Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Smartcards für die Authentifizierung in WorkSpaces Personal verwenden
Windows- und WorkSpaces DCV Linux-Pakete ermöglichen die Verwendung von Common Access Card- (CAC)
Amazon WorkSpaces unterstützt die Verwendung von Smartcards sowohl für die Authentifizierung vor der Sitzung als auch für die Authentifizierung während der Sitzung. Die Authentifizierung vor der Sitzung bezieht sich auf die Smartcard-Authentifizierung, die durchgeführt wird, während sich Benutzer bei ihrem anmelden. WorkSpaces Die Authentifizierung während der Sitzung bezieht sich auf die Authentifizierung, die durchgeführt wird, nachdem Sie sich angemeldet haben.
Beispielsweise können Sie Smartcards für die Authentifizierung während der Sitzung verwenden, während Sie mit Webbrowsern und Anwendungen arbeiten. Sie können Smartcards auch für Aktionen verwenden, für die Administratorberechtigungen erforderlich sind. Wenn der Benutzer beispielsweise über Administratorberechtigungen für sein Linux verfügt, kann er Smartcards verwenden WorkSpace, um sich bei der Ausführung sudo
von Befehlen zu authentifizieren. sudo -i
Inhalt
Voraussetzungen
-
Für die Authentifizierung vor der Sitzung ist ein Active-Directory-Connector-(AD-Connector)-Verzeichnis erforderlich. AD Connector verwendet die zertifikatsbasierte gegenseitige Transport Layer Security-Authentifizierung (MutualTLS), um Benutzer mithilfe eines hardware- oder softwarebasierten Smartcard-Zertifikats bei Active Directory zu authentifizieren. Weitere Informationen zum Konfigurieren Ihres AD Connector und Ihres On-Premises-Verzeichnisses finden Sie unter Verzeichniskonfiguration.
-
Um eine Smartcard mit Windows oder Linux zu verwenden WorkSpace, muss der Benutzer den Amazon WorkSpaces Windows-Client Version 3.1.1 oder höher oder den WorkSpaces macOS-Client Version 3.1.5 oder höher verwenden. Weitere Informationen zur Verwendung von Smartcards mit Windows- und macOS-Clients finden Sie unter Smartcard-Support im WorkSpaces Amazon-Benutzerhandbuch.
-
Die Stammzertifizierungsstelle und die Smartcard-Zertifikate müssen bestimmte Anforderungen erfüllen. Weitere Informationen finden Sie unter Aktivieren der TLS M-Authentifizierung in AD Connector für die Verwendung mit Smartcards im AWS Directory Service Administratorhandbuch und unter Zertifikatanforderungen
in der Microsoft-Dokumentation. Zusätzlich zu diesen Anforderungen WorkSpaces müssen Benutzerzertifikate, die für die Smartcard-Authentifizierung bei Amazon verwendet werden, die folgenden Attribute enthalten:
-
Die Daten des AD-Benutzers userPrincipalName (UPN) im Feld subjectAltName (SAN) des Zertifikats. Wir empfehlen, Smartcard-Zertifikate für das Standardzertifikat des Benutzers auszustellenUPN.
-
Das Attribut für die erweiterte Schlüsselverwendung () der Client-Authentifizierung (1.3.6.1.5.5.7.3.2). EKU
-
Das Attribut Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2). EKU
-
-
Für die Authentifizierung vor der Sitzung ist das Online Certificate Status Protocol () für die Überprüfung des Zertifikatswiderrufs erforderlich. OCSP Für die Authentifizierung während der Sitzung wird dies empfohlen, OCSP ist aber nicht erforderlich.
Einschränkungen
-
Derzeit werden nur die WorkSpaces Windows-Client-Anwendung Version 3.1.1 oder höher und die macOS-Client-Anwendung Version 3.1.5 oder höher für die Smartcard-Authentifizierung unterstützt.
-
Die WorkSpaces Windows-Client-Anwendung 3.1.1 oder höher unterstützt Smartcards nur, wenn der Client auf einer 64-Bit-Version von Windows ausgeführt wird.
-
Ubuntu WorkSpaces unterstützt derzeit keine Smartcard-Authentifizierung.
-
Derzeit werden nur AD-Connector-Verzeichnisse für die Smartcard-Authentifizierung unterstützt.
-
Die Sitzungsauthentifizierung ist in allen Regionen verfügbar, in denen sie unterstützt DCV wird. Die Authentifizierung vor der Sitzung ist in folgenden Regionen verfügbar:
-
Region Asien-Pazifik (Sydney)
-
Region Asien-Pazifik (Tokio)
-
Region Europa (Irland)
-
AWS GovCloud Region (USA-Ost)
-
AWS GovCloud Region (USA West)
-
Region USA Ost (Nord-Virginia)
-
Region USA West (Oregon)
-
-
Für die Authentifizierung während der Sitzung und die Authentifizierung vor der Sitzung unter Linux oder Windows WorkSpaces ist derzeit jeweils nur eine Smartcard zulässig.
-
Für die Authentifizierung vor der Sitzung wird die Aktivierung sowohl der Smartcard-Authentifizierung als auch der Anmeldeauthentifizierung im selben Verzeichnis derzeit nicht unterstützt.
-
Derzeit CAC werden nur PIV SD-Karten unterstützt. Andere Arten von hardware- oder softwarebasierten Smartcards funktionieren möglicherweise auch, aber ihre Verwendung wurde noch nicht vollständig getestet. DCV
Verzeichniskonfiguration
Zur Aktivierung der Smartcard-Authentifizierung müssen Sie Ihr AD-Connector-Verzeichnis und Ihr On-Premises-Verzeichnis wie folgt konfigurieren.
Verzeichniskonfiguration für AD Connector
Bevor Sie beginnen, stellen Sie sicher, dass Ihr AD-Connector-Verzeichnis wie unter AD-Connector-Voraussetzungen im AWS Directory Service -Administratorhandbuch beschrieben eingerichtet wurde. Stellen Sie insbesondere sicher, dass Sie die erforderlichen Ports in Ihrer Firewall geöffnet haben.
Um die Konfiguration Ihres AD Connector-Verzeichnisses abzuschließen, folgen Sie den Anweisungen unter Aktivieren der TLS M-Authentifizierung in AD Connector für die Verwendung mit Smartcards im AWS Directory Service Administratorhandbuch.
Anmerkung
Die Smartcard-Authentifizierung setzt voraus, dass Kerberos Constrained Delegation (KCD) ordnungsgemäß funktioniert. KCDerfordert, dass der Nutzername des AD Connector Connector-Dienstkontos mit dem sAMAccount Namen desselben Benutzers übereinstimmt. Ein sAMAccount Name darf 20 Zeichen nicht überschreiten.
Konfiguration des On-Premises-Verzeichnisses
Zusätzlich zur Konfiguration Ihres AD Connector Connector-Verzeichnisses müssen Sie auch sicherstellen, dass für die Zertifikate, die für die Domänencontroller für Ihr lokales Verzeichnis ausgestellt werden, die erweiterte Schlüsselverwendung (EKU) für KDC Authentifizierung festgelegt ist. Verwenden Sie dazu die standardmäßige Kerberos-Authentifizierungszertifikatsvorlage für Active Directory Domain Services (AD DS). Verwenden Sie keine Vorlage für ein Domain-Controller-Zertifikat oder eine Zertifikatsvorlage für die Domain-Controller-Authentifizierung, da diese Vorlagen nicht die erforderlichen Einstellungen für die Smartcard-Authentifizierung enthalten.
Aktivieren Sie Smartcards für Windows WorkSpaces
Allgemeine Hinweise zur Aktivierung der Smartcard-Authentifizierung unter Windows finden Sie in der Microsoft-Dokumentation unter Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern
So erkennen Sie den Windows-Sperrbildschirm und trennen die Sitzung
Damit Benutzer Windows entsperren können, die für WorkSpaces die Smartcard-Authentifizierung vor der Sitzung aktiviert sind, wenn der Bildschirm gesperrt ist, können Sie die Windows-Sperrbildschirmerkennung in Benutzersitzungen aktivieren. Wenn der Windows-Sperrbildschirm erkannt wird, wird die WorkSpace Sitzung getrennt, und der Benutzer kann mit seiner Smartcard erneut eine Verbindung zum WorkSpaces Client herstellen.
Sie können mithilfe der Gruppenrichtlinieneinstellungen das Trennen der Sitzung aktivieren, wenn der Windows-Sperrbildschirm für Windows-WorkSpaces erkannt wird. Weitere Informationen finden Sie unter Aktivieren oder deaktivieren Sie die Sitzung mit der Bildschirmsperre für DCV.
So aktivieren Sie die Authentifizierung während der Sitzung oder vor der Sitzung
Standardmäßig ist Windows WorkSpaces nicht dafür aktiviert, die Verwendung von Smartcards für die Authentifizierung vor oder während der Sitzung zu unterstützen. Bei Bedarf können Sie mithilfe der Gruppenrichtlinieneinstellungen die Authentifizierung während der Sitzung und vor der Sitzung für Windows WorkSpaces aktivieren. Weitere Informationen finden Sie unter Aktivieren oder deaktivieren Sie die Smartcard-Umleitung für DCV.
Zur Authentifizierung vor der Sitzung müssen Sie nicht nur die Gruppenrichtlinieneinstellungen aktualisieren, sondern auch die Authentifizierung vor der Sitzung über Ihre AD-Connector-Verzeichniseinstellungen aktivieren. Weitere Informationen finden Sie in den Anweisungen unter Aktivieren der TLS M-Authentifizierung in AD Connector für die Verwendung in Smartcards im AWS Directory Service Administratorhandbuch.
So ermöglichen Sie die Verwendung von Smartcards in einem Browser
Wenn Ihre Benutzer Chrome als Browser verwenden, ist für die Verwendung von Smartcards keine spezielle Konfiguration erforderlich.
Wenn Ihre Benutzer Firefox als Browser verwenden, können Sie Ihren Benutzern mithilfe von Gruppenrichtlinien die Verwendung von Smartcards in Firefox ermöglichen. Sie können diese Firefox-Gruppenrichtlinienvorlagen
Sie können beispielsweise die 64-Bit-Version von OpenSC
ist, den Sie zur Identifizierung von PKCS #11 verwenden möchten, z. B.NAME_OF_DEVICE
OpenSC
, und wo der Pfad zum PKCS #11 -Modul
ist. Dieser Pfad sollte auf eine Bibliothek mit einem verweisen. DLLErweiterung, wiePATH_TO_LIBRARY_FOR_DEVICE
C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll
.
Software\Policies\Mozilla\Firefox\SecurityDevices\
NAME_OF_DEVICE
=PATH_TO_LIBRARY_FOR_DEVICE
Tipp
Wenn Sie OpenSC verwenden, können Sie das OpenSC-Modul pkcs11
auch in Firefox laden, indem Sie das Programm pkcs11-register.exe
ausführen. Zur Ausführung dieses Programms klicken Sie entweder doppelt auf die Datei unter C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe
oder öffnen Sie ein Befehlszeilenfenster und führen Sie den folgenden Befehl aus:
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"
Gehen Sie wie folgt vor, um zu überprüfen, ob das OpenSC-Modul pkcs11
in Firefox geladen wurde:
-
Wenn Firefox bereits läuft, schließen Sie es.
-
Öffnen Sie Firefox. Wählen Sie die Menüschaltfläche in der oberen rechten Ecke und dann Optionen aus.
-
Wählen Sie auf der Seite about:preferences im linken Navigationsbereich die Option Datenschutz & Sicherheit aus.
-
Wählen Sie unter Zertifikate die Option Sicherheitsgeräte aus.
-
Im Dialogfeld Geräte-Manager sollte im linken Navigationsbereich das OpenSC-Smartcard-Framework (0.21) angezeigt werden und es sollte die folgenden Werte haben, wenn Sie es auswählen:
Modul:
OpenSC smartcard framework (0.21)
Pfad:
C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll
Fehlerbehebung
Informationen zur Problembehandlung bei Smartcards finden Sie in der Microsoft-Dokumentation unter Zertifikat- und Konfigurationsprobleme
Einige häufig auftretende Probleme, die zu Problemen führen können:
-
Falsche Zuordnung der Slots zu den Zertifikaten.
-
Es befinden sich mehrere Zertifikate auf der Smartcard, die dem/der Benutzer:in entsprechen können. Zertifikate werden anhand der folgenden Kriterien abgeglichen:
-
Die Stammzertifizierungsstelle für das Zertifikat.
-
Die Felder
<KU>
und<EKU>
des Zertifikats. -
Die UPN im Betreff des Zertifikats.
-
-
Mehrere Zertifikate, die
<EKU>msScLogin
in der Schlüsselnutzung verwendet.
Im Allgemeinen empfiehlt es sich, nur ein Zertifikat für die Smartcard-Authentifizierung zu verwenden, das dem allerersten Slot der Smartcard zugeordnet ist.
Die Tools zur Verwaltung der Zertifikate und Schlüssel auf der Smartcard (z. B. zum Entfernen oder Neuzuordnen der Zertifikate und Schlüssel) können herstellerspezifisch sein. Weitere Informationen finden Sie in der vom Hersteller Ihrer Smartcards mitgelieferten Dokumentation.
Aktivieren Sie Smartcards für Linux WorkSpaces
Anmerkung
Linux WorkSpaces on hat DCV derzeit die folgenden Einschränkungen:
-
Zwischenablage-, Audioeingang-, Videoeingang- und Zeitzonenumleitung werden nicht unterstützt.
-
Mehrere Monitore werden nicht unterstützt.
-
Sie müssen die WorkSpaces Windows-Client-Anwendung verwenden, um eine Verbindung zu WorkSpaces Linux herzustellenDCV.
Um die Verwendung von Smartcards unter Linux zu ermöglichen WorkSpaces, müssen Sie eine Root-CA-Zertifikatsdatei in das PEM Format des WorkSpace Abbilds aufnehmen.
So erhalten Sie Ihr Stammzertifizierungsstellenzertifikat
Sie können Ihr Stammzertifizierungsstellenzertifikat auf verschiedene Arten erhalten:
-
Sie können ein Stammzertifizierungsstellenzertifikat verwenden, das von einer externen Zertifizierungsstelle betrieben wird.
-
Sie können Ihr eigenes Stammzertifizierungsstellenzertifikat mithilfe der Website für die Webregistrierung exportieren. Dabei handelt es sich entweder um
http://
oderip_address
/certsrvhttp://
, wobeifqdn
/certsrvip_address
es sich um die IP-Adresse und den vollqualifizierten Domänennamen (FQDN) des Root-Zertifizierungsstellenservers handelt. Weitere Informationen zur Verwendung der Website für die Webregistrierung finden Sie in der Microsoft-Dokumentation unter So exportieren Sie ein Stammzertifizierungsstellenzertifikatfqdn
. -
Mit dem folgenden Verfahren können Sie das Stammzertifizierungsstellenzertifikat von einem Stammzertifizierungsserver exportieren, auf dem die Active-Directory-Zertifikatsdienste (AD CS) ausgeführt werden. Informationen zur Installation von AD CS finden Sie in der Microsoft-Dokumentation unter Installieren der Zertifizierungsstelle
. -
Melden Sie sich mit einem Administratorkonto beim Stammzertifizierungsstellenserver an.
-
Öffnen Sie im Windows-Startmenü ein Befehlszeilenfenster (Start > Windows-System > Eingabeaufforderung).
-
Verwenden Sie den folgenden Befehl, um das Stammzertifizierungsstellenzertifikat in eine neue Datei zu exportieren, wobei der Name der neuen Datei
lautet:rootca
.cercertutil -ca.cert
rootca
.cerWeitere Informationen zum Ausführen von certutil finden Sie unter certutil
in der Microsoft-Dokumentation. -
Verwenden Sie den folgenden SSL Befehl Öffnen, um das exportierte Stammzertifizierungsstellenzertifikat von einem DER Format in ein anderes zu konvertieren, PEM wobei
rootca
ist der Name des Zertifikats. Weitere Informationen zu Open SSL finden Sie unter www.openssl.org. openssl x509 -inform der -in
rootca
.cer -out /tmp/rootca
.pem
-
Um Ihr Root-CA-Zertifikat zu Ihrem Linux hinzuzufügen WorkSpaces
Um Ihnen bei der Aktivierung von Smartcards zu helfen, haben wir das enable_smartcard
Skript zu unseren Amazon DCV Linux-Paketen hinzugefügt. Dieses Skript führt die folgenden Aktionen aus:
-
Importiert Ihr Root-CA-Zertifikat in die Network Security Services (NSS)
-Datenbank. -
Installiert das
pam_pkcs11
Modul für die Authentifizierung mit dem Pluggable Authentication Module (PAM). -
Führt eine Standardkonfiguration durch, die die Aktivierung
pkinit
während der WorkSpace Bereitstellung beinhaltet.
Das folgende Verfahren erklärt, wie Sie das enable_smartcard
Skript verwenden, um Ihr Root-CA-Zertifikat zu Ihrem Linux hinzuzufügen WorkSpaces und Smartcards für Ihr Linux WorkSpaces zu aktivieren.
-
Erstellen Sie ein neues Linux WorkSpace mit aktiviertem DCV Protokoll. Achten Sie beim Starten von WorkSpace in der WorkSpaces Amazon-Konsole auf der Seite „Bundles auswählen“ darauf, das Protokoll auszuwählen DCV, und wählen Sie dann eines der öffentlichen Amazon Linux 2-Pakete aus.
-
Führen Sie auf der neuen WorkSpace Version den folgenden Befehl als Root-Benutzer aus. Dabei
handelt es sich um den Pfad zur Root-CA-Zertifikatsdatei im PEM Format.pem-path
/usr/lib/skylight/enable_smartcard --ca-cert
pem-path
Anmerkung
Linux WorkSpaces geht davon aus, dass die Zertifikate auf den Smartcards für den Standardbenutzerprinzipalnamen (UPN) des Benutzers ausgestellt wurden
, z. B. wosAMAccountName
@domain
ist ein vollqualifizierter Domänenname (FQDN).domain
Um alternative UPN Suffixe zu verwenden, finden Sie
run /usr/lib/skylight/enable_smartcard --help
weitere Informationen. Die Zuordnung für alternative UPN Suffixe ist für jeden Benutzer einzigartig. Daher muss diese Zuordnung für jeden Benutzer einzeln durchgeführt werden. WorkSpace -
(Optional) Standardmäßig sind alle Dienste für die Verwendung der Smartcard-Authentifizierung unter Linux aktiviert WorkSpaces. Sie müssen
/etc/pam.d/system-auth
bearbeiten, um die Smartcard-Authentifizierung nur auf bestimmte Services zu beschränken. Entfernen Sie den Kommentar der Zeileauth
fürpam_succeed_if.so
und bearbeiten Sie die Liste der Services nach Bedarf.Nachdem die Zeile
auth
kein Kommentar mehr ist, müssen Sie sie der Liste hinzufügen, damit ein Service die Smartcard-Authentifizierung verwenden kann. Damit ein Service nur die Passwortauthentifizierung verwendet, müssen Sie ihn aus der Liste entfernen. -
Nehmen Sie alle zusätzlichen Anpassungen an der WorkSpace vor. Möglicherweise möchten Sie beispielsweise eine systemweite Richtlinie hinzufügen, um Benutzern die Verwendung von Smartcards in Firefox zu ermöglichen. (Chrome-Nutzer müssen Smartcards auf ihren Clients selbst aktivieren. Weitere Informationen finden Sie unter Smartcard-Support im WorkSpaces Amazon-Benutzerhandbuch.)
-
Erstellen Sie ein benutzerdefiniertes WorkSpace Image und bündeln Sie es aus dem WorkSpace.
-
Verwenden Sie das neue benutzerdefinierte Paket, um es WorkSpaces für Ihre Benutzer zu starten.
So ermöglichen Sie Benutzern die Verwendung von Smartcards in Firefox
Sie können Ihren Benutzern die Verwendung von Smartcards in Firefox ermöglichen, indem Sie Ihrem WorkSpace Linux-Image eine SecurityDevices Richtlinie hinzufügen. Weitere Informationen zum Hinzufügen systemweiter Richtlinien zu Firefox finden Sie in den Mozilla-Richtlinienvorlagen
-
Erstellen Sie auf der Datei WorkSpace , mit der Sie Ihr WorkSpace Bild erstellen, eine neue Datei mit dem Namen
policies.json
in./usr/lib64/firefox/distribution/
-
Fügen Sie in der JSON Datei die folgende SecurityDevices Richtlinie hinzu, wobei der Wert angegeben
ist, den Sie zur Identifizierung desNAME_OF_DEVICE
pkcs
Moduls verwenden möchten. So können Sie beispielsweise einen Wert wie"OpenSC"
verwenden:{ "policies": { "SecurityDevices": { "
NAME_OF_DEVICE
": "/usr/lib64/opensc-pkcs11.so" } } }
Fehlerbehebung
Zur Fehlerbehebung empfehlen wir, das pkcs11-tools
-Hilfsprogramm hinzuzufügen. Mit dem Hilfsprogramm können Sie die folgenden Aktionen ausführen:
-
Auflisten aller Smartcards
-
Auflisten der Slots auf jeder Smartcard
-
Auflisten der Zertifikate auf jeder Smartcard
Einige häufig auftretende Probleme, die zu Problemen führen können:
-
Falsche Zuordnung der Slots zu den Zertifikaten.
-
Es befinden sich mehrere Zertifikate auf der Smartcard, die dem/der Benutzer:in entsprechen können. Zertifikate werden anhand der folgenden Kriterien abgeglichen:
-
Die Stammzertifizierungsstelle für das Zertifikat.
-
Die Felder
<KU>
und<EKU>
des Zertifikats. -
Der UPN im Betreff des Zertifikats.
-
-
Mehrere Zertifikate, die
<EKU>msScLogin
in der Schlüsselnutzung verwendet.
Im Allgemeinen empfiehlt es sich, nur ein Zertifikat für die Smartcard-Authentifizierung zu verwenden, das dem allerersten Slot der Smartcard zugeordnet ist.
Die Tools zur Verwaltung der Zertifikate und Schlüssel auf der Smartcard (z. B. zum Entfernen oder Neuzuordnen der Zertifikate und Schlüssel) können herstellerspezifisch sein. Zusätzliche Tools, mit deren Hilfe Sie mit Smartcards arbeiten können, sind:
-
opensc-explorer
-
opensc-tool
-
pkcs11_inspect
-
pkcs11_listcerts
-
pkcs15-tool
So aktivieren Sie die Protokollierung
Zur Behebung von Fehlern in Ihrer pam-krb5
- und pam_pkcs11
-Konfiguration können Sie die Debug-Protokollierung aktivieren.
-
Bearbeiten Sie in der
/etc/pam.d/system-auth-ac
-Datei dieauth
-Aktion und ändern Sie dennodebug
-Parameter vonpam_pksc11.so
zudebug
. -
Ändern Sie in der Datei
/etc/pam_pkcs11/pam_pkcs11.conf
debug = false;
zudebug = true;
. Diedebug
-Option gilt separat für jedes Mapper-Modul, sodass Sie sie möglicherweise sowohl direkt impam_pkcs11
-Abschnitt als auch im entsprechenden Mapper-Abschnitt ändern müssen (standardmäßig ist diesmapper generic
). -
Bearbeiten Sie in der
/etc/pam.d/system-auth-ac
-Datei dieauth
-Aktion und fügen Sie dendebug
- oderdebug_sensitive
-Parameter zupam_krb5.so
hinzu.
Nachdem Sie die Debug-Protokollierung aktiviert haben, gibt das System pam_pkcs11
-Debug-Meldungen direkt im aktiven Terminal aus. Nachrichten von pam_krb5
werden in /var/log/secure
protokolliert.
Verwenden Sie den folgenden pklogin_finder
-Befehl, um zu überprüfen, welchem Benutzernamen ein Smartcard-Zertifikat zugeordnet ist:
sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf
Wenn Sie dazu aufgefordert werden, geben Sie die Smartcard einPIN. pklogin_finder
gibt stdout
den Benutzernamen auf dem Smartcard-Zertifikat im Formular aus
. Dieser Benutzername sollte mit dem WorkSpace Benutzernamen übereinstimmen.NETBIOS
\username
In den Active Directory-Domänendiensten (AD DS) ist der BIOS Net-Domänenname der Domänenname vor Windows 2000. In der Regel (aber nicht immer) ist der BIOS Net-Domänenname die Unterdomäne des Domain Name System (DNS) -Domänennamens. Wenn der DNS Domainname beispielsweise lautetexample.com
, ist der BIOS Net-Domänenname normalerweiseEXAMPLE
. Wenn der DNS Domainname lautetcorp.example.com
, ist der BIOS Net-Domainname normalerweiseCORP
.
Für den Benutzer mmajor
in der Domain pklogin_finder
lautet die Ausgabe von corp.example.com
beispielsweise CORP\mmajor
.
Anmerkung
Wenn Sie die Nachricht "ERROR:pam_pkcs11.c:504: verify_certificate()
failed"
erhalten, weist diese Meldung darauf hin, dass pam_pkcs11
auf der Smartcard ein Zertifikat gefunden hat, das den Kriterien für den Benutzernamen entspricht, das aber nicht mit einem Stammzertifizierungsstellenzertifikat verknüpft ist, das vom Computer anerkannt wird. In diesem Fall gibt pam_pkcs11
die Meldung oben aus und es wird dann das nächste Zertifikat versucht. Die Authentifizierung ist nur möglich, wenn ein Zertifikat gefunden wird, das sowohl dem Benutzernamen entspricht als auch mit einem anerkannten Stammzertifizierungsstellenzertifikat verknüpft ist.
Zur Behebung von Fehlern in Ihrer pam_krb5
-Konfiguration können Sie sie kinit
manuell im Debug-Modus mit dem folgenden Befehl aufrufen:
KRB5_TRACE=/dev/stdout kinit -V
Mit diesem Befehl sollte erfolgreich ein Kerberos Ticket Granting Ticket () TGT abgerufen werden. Falls dies fehlschlägt, versuchen Sie, dem Befehl explizit den richtigen Kerberos-Prinzipalnamen hinzuzufügen. Verwenden Sie beispielsweise für den Benutzer mmajor
in der Domain corp.example.com
diesen Befehl:
KRB5_TRACE=/dev/stdout kinit -V mmajor
Wenn dieser Befehl erfolgreich ist, liegt das Problem höchstwahrscheinlich in der Zuordnung vom WorkSpace Benutzernamen zum Kerberos-Prinzipalnamen. Überprüfen Sie den [appdefaults]/pam/mappings
-Abschnitt in der Datei /etc/krb5.conf
.
Wenn dieser Befehl nicht erfolgreich ist, ein passwortbasierter kinit
-Befehl jedoch erfolgreich ist, überprüfen Sie die entsprechenden Konfigurationen zu pkinit_
in der Datei /etc/krb5.conf
. Wenn die Smartcard beispielsweise mehr als ein Zertifikat enthält, müssen Sie möglicherweise Änderungen an pkinit_cert_match
vornehmen.