate und Schlüssel) können herstellerspezifisch sein. Weitere Informationen finden Sie in der vom Hersteller Ihrer Smartcards mitgelieferten Dokumentation.

Smartcards für Linux aktivieren WorkSpaces

Anmerkung

Linux WorkSpaces auf WSP hat derzeit die folgenden Einschränkungen:

  • Zwischenablage-, Audioeingang-, Videoeingang- und Zeitzonenumleitung werden nicht unterstützt.

  • Mehrere Monitore werden nicht unterstützt.

  • Sie müssen die WorkSpaces Windows-Clientanwendung verwenden, um eine Verbindung zu Linux WorkSpaces auf WSP herzustellen.

Um die Verwendung von Smartcards unter Linux zu ermöglichen WorkSpaces, müssen Sie eine Stammzertifizierungsstellenzertifikatdatei im PEM-Format in das WorkSpace Image aufnehmen.

So erhalten Sie Ihr Stammzertifizierungsstellenzertifikat

Sie können Ihr Stammzertifizierungsstellenzertifikat auf verschiedene Arten erhalten:

  • Sie können ein Stammzertifizierungsstellenzertifikat verwenden, das von einer externen Zertifizierungsstelle betrieben wird.

  • Sie können Ihr eigenes Stammzertifizierungsstellenzertifikat mithilfe der Website für die Webregistrierung exportieren. Dabei handelt es sich entweder um http://ip_address/certsrv oderhttp://fqdn/certsrv, wobei ip_address und fqdn die IP-Adresse und der vollqualifizierte Domain-Name (FQDN) des Stammzertifizierungsstellenservers sind. Weitere Informationen zur Verwendung der Website für die Webregistrierung finden Sie in der Microsoft-Dokumentation unter So exportieren Sie ein Stammzertifizierungsstellenzertifikat.

  • Mit dem folgenden Verfahren können Sie das Stammzertifizierungsstellenzertifikat von einem Stammzertifizierungsserver exportieren, auf dem die Active-Directory-Zertifikatsdienste (AD CS) ausgeführt werden. Informationen zur Installation von AD CS finden Sie in der Microsoft-Dokumentation unter Installieren der Zertifizierungsstelle.

    1. Melden Sie sich mit einem Administratorkonto beim Stammzertifizierungsstellenserver an.

    2. Öffnen Sie im Windows-Startmenü ein Befehlszeilenfenster (Start > Windows-System > Eingabeaufforderung).

    3. Verwenden Sie den folgenden Befehl, um das Stammzertifizierungsstellenzertifikat in eine neue Datei zu exportieren, wobei der Name der neuen Datei rootca.cer lautet:

      certutil -ca.cert rootca.cer

      Weitere Informationen zum Ausführen von certutil finden Sie unter certutil in der Microsoft-Dokumentation.

    4. Verwenden Sie den folgenden OpenSSL-Befehl, um das exportierte Stammzertifizierungsstellenzertifikat vom DER-Format in das PEM-Format zu konvertieren, wobei rootca der Name des Zertifikats ist. Weitere Informationen zu OpenSSL finden Sie unter http://www.openssl.org.

      openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
So fügen Sie Ihr Stammzertifizierungsstellenzertifikat zu Linux hinzu WorkSpaces

Zur Unterstützung bei der Aktivierung von Smartcards haben wir das enable_smartcard-Skript zu unseren Amazon-Linux-WSP-Paketen hinzugefügt. Dieses Skript führt die folgenden Aktionen aus:

  • Importiert Ihr Stammzertifizierungsstellenzertifikat in die Network-Security-Services-(NSS)-Datenbank.

  • Installiert das pam_pkcs11-Modul für die PAM-Authentifizierung (Pluggable Authentication Module).

  • Führt eine Standardkonfiguration durch, die die Aktivierung von pkinit während der WorkSpace Bereitstellung beinhaltet.

Im folgenden Verfahren wird erläutert, wie Sie das enable_smartcardSkript verwenden, um Ihr Stammzertifizierungsstellenzertifikat zu Linux hinzuzufügen WorkSpaces und Smartcards für Ihr Linux- zu aktivieren WorkSpaces.

  1. Erstellen Sie ein neues Linux WorkSpace mit aktiviertem WSP-Protokoll. Stellen Sie beim Starten der WorkSpace in der Amazon- WorkSpaces Konsole auf der Seite Pakete auswählen sicher, dass Sie WSP für das Protokoll auswählen, und wählen Sie dann eines der öffentlichen Pakete von Amazon Linux 2 aus.

  2. WorkSpaceFühren Sie in der neuen den folgenden Befehl als Stamm aus, wobei der Pfad zur Stammzertifizierungsstellenzertifikatsdatei im PEM-Format pem-path ist.

    /usr/lib/skylight/enable_smartcard --ca-cert pem-path
    Anmerkung

    Linux WorkSpaces geht davon aus, dass die Zertifikate auf den Smartcards für den Standardbenutzerprinzipalnamen (User Principal Name, UPN) des Benutzers ausgestellt werden, z. B. sAMAccountName@domain, wobei ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) domain ist.

    Weitere Informationen zu alternativen UPN-Suffixen finden Sie unter run /usr/lib/skylight/enable_smartcard --help. Die Zuordnung für alternative UPN-Suffixe ist für jeden/jede Benutzer:in eindeutig. Daher muss diese Zuordnung einzeln auf jedem der Benutzer durchgeführt werden WorkSpace.

  3. (Optional) Standardmäßig sind alle -Services aktiviert, um die Smartcard-Authentifizierung unter Linux zu verwenden WorkSpaces. Sie müssen /etc/pam.d/system-auth bearbeiten, um die Smartcard-Authentifizierung nur auf bestimmte Services zu beschränken. Entfernen Sie den Kommentar der Zeile auth für pam_succeed_if.so und bearbeiten Sie die Liste der Services nach Bedarf.

    Nachdem die Zeile auth kein Kommentar mehr ist, müssen Sie sie der Liste hinzufügen, damit ein Service die Smartcard-Authentifizierung verwenden kann. Damit ein Service nur die Passwortauthentifizierung verwendet, müssen Sie ihn aus der Liste entfernen.

  4. Führen Sie alle zusätzlichen Anpassungen an der durch WorkSpace. Möglicherweise möchten Sie beispielsweise eine systemweite Richtlinie hinzufügen, um Benutzern die Verwendung von Smartcards in Firefox zu ermöglichen. (Chrome-Benutzer müssen Smartcards auf ihren Clients selbst aktivieren. Weitere Informationen finden Sie unter Smartcard-Unterstützung im Amazon- WorkSpaces Benutzerhandbuch.)

  5. Erstellen Sie ein benutzerdefiniertes WorkSpace Image und ein Paket aus der WorkSpace.

  6. Verwenden Sie das neue benutzerdefinierte Paket, um WorkSpaces für Ihre Benutzer zu starten.

So ermöglichen Sie Benutzern die Verwendung von Smartcards in Firefox

Sie können Ihren Benutzern die Verwendung von Smartcards in Firefox ermöglichen, indem Sie Ihrem Linux- WorkSpace Image eine SecurityDevices Richtlinie hinzufügen. Weitere Informationen zum Hinzufügen von systemweiten Richtlinien zu Firefox finden Sie in den Mozilla-Richtlinienvorlagen auf GitHub.

  1. Erstellen Sie in der WorkSpace , mit der Sie Ihr WorkSpace Image erstellen, eine neue Datei mit dem Namen policies.json in /usr/lib64/firefox/distribution/.

  2. Fügen Sie in der JSON-Datei die folgende SecurityDevices Richtlinie hinzu, wobei der Wert NAME_OF_DEVICE ist, den Sie zur Identifizierung des pkcs Moduls verwenden möchten. So können Sie beispielsweise einen Wert wie "OpenSC" verwenden:

    { "policies": { "SecurityDevices": { "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so" } } }
Fehlerbehebung

Zur Fehlerbehebung empfehlen wir, das pkcs11-tools-Hilfsprogramm hinzuzufügen. Mit dem Hilfsprogramm können Sie die folgenden Aktionen ausführen:

  • Auflisten aller Smartcards

  • Auflisten der Slots auf jeder Smartcard

  • Auflisten der Zertifikate auf jeder Smartcard

Einige häufig auftretende Probleme, die zu Problemen führen können:

  • Falsche Zuordnung der Slots zu den Zertifikaten.

  • Es befinden sich mehrere Zertifikate auf der Smartcard, die dem/der Benutzer:in entsprechen können. Zertifikate werden anhand der folgenden Kriterien abgeglichen:

    • Die Stammzertifizierungsstelle für das Zertifikat.

    • Die Felder <KU> und <EKU> des Zertifikats.

    • Der UPN im Zertifikatantragsteller.

  • Mehrere Zertifikate, die <EKU>msScLogin in der Schlüsselnutzung verwendet.

Im Allgemeinen empfiehlt es sich, nur ein Zertifikat für die Smartcard-Authentifizierung zu verwenden, das dem allerersten Slot der Smartcard zugeordnet ist.

Die Tools zur Verwaltung der Zertifikate und Schlüssel auf der Smartcard (z. B. zum Entfernen oder Neuzuordnen der Zertifikate und Schlüssel) können herstellerspezifisch sein. Zusätzliche Tools, mit deren Hilfe Sie mit Smartcards arbeiten können, sind:

  • opensc-explorer

  • opensc-tool

  • pkcs11_inspect

  • pkcs11_listcerts

  • pkcs15-tool

So aktivieren Sie die Protokollierung

Zur Behebung von Fehlern in Ihrer pam-krb5- und pam_pkcs11-Konfiguration können Sie die Debug-Protokollierung aktivieren.

  1. Bearbeiten Sie in der /etc/pam.d/system-auth-ac-Datei die auth-Aktion und ändern Sie den nodebug-Parameter von pam_pksc11.so zu debug.

  2. Ändern Sie in der Datei /etc/pam_pkcs11/pam_pkcs11.conf debug = false; zu debug = true;. Die debug-Option gilt separat für jedes Mapper-Modul, sodass Sie sie möglicherweise sowohl direkt im pam_pkcs11-Abschnitt als auch im entsprechenden Mapper-Abschnitt ändern müssen (standardmäßig ist dies mapper generic).

  3. Bearbeiten Sie in der /etc/pam.d/system-auth-ac-Datei die auth-Aktion und fügen Sie den debug- oder debug_sensitive-Parameter zu pam_krb5.so hinzu.

Nachdem Sie die Debug-Protokollierung aktiviert haben, gibt das System pam_pkcs11-Debug-Meldungen direkt im aktiven Terminal aus. Nachrichten von pam_krb5 werden in /var/log/secure protokolliert.

Verwenden Sie den folgenden pklogin_finder-Befehl, um zu überprüfen, welchem Benutzernamen ein Smartcard-Zertifikat zugeordnet ist:

sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf

Geben Sie bei entsprechender Aufforderung die Smartcard-PIN ein. pklogin_finder gibt in stdout den Benutzernamen auf dem Smartcard-Zertifikat in der Form NETBIOS\username aus. Dieser Benutzername sollte mit dem WorkSpace Benutzernamen übereinstimmen.

In Active Directory Domain Services (AD DS) ist der NetBIOS-Domain-Name der Domain-Name vor Windows 2000. Normalerweise (aber nicht immer) ist der NetBIOS-Domain-Name die Unterdomain des DNS-Domain-Namens (Domain Name System). Wenn der DNS-Domain-Name example.com lautet, kann die NetBIOS-Domain beispielsweise EXAMPLE sein. Wenn der DNS-Domain-Name corp.example.com lautet, ist der NetBIOS-Domain normalerweise CORP.

Für den Benutzer mmajor in der Domain pklogin_finder lautet die Ausgabe von corp.example.com beispielsweise CORP\mmajor.

Anmerkung

Wenn Sie die Nachricht "ERROR:pam_pkcs11.c:504: verify_certificate() failed" erhalten, weist diese Meldung darauf hin, dass pam_pkcs11 auf der Smartcard ein Zertifikat gefunden hat, das den Kriterien für den Benutzernamen entspricht, das aber nicht mit einem Stammzertifizierungsstellenzertifikat verknüpft ist, das vom Computer anerkannt wird. In diesem Fall gibt pam_pkcs11 die Meldung oben aus und es wird dann das nächste Zertifikat versucht. Die Authentifizierung ist nur möglich, wenn ein Zertifikat gefunden wird, das sowohl dem Benutzernamen entspricht als auch mit einem anerkannten Stammzertifizierungsstellenzertifikat verknüpft ist.

Zur Behebung von Fehlern in Ihrer pam_krb5-Konfiguration können Sie sie kinit manuell im Debug-Modus mit dem folgenden Befehl aufrufen:

KRB5_TRACE=/dev/stdout kinit -V

Mit diesem Befehl sollte erfolgreich ein Kerberos Ticket Granting Ticket (TGT) abgerufen werden. Falls dies fehlschlägt, versuchen Sie, dem Befehl explizit den richtigen Kerberos-Prinzipalnamen hinzuzufügen. Verwenden Sie beispielsweise für den Benutzer mmajor in der Domain corp.example.com diesen Befehl:

KRB5_TRACE=/dev/stdout kinit -V mmajor

Wenn dieser Befehl erfolgreich ist, liegt das Problem höchstwahrscheinlich in der Zuordnung vom WorkSpace Benutzernamen zum Kerberos-Prinzipalnamen vor. Überprüfen Sie den [appdefaults]/pam/mappings-Abschnitt in der Datei /etc/krb5.conf.

Wenn dieser Befehl nicht erfolgreich ist, ein passwortbasierter kinit-Befehl jedoch erfolgreich ist, überprüfen Sie die entsprechenden Konfigurationen zu pkinit_ in der Datei /etc/krb5.conf. Wenn die Smartcard beispielsweise mehr als ein Zertifikat enthält, müssen Sie möglicherweise Änderungen an pkinit_cert_match vornehmen.