Gunakan kartu pintar untuk autentikasi - Amazon WorkSpaces
PersyaratanBatasanKonfigurasi DirektoriAktifkan kartu pintar untuk Windows WorkSpacesAktifkan kartu pintar untuk Linux WorkSpaces

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan kartu pintar untuk autentikasi

Bundel Windows dan Linux WorkSpaces on WorkSpaces Streaming Protocol (WSP) memungkinkan penggunaan kartu pintar Common Access Card (CAC) dan Personal Identity Verification (PIV) untuk otentikasi.

Amazon WorkSpaces mendukung penggunaan kartu pintar untuk otentikasi pra-sesi dan otentikasi dalam sesi. Otentikasi pra-sesi mengacu pada otentikasi kartu pintar yang dilakukan saat pengguna masuk ke kartu mereka. WorkSpaces Autentikasi dalam sesi mengacu pada autentikasi yang dilakukan setelah masuk.

Misalnya, pengguna dapat menggunakan kartu pintar untuk autentikasi dalam sesi saat bekerja dengan web peramban dan aplikasi. Mereka juga dapat menggunakan kartu pintar untuk tindakan yang memerlukan izin administratif. Misalnya, jika pengguna memiliki izin administratif di Linux mereka WorkSpace, mereka dapat menggunakan kartu pintar untuk mengautentikasi diri mereka sendiri saat menjalankan sudo dan sudo -i perintah.

Persyaratan

  • Direktori Konektor Direktori Aktif (AD Connector) diperlukan untuk autentikasi pra-sesi. AD Connector menggunakan autentikasi Keamanan Lapisan Pengangkutan berbasis sertifikat (mutual TLS) untuk mengautentikasi pengguna ke Direktori Aktif menggunakan sertifikat kartu pintar berbasis perangkat keras atau perangkat lunak. Untuk informasi selengkapnya tentang cara mengonfigurasi AD Connector dan direktori on-premise Anda, lihat Konfigurasi Direktori.

  • Untuk menggunakan kartu pintar dengan Windows atau Linux WorkSpace, pengguna harus menggunakan klien Amazon WorkSpaces Windows versi 3.1.1 atau yang lebih baru atau klien WorkSpaces macOS versi 3.1.5 atau yang lebih baru. Untuk informasi selengkapnya tentang penggunaan kartu pintar dengan klien Windows dan macOS, lihat Dukungan Kartu Cerdas di WorkSpaces Panduan Pengguna Amazon.

  • CA root dan sertifikat kartu pintar harus memenuhi persyaratan tertentu. Untuk informasi selengkapnya, lihat Mengaktifkan autentikasi mTLS di AD Connector untuk digunakan dengan kartu pintar di Panduan AWS Directory Service Administrasi dan Persyaratan Sertifikat dalam dokumentasi Microsoft.

    Selain persyaratan tersebut, sertifikat pengguna yang digunakan untuk otentikasi kartu pintar ke Amazon WorkSpaces harus menyertakan atribut berikut:

    • Pengguna AD userPrincipalName (UPN) di bidang subjectAltName (SAN) sertifikat. Kami merekomendasikan penerbitan sertifikat kartu pintar untuk UPN default pengguna.

    • Autentikasi klien (1.3.6.1.5.5.7.3.2) atribut Atribut Extended Key Usage (EKU).

    • Logon Kartu Pintar (1.3.6.1.4.1.311.20.2.2) atribut EKU.

  • Untuk autentikasi pra-sesi, Online Certificate Status Protocol (OCSP) diperlukan untuk memeriksa sertifikat pencabutan. Untuk autentikasi dalam sesi, OCSP direkomendasikan, tetapi tidak diperlukan.

Batasan

  • Hanya aplikasi klien WorkSpaces Windows versi 3.1.1 atau yang lebih baru dan aplikasi klien macOS versi 3.1.5 atau yang lebih baru saat ini didukung untuk otentikasi kartu pintar.

  • Aplikasi klien WorkSpaces Windows 3.1.1 atau yang lebih baru mendukung kartu pintar hanya ketika klien berjalan pada versi Windows 64-bit.

  • Ubuntu saat ini WorkSpaces tidak mendukung otentikasi kartu pintar.

  • Hanya direktori AD Connector yang saat ini didukung untuk autentikasi kartu pintar.

  • Autentikasi dalam sesi tersedia di semua Wilayah tempat WSP didukung. Autentikasi pra-sesi tersedia di Wilayah berikut:

    • Wilayah Asia Pasifik (Sydney)

    • Wilayah Asia Pacific (Tokyo)

    • Wilayah Eropa (Irlandia)

    • AWS GovCloud Wilayah (AS-Timur)

    • AWS GovCloud Wilayah (AS-Barat)

    • Wilayah AS Timur (Virginia Utara)

    • Wilayah AS Barat (Oregon)

  • Untuk otentikasi dalam sesi dan otentikasi pra-sesi di Linux atau Windows WorkSpaces, hanya satu kartu pintar yang saat ini diizinkan pada satu waktu.

  • Untuk otentikasi pra-sesi, mengaktifkan otentikasi kartu pintar dan otentikasi masuk pada direktori yang sama saat ini tidak didukung.

  • Hanya kartu CAC dan PIV yang didukung saat ini. Tipe lain dari kartu pintar berbasis perangkat keras atau berbasis perangkat lunak mungkin juga berfungsi, tetapi belum sepenuhnya diuji untuk digunakan dengan WSP.

Konfigurasi Direktori

Untuk mengaktifkan autentikasi kartu pintar, Anda harus mengonfigurasi direktori AD Connector dan direktori on-premise Anda dengan cara berikut.

Konfigurasi direktori AD Connector

Sebelum memulai, pastikan direktori AD Connector Anda telah disiapkan seperti yang dijelaskan di Prasyarat AD Connector di Panduan Administrasi AWS Directory Service . Secara khusus, pastikan bahwa Anda telah membuka port yang diperlukan di firewall Anda.

Untuk menyelesaikan konfigurasi direktori AD Connector, ikuti petunjuk di Aktifkan autentikasi mTLS di AD Connector untuk digunakan dengan kartu pintar di Panduan AdministrasiAWS Directory Service .

catatan

Otentikasi kartu pintar membutuhkan Kerberos Constrained Delegation (KCD) agar berfungsi dengan baik. KCD memerlukan bagian nama pengguna dari akun layanan AD Connector agar sesuai dengan SAM AccountName dari pengguna yang sama. Sebuah SAM tidak AccountName dapat melebihi 20 karakter.

Konfigurasi direktori on-premise

Selain mengonfigurasi direktori AD Connector, Anda juga harus memastikan bahwa sertifikat yang dikeluarkan untuk pengendali domain untuk direktori on-premise memiliki set extended key usage (EKU) "Autentikasi KDC". Untuk melakukannya, gunakan templat sertifikat Autentikasi Kerberos default Layanan Domain Direktori Aktif (AD DS). Jangan menggunakan templat sertifikat pengendali Domain atau templat sertifikat autentikasi pengendali Domain karena templat tersebut tidak berisi pengaturan yang diperlukan untuk autentikasi kartu pintar.

Aktifkan kartu pintar untuk Windows WorkSpaces

Untuk panduan umum tentang cara mengaktifkan autentikasi kartu pintar pada Windows, lihat Pedoman untuk mengaktifkan kartu pintar logon dengan otoritas sertifikasi (CA) pihak ketiga dalam dokumentasi Microsoft.

Untuk mendeteksi layar kunci Windows dan memutus sesi

Untuk memungkinkan pengguna membuka kunci Windows WorkSpaces yang diaktifkan untuk otentikasi pra-sesi kartu pintar saat layar terkunci, Anda dapat mengaktifkan deteksi layar kunci Windows di sesi pengguna. Ketika layar kunci Windows terdeteksi, WorkSpace sesi terputus, dan pengguna dapat menyambung kembali dari WorkSpaces klien dengan menggunakan kartu pintar mereka.

Anda dapat mengaktifkan pemutusan sesi ketika layar kunci Windows terdeteksi dengan menggunakan pengaturan Kebijakan Grup. Untuk informasi selengkapnya, lihat Aktifkan atau nonaktifkan sesi pemutusan hubungan pada kunci layar untuk WSP.

Untuk mengaktifkan autentikasi dalam sesi atau pra-sesi

Secara default, Windows tidak WorkSpaces diaktifkan untuk mendukung penggunaan kartu pintar untuk otentikasi pra-sesi atau dalam sesi. Jika diperlukan, Anda dapat mengaktifkan otentikasi dalam sesi dan pra-sesi untuk Windows WorkSpaces dengan menggunakan pengaturan Kebijakan Grup. Untuk informasi selengkapnya, lihat Aktifkan atau nonaktifkan pengalihan kartu pintar untuk WSP.

Untuk menggunakan autentikasi pra-sesi, selain memperbarui pengaturan Kebijakan Grup, Anda juga harus mengaktifkan otentikasi pra-sesi melalui pengaturan direktori AD Connector. Untuk informasi selengkapnya, ikuti petunjuk di Aktifkan autentikasi mTLS di AD Connector untuk digunakan dalam kartu pintar di Panduan AWS Directory Service Administrasi.

Untuk mengaktifkan pengguna untuk menggunakan kartu pintar di peramban

Jika pengguna Anda menggunakan Chrome sebagai peramban mereka, tidak diperlukan konfigurasi khusus untuk menggunakan kartu pintar.

Jika pengguna Anda menggunakan Firefox sebagai peramban mereka, Anda dapat mengaktifkan pengguna Anda untuk menggunakan kartu pintar di Firefox melalui Kebijakan Grup. Anda dapat menggunakan templat Kebijakan Grup Firefox ini di GitHub.

Misalnya, Anda dapat menginstal versi 64-bit OpenSC untuk Windows untuk mendukung PKCS #11, lalu menggunakan pengaturan Kebijakan Grup berikut, saat NAME_OF_DEVICE adalah nilai apa pun yang ingin Anda gunakan untuk mengidentifikasi PKCS #11, seperti OpenSC, dan saat PATH_TO_LIBRARY_FOR_DEVICE adalah jalur ke modul PKCS #11. Jalur ini harus menuju ke pusataka dengan ekstensi .DLL, seperti C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll.

Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
Tip

Jika Anda menggunakan OpenSC, Anda juga dapat memuat modul pkcs11 OpenSC ke Firefox dengan menjalankan program pkcs11-register.exe. Untuk menjalankan program ini, klik file dua kali pada C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe, atau buka jendela Command Prompt dan jalankan perintah berikut:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"

Untuk memverifikasi bahwa modul pkcs11 OpenSC telah dimuat ke Firefox, lakukan hal berikut:

  1. Jika Firefox sudah berjalan, tutup Firefox.

  2. Buka Firefox. Pilih tombol menu Firefox menu button Di pojok kanan atas, lalu pilih Opsi.

  3. Pada halaman about:preferences, di sebelah kiri panel navigasi, pilih Privasi & Keamanan.

  4. Di bawah Sertifikat, pilih Perangkat Keamanan.

  5. Di kotak dialog Pengelola Perangkat, Anda akan melihat kerangka kerja kartu pintar OpenSC (0.21) di navigasi kiri, dan harus memiliki nilai berikut ketika memilihnya:

    Modul: OpenSC smartcard framework (0.21)

    Jalan: C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll

Memecahkan masalah

Untuk informasi tentang pemecahan masalah kartu pintar, lihat Masalah sertifikat dan konfigurasi dalam dokumentasi Microsoft.

Beberapa masalah umum yang dapat menyebabkan masalah:

  • Pemetaan yang salah dari slot ke sertifikat.

  • Memiliki beberapa sertifikat pada kartu pintar yang dapat dicocokkan dengan pengguna. Sertifikat dicocokkan menggunakan kriteria berikut:

    • CA root untuk sertifikat.

    • Bidang sertifikat <KU> dan <EKU>.

    • UPN dalam subjek sertifikat.

  • Memiliki beberapa sertifikat yang memiliki <EKU>msScLogin dalam penggunaan kunci mereka.

Secara umum, yang terbaik adalah hanya memiliki satu sertifikat untuk autentikasi kartu pintar yang dipetakan ke slot pertama dalam kartu pintar.

Alat untuk mengelola sertifikat dan kunci pada kartu pintar (seperti menghapus atau memetakan ulang sertifikat dan kunci) mungkin khusus produsen. Untuk informasi selengkapnya, lihat dokumentasi yang disediakan oleh produsen kartu cerdas Anda.

Aktifkan kartu pintar untuk Linux WorkSpaces

catatan

Linux WorkSpaces di WSP saat ini memiliki batasan sebagai berikut:

  • Clipboard, audio-in, video-in, dan pengalihan zona waktu tidak didukung.

  • Beberapa monitor tidak didukung.

  • Anda harus menggunakan aplikasi klien WorkSpaces Windows untuk terhubung ke Linux WorkSpaces di WSP.

Untuk mengaktifkan penggunaan kartu pintar di Linux WorkSpaces, Anda harus menyertakan file sertifikat CA root dalam format PEM pada WorkSpace gambar.

Untuk mendapatkan sertifikat CA root

Anda dapat memperoleh sertifikat CA root Anda dalam beberapa cara:

  • Anda dapat menggunakan sertifikat CA root yang dioperasikan oleh otoritas sertifikasi (CA) pihak ketiga.

  • Anda dapat mengekspor sertifikat CA root Anda sendiri menggunakan situs Web pendaftaran, baik http://ip_address/certsrv atau http://fqdn/certsrv, saat ip_address dan fqdn adalah alamat IP dan nama domain yang memenuhi syarat (FQDN) dari server sertifikasi CA root. Untuk informasi selengkapnya tentang penggunaan situs Web pendaftaran, lihat Cara mengekspor Sertifikat Otoritas Sertifikasi (CA) akar dalam dokumentasi Microsoft.

  • Anda dapat menggunakan prosedur berikut ini untuk mengekspor sertifikat CA root dari server sertifikasi CA root yang menjalankan Layanan Sertifikat Direktori Aktif (AD CS). Untuk informasi selengkapnya tentang menginstal AD CS, lihat Instal Otoritas Sertifikasi (CA) dalam dokumentasi Microsoft.

    1. Masuk ke server CA root menggunakan akun administrator.

    2. Dari menu start Windows, buka jendela prompt perintah (Mulai > Sistem Windows > Prompt Perintah).

    3. Gunakan perintah berikut untuk mengekspor sertifikat CA root ke file baru, saat rootca.cer adalah nama file baru:

      certutil -ca.cert rootca.cer

      Untuk informasi selengkapnya tentang menjalankan certutil, lihat certutil dalam dokumentasi Microsoft.

    4. Gunakan perintah OpenSSL berikut untuk mengonversi sertifikat CA root yang diekspor dari format DER ke format PEM, saat rootca adalah nama sertifikat. Untuk informasi selengkapnya tentang OpenSSL, lihat www.openssl.org.

      openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
Untuk menambahkan sertifikat CA root Anda ke Linux Anda WorkSpaces

Untuk membantu Anda mengaktifkan kartu pintar, kami telah menambahkan skrip enable_smartcard ke paket Amazon Linux WSP. Skrip tersebut melakukan tugas-tugas berikut:

  • Mengimpor sertifikat CA root Anda ke basis data Layanan Keamanan Jaringan (NSS).

  • Menginstal modul pam_pkcs11 untuk Modul Autentikasi Pluggable (PAM).

  • Melakukan konfigurasi default, yang mencakup pengaktifan pkinit selama WorkSpace penyediaan.

Prosedur berikut menjelaskan cara menggunakan enable_smartcard skrip untuk menambahkan sertifikat CA root Anda ke Linux Anda WorkSpaces dan untuk mengaktifkan kartu pintar untuk Linux Anda WorkSpaces.

  1. Buat Linux baru WorkSpace dengan protokol WSP diaktifkan. Saat meluncurkan WorkSpace di WorkSpaces konsol Amazon, pada halaman Pilih Bundel, pastikan untuk memilih WSP untuk protokol, lalu pilih salah satu bundel publik Amazon Linux 2.

  2. Pada yang baru WorkSpace, jalankan perintah berikut sebagai root, di pem-path mana jalur ke file sertifikat CA root dalam format PEM.

    /usr/lib/skylight/enable_smartcard --ca-cert pem-path
    catatan

    Linux WorkSpaces berasumsi bahwa sertifikat pada kartu pintar dikeluarkan untuk nama utama pengguna default pengguna (UPN), sepertisAMAccountName@domain, di mana domain adalah nama domain yang sepenuhnya memenuhi syarat (FQDN).

    Untuk menggunakan alternatif sufiks UPN, run /usr/lib/skylight/enable_smartcard --help untuk informasi selengkapnya. Pemetaan alternatif untuk sufiks unik UPN untuk setiap pengguna. Oleh karena itu, pemetaan itu harus dilakukan secara individual pada setiap pengguna. WorkSpace

  3. (Opsional) Secara default, semua layanan diaktifkan untuk menggunakan otentikasi kartu pintar di Linux WorkSpaces. Untuk membatasi autentikasi kartu pintar hanya untuk layanan tertentu, Anda harus mengedit /etc/pam.d/system-auth. Batalkan komentar pada baris auth untuk pam_succeed_if.so dan edit daftar layanan sesuai kebutuhan.

    Setelah baris auth tidak berisi komentar, untuk mengizinkan layanan untuk menggunakan autentikasi kartu pintar, Anda harus menambahkannya ke daftar. Untuk membuat layanan hanya menggunakan autentikasi kata sandi, Anda harus menghapusnya dari daftar.

  4. Lakukan penyesuaian tambahan apa pun ke. WorkSpace Misalnya, Anda mungkin ingin menambahkan kebijakan seluruh sistem ke aktifkan pengguna untuk menggunakan kartu pintar di Firefox. (Pengguna Chrome harus mengaktifkan kartu pintar pada klien mereka sendiri. Untuk informasi selengkapnya, lihat Dukungan Kartu Pintar di Panduan WorkSpaces Pengguna Amazon.)

  5. Buat WorkSpace gambar khusus dan bundel dari file WorkSpace.

  6. Gunakan bundel kustom baru untuk diluncurkan WorkSpaces bagi pengguna Anda.

Untuk mengaktifkan pengguna menggunakan kartu pintar di Firefox

Anda dapat mengaktifkan pengguna Anda untuk menggunakan kartu pintar di Firefox dengan menambahkan SecurityDevices kebijakan ke WorkSpace gambar Linux Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan seluruh sistem ke Firefox, lihat templat kebijakan Mozilla di. GitHub

  1. Pada WorkSpace yang Anda gunakan untuk membuat WorkSpace gambar Anda, buat file baru bernama policies.json/usr/lib64/firefox/distribution/.

  2. Dalam file JSON, tambahkan SecurityDevices kebijakan berikut, di mana nilai NAME_OF_DEVICE apa pun yang ingin Anda gunakan untuk mengidentifikasi pkcs modul. Misalnya, Anda mungkin ingin menggunakan nilai seperti "OpenSC":

    {
    "policies": {
        "SecurityDevices": {
            "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
        }
    }
}
Memecahkan masalah

Untuk pemecahan masalah, kami merekomendasikan untuk menambahkan utilitas pkcs11-tools. Utilitas ini mengizinkan Anda untuk melakukan tindakan berikut:

  • Mendaftarkan setiap kartu pintar.

  • Mendaftarkan slot pada setiap kartu pintar.

  • Mendaftarkan sertifikat pada setiap kartu pintar.

Beberapa masalah umum yang dapat menyebabkan masalah:

  • Pemetaan yang salah dari slot ke sertifikat.

  • Memiliki beberapa sertifikat pada kartu pintar yang dapat dicocokkan dengan pengguna. Sertifikat dicocokkan menggunakan kriteria berikut:

    • CA root untuk sertifikat.

    • Bidang sertifikat <KU> dan <EKU>.

    • UPN dalam subjek sertifikat.

  • Memiliki beberapa sertifikat yang memiliki <EKU>msScLogin dalam penggunaan kunci mereka.

Secara umum, yang terbaik adalah hanya memiliki satu sertifikat untuk autentikasi kartu pintar yang dipetakan ke slot pertama dalam kartu pintar.

Alat untuk mengelola sertifikat dan kunci pada kartu pintar (seperti menghapus atau memetakan ulang sertifikat dan kunci) mungkin khusus produsen. Alat tambahan yang dapat Anda gunakan untuk bekerja dengan kartu pintar adalah:

  • opensc-explorer

  • opensc-tool

  • pkcs11_inspect

  • pkcs11_listcerts

  • pkcs15-tool

Untuk mengaktifkan debug pencatatan log

Untuk memecahkan masalah konfigurasi pam_pkcs11 dan pam-krb5, Anda dapat mengaktifkan debug pencatatan log.

  1. Dalam file /etc/pam.d/system-auth-ac, edit tindakan auth dan mengubah parameter nodebug dari pam_pksc11.so menjadi debug.

  2. Di file /etc/pam_pkcs11/pam_pkcs11.conf, ubah debug = false; ke debug = true;. Opsi debug berlaku secara terpisah untuk setiap modul pemeta, sehingga Anda mungkin perlu untuk mengubah keduanya secara langsung di bawah bagian pam_pkcs11 dan juga di bawah bagian pemetaan yang sesuai (secara default, adalah mapper generic).

  3. Dalam file /etc/pam.d/system-auth-ac, edit tindakan auth dan tambahkan parameter debug atau debug_sensitive menjadi pam_krb5.so.

Setelah Anda mengaktifkan debug pencatatan log, sistem akan mencetak pesan debug pam_pkcs11 langsung di terminal aktif. Pesan dari pam_krb5 telah masuk di /var/log/secure.

Untuk memeriksa peta sertifikat nama pengguna kartu pintar, gunakan pklogin_finder perintah:

sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf

Saat diminta, memasukkan PIN kartu pintar. output pklogin_finder pada nama pengguna stdout pada sertifikat kartu pintar dalam formulir NETBIOS\username. Nama pengguna ini harus sesuai dengan nama WorkSpace pengguna.

Dalam Layanan Domain Direktori Aktif (AD DS), nama domain NetBIOS adalah nama domain pra-Windows 2000. Biasanya (tetapi tidak selalu), nama domain NetBIOS adalah subdomain nama domain Sistem Nama Domain (DNS). Misalnya, jika nama domain DNS adalah example.com, nama domain NetBIOS biasanya EXAMPLE. Jika nama domain DNS adalah corp.example.com, nama domain NetBIOS biasanya CORP.

Misalnya, untuk pengguna mmajor di domain corp.example.com, output dari pklogin_finder adalah CORP\mmajor.

catatan

Jika Anda menerima pesan "ERROR:pam_pkcs11.c:504: verify_certificate() failed", pesan ini menunjukkan bahwa pam_pkcs11 telah menemukan sertifikat pada kartu pintar yang cocok dengan kriteria nama pengguna tetapi itu tidak mengikat sertifikat CA root yang diakui oleh mesin. Ketika itu terjadi, pam_pkcs11 mengeluarkan pesan di atas lalu mencoba sertifikat berikutnya. Hal ini memungkinkan autentikasi hanya jika menemukan sertifikat yang keduanya cocok dengan nama pengguna dan mengikat hingga sertifikat CA akar diakui.

Untuk memecahkan masalah konfigurasi pam_krb5, Anda dapat secara manual memanggil kinit dalam mode debug dengan perintah berikut:

KRB5_TRACE=/dev/stdout kinit -V

Perintah ini harus berhasil mendapatkan Kerberos Ticket Granting Ticket (TGT). Jika gagal, coba tambahkan nama utama Kerberos yang benar secara eksplisit ke perintah. Misalnya, untuk pengguna mmajor di domain corp.example.com, gunakan perintah ini: 

KRB5_TRACE=/dev/stdout kinit -V mmajor

Jika perintah ini berhasil, masalahnya kemungkinan besar dalam pemetaan dari WorkSpace nama pengguna ke nama utama Kerberos. Periksa bagian [appdefaults]/pam/mappings dalam file /etc/krb5.conf.

Jika perintah ini tidak berhasil, tetapi perintah kinit berbasis kata sandi berhasil, periksa konfigurasi terkait pkinit_ dalam file /etc/krb5.conf. Misalnya, jika kartu pintar berisi lebih dari satu sertifikat, Anda mungkin perlu melakukan perubahan pada pkinit_cert_match.