Linux Clientを使用してスマート カード認証を有効にする
Linux ClientからWindows Graphics Agentに接続する際に、セッション前のスマート カード認証がサポートされます。以下のセクションでは、システム要件、制限、およびエージェントのセットアップに関する情報について説明します。
注:ブローカー構成
スマート カード認証は、Leostream Brokerを使用しているか、クライアント マシンからエージェント マシンに直接接続している場合にサポートされます。ただし、スマート カード証明書のSubject Alternative Nameが
要件
| コンポーネント | バージョン | |
|---|---|---|
| クライアント | Anyware Linux Client | 24.03以降 |
| エージェント |
|
24.03以降 |
| インフラストラクチャ | (ブローカー接続の場合のみ必要、直接接続の場合は不要)
|
|
| ActivClientミドルウェア | 7.1、7.2 |
Windows Agent
スマート カード認証は、次のいずれかに接続する場合にサポートされます。
- Windows Graphics Agent 24.03以降
- Windows Standard Agent 24.03以降
Anyware Client
現時点では、スマート カード認証はLinux Clientバージョン24.03以降から接続する場合のみサポートされます。
スマート カード証明書の要件
スマート カード証明書の前提条件を次に示します。
-
鍵用途がデジタル署名に設定されている
-
サブジェクトの共通名および/またはサブジェクトの別名(他の名前)が設定されている
-
拡張鍵用途にクライアント認証および/またはスマート カード ログオンが含まれる
-
鍵の長さが2048ビット未満である
スマート カード リーダー
次のスマート カード リーダーはテスト済みです。
-
Belkin USBスマート カード リーダー(F1DN008U)
-
Identiv SCR3310 USB接触型スマート カード リーダー
テスト済みのスマート カード モデル
このバージョンのLinux Clientは、セッション前認証およびセッション内でのスマート カードの使用の両方をサポートします。次のスマート カード モデルはテスト済みです。
| 製品名 | カードの種類 | メモ |
|---|---|---|
| Gemalto TOP DL V2.1 144K FIPS | CAC | |
| IDEMIA Cosmo v8.0 | 代替トークン | |
| IDEMIA ID-one 125 V8.0D | CAC | |
| G+D Sm@rtCafe Expert v7.0 | CAC | |
| G+D Sm@rtCafe Expert v7.0 144K DI | CAC | |
| PIVkey C910 | PIV | |
| PIVkey C980 | PIV | |
| PIVkey C990 | PIV | |
| Yubikey 5C | PIVインターフェイスを使用。 | |
| Yubikey 5 NFC | PIVインターフェイスを使用。 |
注:スマート カード ソリューションをテストする
ソリューションを選択する前に、ユーザー環境での検証が必要です。ネットワーク条件や他のコンポーネントといった環境の違いが、サポートに影響する可能性があるからです。
注意事項
-
スマート カード認証は、Anyware Standard Agent for WindowsおよびAnyware Graphics Agent for Windowsでのみ動作します。
-
スマート カード認証の有効化または無効化は、インストール時のみ可能です。Anyware Agentがすでにインストールされている場合、以下の手順を使用してソフトウェアを再インストールしてください。
-
Standard Agent for Windowsのインターフェイス主導インストーラーでは、この機能を有効にすることはできません。スクリプト(サイレント)インストーラーを使用する必要があります。
-
現時点では、単一のカードおよび単一のリーダーの同時構成のみがサポートされます。
-
ActivClient 7.4.3.13がテストされています。他のバージョンも動作する可能性はありますが、テストはされていません。
-
PCoIPセッション中には、リモート デスクトップのデバイス マネージャーに2つの同一のスマート カードが表示されます。これは正常であり、セッションには影響しません。
既知の制限
-
Interactive logon: Smart card removal behaviorは、スマート カード セッション中にはサポートされません。
-
楕円曲線暗号(ECC)証明書はサポートされません。
-
スマート カード認証を使用した場合、Anyware ClientはHPデジタル バッジを認識できません。
-
同じスマート カードを認証に使用して、複数のユーザーが同時にエージェント マシンにログオンすることはできません。複数の証明書を持つスマート カードでログオンできるユーザーは、一度に1人だけです。他のユーザーがログインするには、現在のユーザーがログオフするまで待つ必要があります。
Agentのセットアップ
注:カード リーダー ドライバーをインストールする
一部のカード リーダーでは、対応するドライバーをエージェント マシンにインストールする必要があります。リーダーのマニュアルを参照して、ドライバーのインストールが必要かどうかを判断してください。
-
Anyware Agent 24.03以降をリモート マシンにダウンロードします。
-
RDP経由でリモート マシンに接続します。
-
リモート マシンで、
/InstallVSCReader引数を使用してStandard Agent for Windowsをインストールします。- Windows BAT:Windowsコマンド ライン ツールを開き、次のように入力します。
start /WAIT/S /NoPostReboot /InstallVSCReader echo %ERRORLEVEL% ここで、
-
Windows PowerShell:PowerShellウィンドウを開き、次のように入力します。
$process = Start-Process -FilePath-ArgumentList "/S /NoPostReboot /InstallVSCReader _? "-Wait -PassThru; $process.ExitCode
ここで、
-
こちらの記述を参照して、Standard Agent for Windowsのライセンス情報を構成します。
-
ActivClientミドルウェア(スマート カード ベンダーから入手可能)をホスト マシンにインストールします。Yubikey 5CまたはYubikey 5 NFCを使用する場合は、この手順をスキップします。
ミドルウェアのインストールに関する注意事項
- ActivClientミドルウェアは、コンソール セッションでインストールする必要があります。
- 競合を防ぐため、ミドルウェアは1つだけインストールする必要があります。
-
リモート マシンを再起動します。
Clientのセットアップ
-
Anyware Linux Clientバージョン24.03以降をクライアント マシンにダウンロードします。
-
クライアント マシンをエージェント マシンに接続するために構成します。『Anyware Linux Client Guide』のトピック「Connecting to an Agent Machine」の手順を実行します。
-
スマート カード リーダーをクライアント マシンに接続し、スマート カードを使用してPCoIPセッションへの認証を行います。スマート カードを使用してPCoIPセッションへの認証を行う手順について詳しくは、『Anyware Linux Client Guide』のトピック「Connecting to an Agent Machine」にある「Using Smart Card Authentication to Connect to a Session」を参照してください。
スマート カードのサポートを削除する
スマート カード認証のサポートを削除するには、エージェントをアンインストールしてから、/InstallVSCReader オプションを使用せずに再インストールします。
注:スマート カード リーダーを更新する
Windows Server 2022上で動作しているWindowsエージェントでは、次の問題が発生する場合があります。
- シングル サインオン(SSO)を有効にした場合、リモート エージェントのデバイス マネージャーのリストにスマート カードが表示されない
- SSOを無効にした場合、ロック画面にスマート カードが表示されないため、ユーザーはスマート カードを使用して画面のロックを解除できない