Gunakan kartu pintar untuk otentikasi di Pribadi WorkSpaces - Amazon WorkSpaces
PersyaratanBatasanKonfigurasi DirektoriAktifkan kartu pintar untuk Windows WorkSpacesAktifkan kartu pintar untuk Linux WorkSpaces

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan kartu pintar untuk otentikasi di Pribadi WorkSpaces

Windows dan Linux WorkSpaces pada DCV bundel memungkinkan penggunaan kartu pintar Common Access Card (CAC) dan Personal Identity Verification (PIV) untuk otentikasi.

Amazon WorkSpaces mendukung penggunaan kartu pintar untuk otentikasi pra-sesi dan otentikasi dalam sesi. Otentikasi pra-sesi mengacu pada otentikasi kartu pintar yang dilakukan saat pengguna masuk ke kartu mereka. WorkSpaces Autentikasi dalam sesi mengacu pada autentikasi yang dilakukan setelah masuk.

Misalnya, pengguna dapat menggunakan kartu pintar untuk autentikasi dalam sesi saat bekerja dengan web peramban dan aplikasi. Mereka juga dapat menggunakan kartu pintar untuk tindakan yang memerlukan izin administratif. Misalnya, jika pengguna memiliki izin administratif di Linux mereka WorkSpace, mereka dapat menggunakan kartu pintar untuk mengautentikasi diri mereka sendiri saat menjalankan sudo dan sudo -i perintah.

Persyaratan

  • Direktori Konektor Direktori Aktif (AD Connector) diperlukan untuk autentikasi pra-sesi. AD Connector menggunakan otentikasi mutual Transport Layer Security (mutualTLS) berbasis sertifikat untuk mengautentikasi pengguna ke Active Directory menggunakan sertifikat kartu pintar berbasis perangkat keras atau perangkat lunak. Untuk informasi selengkapnya tentang cara mengonfigurasi AD Connector dan direktori on-premise Anda, lihat Konfigurasi Direktori.

  • Untuk menggunakan kartu pintar dengan Windows atau Linux WorkSpace, pengguna harus menggunakan klien Amazon WorkSpaces Windows versi 3.1.1 atau yang lebih baru atau klien WorkSpaces macOS versi 3.1.5 atau yang lebih baru. Untuk informasi selengkapnya tentang penggunaan kartu pintar dengan klien Windows dan macOS, lihat Dukungan Kartu Cerdas di WorkSpaces Panduan Pengguna Amazon.

  • CA root dan sertifikat kartu pintar harus memenuhi persyaratan tertentu. Untuk informasi selengkapnya, lihat Mengaktifkan TLS otentikasi m di AD Connector untuk digunakan dengan kartu pintar di Panduan AWS Directory Service Administrasi dan Persyaratan Sertifikat dalam dokumentasi Microsoft.

    Selain persyaratan tersebut, sertifikat pengguna yang digunakan untuk otentikasi kartu pintar ke Amazon WorkSpaces harus menyertakan atribut berikut:

    • Pengguna AD userPrincipalName (UPN) di bidang subjectAltName (SAN) sertifikat. Kami merekomendasikan untuk mengeluarkan sertifikat kartu pintar untuk default UPN pengguna.

    • Atribut Client Authentication (1.3.6.1.5.5.7.3.2) Extended Key Usage (). EKU

    • Atribut Logon Kartu Cerdas (1.3.6.1.4.1.311.20.2.2). EKU

  • Untuk otentikasi pra-sesi, Protokol Status Sertifikat Online (OCSP) diperlukan untuk pemeriksaan pencabutan sertifikat. Untuk otentikasi dalam sesi, OCSP disarankan, tetapi tidak diperlukan.

Batasan

  • Hanya aplikasi klien WorkSpaces Windows versi 3.1.1 atau yang lebih baru dan aplikasi klien macOS versi 3.1.5 atau yang lebih baru saat ini didukung untuk otentikasi kartu pintar.

  • Aplikasi klien WorkSpaces Windows 3.1.1 atau yang lebih baru mendukung kartu pintar hanya ketika klien berjalan pada versi Windows 64-bit.

  • Ubuntu saat ini WorkSpaces tidak mendukung otentikasi kartu pintar.

  • Hanya direktori AD Connector yang saat ini didukung untuk autentikasi kartu pintar.

  • Otentikasi dalam sesi tersedia di semua Wilayah yang didukungDCV. Autentikasi pra-sesi tersedia di Wilayah berikut:

    • Wilayah Asia Pasifik (Sydney)

    • Wilayah Asia Pacific (Tokyo)

    • Wilayah Eropa (Irlandia)

    • AWS GovCloud Wilayah (AS-Timur)

    • AWS GovCloud Wilayah (AS-Barat)

    • Wilayah AS Timur (Virginia Utara)

    • Wilayah AS Barat (Oregon)

  • Untuk otentikasi dalam sesi dan otentikasi pra-sesi di Linux atau Windows WorkSpaces, hanya satu kartu pintar yang saat ini diizinkan pada satu waktu.

  • Untuk otentikasi pra-sesi, mengaktifkan otentikasi kartu pintar dan otentikasi masuk pada direktori yang sama saat ini tidak didukung.

  • Hanya CAC dan PIV kartu yang didukung saat ini. Jenis perangkat keras atau kartu pintar berbasis perangkat lunak lainnya mungkin juga berfungsi, tetapi belum sepenuhnya diuji untuk digunakan. DCV

Konfigurasi Direktori

Untuk mengaktifkan autentikasi kartu pintar, Anda harus mengonfigurasi direktori AD Connector dan direktori on-premise Anda dengan cara berikut.

Konfigurasi direktori AD Connector

Sebelum memulai, pastikan direktori AD Connector Anda telah disiapkan seperti yang dijelaskan di Prasyarat AD Connector di Panduan Administrasi AWS Directory Service . Secara khusus, pastikan bahwa Anda telah membuka port yang diperlukan di firewall Anda.

Untuk menyelesaikan konfigurasi direktori AD Connector, ikuti petunjuk di Aktifkan TLS otentikasi m di AD Connector untuk digunakan dengan kartu pintar di Panduan AWS Directory Service Administrasi.

catatan

Otentikasi kartu pintar membutuhkan Kerberos Constrained Delegation () agar berfungsi dengan baik. KCD KCDmemerlukan bagian nama pengguna dari akun layanan AD Connector agar sesuai dengan sAMAccount Nama pengguna yang sama. sAMAccountNama tidak boleh melebihi 20 karakter.

Konfigurasi direktori on-premise

Selain mengonfigurasi direktori AD Connector, Anda juga harus memastikan bahwa sertifikat yang diterbitkan ke pengontrol domain untuk direktori lokal Anda memiliki set penggunaan kunci tambahan () "KDCAutentikasi”. EKU Untuk melakukannya, gunakan templat sertifikat Autentikasi Kerberos default Layanan Domain Direktori Aktif (AD DS). Jangan menggunakan templat sertifikat pengendali Domain atau templat sertifikat autentikasi pengendali Domain karena templat tersebut tidak berisi pengaturan yang diperlukan untuk autentikasi kartu pintar.

Aktifkan kartu pintar untuk Windows WorkSpaces

Untuk panduan umum tentang cara mengaktifkan autentikasi kartu pintar pada Windows, lihat Pedoman untuk mengaktifkan kartu pintar logon dengan otoritas sertifikasi (CA) pihak ketiga dalam dokumentasi Microsoft.

Untuk mendeteksi layar kunci Windows dan memutus sesi

Untuk memungkinkan pengguna membuka kunci Windows WorkSpaces yang diaktifkan untuk otentikasi pra-sesi kartu pintar saat layar terkunci, Anda dapat mengaktifkan deteksi layar kunci Windows di sesi pengguna. Ketika layar kunci Windows terdeteksi, WorkSpace sesi terputus, dan pengguna dapat menyambung kembali dari WorkSpaces klien dengan menggunakan kartu pintar mereka.

Anda dapat mengaktifkan pemutusan sesi ketika layar kunci Windows terdeteksi dengan menggunakan pengaturan Kebijakan Grup. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan sesi pemutusan pada kunci layar untuk DCV.

Untuk mengaktifkan autentikasi dalam sesi atau pra-sesi

Secara default, Windows tidak WorkSpaces diaktifkan untuk mendukung penggunaan kartu pintar untuk otentikasi pra-sesi atau dalam sesi. Jika diperlukan, Anda dapat mengaktifkan otentikasi dalam sesi dan pra-sesi untuk Windows WorkSpaces dengan menggunakan pengaturan Kebijakan Grup. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan pengalihan kartu pintar untuk DCV.

Untuk menggunakan autentikasi pra-sesi, selain memperbarui pengaturan Kebijakan Grup, Anda juga harus mengaktifkan otentikasi pra-sesi melalui pengaturan direktori AD Connector. Untuk informasi selengkapnya, ikuti petunjuk di Aktifkan TLS otentikasi m di AD Connector untuk digunakan di kartu pintar di Panduan AWS Directory Service Administrasi.

Untuk mengaktifkan pengguna untuk menggunakan kartu pintar di peramban

Jika pengguna Anda menggunakan Chrome sebagai peramban mereka, tidak diperlukan konfigurasi khusus untuk menggunakan kartu pintar.

Jika pengguna Anda menggunakan Firefox sebagai peramban mereka, Anda dapat mengaktifkan pengguna Anda untuk menggunakan kartu pintar di Firefox melalui Kebijakan Grup. Anda dapat menggunakan templat Kebijakan Grup Firefox ini di GitHub.

Misalnya, Anda dapat menginstal OpenSC versi 64-bit untuk Windows untuk mendukung PKCS #11, dan kemudian menggunakan pengaturan Kebijakan Grup berikut, di mana nilai NAME_OF_DEVICE apa pun yang ingin Anda gunakan untuk mengidentifikasi PKCS #11, sepertiOpenSC, dan di mana PATH_TO_LIBRARY_FOR_DEVICE jalur ke modul PKCS #11. Jalur ini harus mengarah ke perpustakaan dengan file. DLLekstensi, sepertiC:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll.

Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
Tip

Jika Anda menggunakan OpenSC, Anda juga dapat memuat modul pkcs11 OpenSC ke Firefox dengan menjalankan program pkcs11-register.exe. Untuk menjalankan program ini, klik file dua kali pada C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe, atau buka jendela Command Prompt dan jalankan perintah berikut:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"

Untuk memverifikasi bahwa modul pkcs11 OpenSC telah dimuat ke Firefox, lakukan hal berikut:

  1. Jika Firefox sudah berjalan, tutup Firefox.

  2. Buka Firefox. Pilih tombol menu Firefox menu button Di pojok kanan atas, lalu pilih Opsi.

  3. Pada halaman about:preferences, di sebelah kiri panel navigasi, pilih Privasi & Keamanan.

  4. Di bawah Sertifikat, pilih Perangkat Keamanan.

  5. Di kotak dialog Pengelola Perangkat, Anda akan melihat kerangka kerja kartu pintar OpenSC (0.21) di navigasi kiri, dan harus memiliki nilai berikut ketika memilihnya:

    Modul: OpenSC smartcard framework (0.21)

    Jalan: C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll

Pemecahan Masalah

Untuk informasi tentang pemecahan masalah kartu pintar, lihat Masalah sertifikat dan konfigurasi dalam dokumentasi Microsoft.

Beberapa masalah umum yang dapat menyebabkan masalah:

  • Pemetaan yang salah dari slot ke sertifikat.

  • Memiliki beberapa sertifikat pada kartu pintar yang dapat dicocokkan dengan pengguna. Sertifikat dicocokkan menggunakan kriteria berikut:

    • CA root untuk sertifikat.

    • Bidang sertifikat <KU> dan <EKU>.

    • UPNDalam subjek sertifikat.

  • Memiliki beberapa sertifikat yang memiliki <EKU>msScLogin dalam penggunaan kunci mereka.

Secara umum, yang terbaik adalah hanya memiliki satu sertifikat untuk autentikasi kartu pintar yang dipetakan ke slot pertama dalam kartu pintar.

Alat untuk mengelola sertifikat dan kunci pada kartu pintar (seperti menghapus atau memetakan ulang sertifikat dan kunci) mungkin khusus produsen. Untuk informasi selengkapnya, lihat dokumentasi yang disediakan oleh produsen kartu cerdas Anda.

Aktifkan kartu pintar untuk Linux WorkSpaces

catatan

Linux WorkSpaces pada DCV saat ini memiliki batasan sebagai berikut:

  • Clipboard, audio-in, video-in, dan pengalihan zona waktu tidak didukung.

  • Beberapa monitor tidak didukung.

  • Anda harus menggunakan aplikasi klien WorkSpaces Windows untuk terhubung ke WorkSpaces LinuxDCV.

Untuk mengaktifkan penggunaan kartu pintar di Linux WorkSpaces, Anda harus menyertakan file sertifikat CA root dalam PEM format pada WorkSpace gambar.

Untuk mendapatkan sertifikat CA root

Anda dapat memperoleh sertifikat CA root Anda dalam beberapa cara:

  • Anda dapat menggunakan sertifikat CA root yang dioperasikan oleh otoritas sertifikasi (CA) pihak ketiga.

  • Anda dapat mengekspor sertifikat CA root Anda sendiri dengan menggunakan situs Pendaftaran Web, yang merupakan salah satu http://ip_address/certsrv atauhttp://fqdn/certsrv, di mana ip_address dan fqdn merupakan alamat IP dan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server CA sertifikasi root. Untuk informasi selengkapnya tentang penggunaan situs Web pendaftaran, lihat Cara mengekspor Sertifikat Otoritas Sertifikasi (CA) akar dalam dokumentasi Microsoft.

  • Anda dapat menggunakan prosedur berikut ini untuk mengekspor sertifikat CA root dari server sertifikasi CA root yang menjalankan Layanan Sertifikat Direktori Aktif (AD CS). Untuk informasi selengkapnya tentang menginstal AD CS, lihat Instal Otoritas Sertifikasi (CA) dalam dokumentasi Microsoft.

    1. Masuk ke server CA root menggunakan akun administrator.

    2. Dari menu start Windows, buka jendela prompt perintah (Mulai > Sistem Windows > Prompt Perintah).

    3. Gunakan perintah berikut untuk mengekspor sertifikat CA root ke file baru, saat rootca.cer adalah nama file baru:

      certutil -ca.cert rootca.cer

      Untuk informasi selengkapnya tentang menjalankan certutil, lihat certutil dalam dokumentasi Microsoft.

    4. Gunakan SSL perintah Buka berikut untuk mengonversi sertifikat CA root yang diekspor dari DER PEM format ke format, di mana rootca nama sertifikat. Untuk informasi lebih lanjut tentang OpenSSL, lihat www.openssl.org.

      openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
Untuk menambahkan sertifikat CA root Anda ke Linux Anda WorkSpaces

Untuk membantu Anda mengaktifkan kartu pintar, kami telah menambahkan enable_smartcard skrip ke DCV bundel Amazon Linux kami. Skrip tersebut melakukan tugas-tugas berikut:

  • Mengimpor sertifikat CA root Anda ke database Network Security Services (NSS).

  • Menginstal pam_pkcs11 modul untuk otentikasi Pluggable Authentication Module (). PAM

  • Melakukan konfigurasi default, yang mencakup pengaktifan pkinit selama WorkSpace penyediaan.

Prosedur berikut menjelaskan cara menggunakan enable_smartcard skrip untuk menambahkan sertifikat CA root Anda ke Linux Anda WorkSpaces dan untuk mengaktifkan kartu pintar untuk Linux Anda WorkSpaces.

  1. Buat Linux baru WorkSpace dengan DCV protokol diaktifkan. Saat meluncurkan WorkSpace di WorkSpaces konsol Amazon, pada halaman Pilih Bundel, pastikan DCVuntuk memilih protokol, lalu pilih salah satu bundel publik Amazon Linux 2.

  2. Pada yang baru WorkSpace, jalankan perintah berikut sebagai root, di pem-path mana jalur ke file sertifikat CA root dalam PEM format.

    /usr/lib/skylight/enable_smartcard --ca-cert pem-path
    catatan

    Linux WorkSpaces berasumsi bahwa sertifikat pada kartu pintar dikeluarkan untuk nama utama pengguna default pengguna (UPN), sepertisAMAccountName@domain, di mana domain adalah nama domain yang sepenuhnya memenuhi syarat (FQDN).

    Untuk menggunakan UPN sufiks alternatif, run /usr/lib/skylight/enable_smartcard --help untuk informasi lebih lanjut. Pemetaan untuk UPN sufiks alternatif unik untuk setiap pengguna. Oleh karena itu, pemetaan itu harus dilakukan secara individual pada setiap pengguna. WorkSpace

  3. (Opsional) Secara default, semua layanan diaktifkan untuk menggunakan otentikasi kartu pintar di Linux WorkSpaces. Untuk membatasi autentikasi kartu pintar hanya untuk layanan tertentu, Anda harus mengedit /etc/pam.d/system-auth. Batalkan komentar pada baris auth untuk pam_succeed_if.so dan edit daftar layanan sesuai kebutuhan.

    Setelah baris auth tidak berisi komentar, untuk mengizinkan layanan untuk menggunakan autentikasi kartu pintar, Anda harus menambahkannya ke daftar. Untuk membuat layanan hanya menggunakan autentikasi kata sandi, Anda harus menghapusnya dari daftar.

  4. Lakukan penyesuaian tambahan apa pun ke. WorkSpace Misalnya, Anda mungkin ingin menambahkan kebijakan seluruh sistem ke aktifkan pengguna untuk menggunakan kartu pintar di Firefox. (Pengguna Chrome harus mengaktifkan kartu pintar pada klien mereka sendiri. Untuk informasi selengkapnya, lihat Dukungan Kartu Pintar di Panduan WorkSpaces Pengguna Amazon.)

  5. Buat WorkSpace gambar khusus dan bundel dari file WorkSpace.

  6. Gunakan bundel kustom baru untuk diluncurkan WorkSpaces bagi pengguna Anda.

Untuk mengaktifkan pengguna menggunakan kartu pintar di Firefox

Anda dapat mengaktifkan pengguna Anda untuk menggunakan kartu pintar di Firefox dengan menambahkan SecurityDevices kebijakan ke WorkSpace gambar Linux Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan seluruh sistem ke Firefox, lihat templat kebijakan Mozilla di. GitHub

  1. Pada WorkSpace yang Anda gunakan untuk membuat WorkSpace gambar Anda, buat file baru bernama policies.json/usr/lib64/firefox/distribution/.

  2. Dalam JSON file, tambahkan SecurityDevices kebijakan berikut, di mana nilai NAME_OF_DEVICE apa pun yang ingin Anda gunakan untuk mengidentifikasi pkcs modul. Misalnya, Anda mungkin ingin menggunakan nilai seperti "OpenSC":

    {
    "policies": {
        "SecurityDevices": {
            "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
        }
    }
}
Pemecahan Masalah

Untuk pemecahan masalah, kami merekomendasikan untuk menambahkan utilitas pkcs11-tools. Utilitas ini mengizinkan Anda untuk melakukan tindakan berikut:

  • Mendaftarkan setiap kartu pintar.

  • Mendaftarkan slot pada setiap kartu pintar.

  • Mendaftarkan sertifikat pada setiap kartu pintar.

Beberapa masalah umum yang dapat menyebabkan masalah:

  • Pemetaan yang salah dari slot ke sertifikat.

  • Memiliki beberapa sertifikat pada kartu pintar yang dapat dicocokkan dengan pengguna. Sertifikat dicocokkan menggunakan kriteria berikut:

    • CA root untuk sertifikat.

    • Bidang sertifikat <KU> dan <EKU>.

    • UPNDalam subjek sertifikat.

  • Memiliki beberapa sertifikat yang memiliki <EKU>msScLogin dalam penggunaan kunci mereka.

Secara umum, yang terbaik adalah hanya memiliki satu sertifikat untuk autentikasi kartu pintar yang dipetakan ke slot pertama dalam kartu pintar.

Alat untuk mengelola sertifikat dan kunci pada kartu pintar (seperti menghapus atau memetakan ulang sertifikat dan kunci) mungkin khusus produsen. Alat tambahan yang dapat Anda gunakan untuk bekerja dengan kartu pintar adalah:

  • opensc-explorer

  • opensc-tool

  • pkcs11_inspect

  • pkcs11_listcerts

  • pkcs15-tool

Untuk mengaktifkan debug pencatatan log

Untuk memecahkan masalah konfigurasi pam_pkcs11 dan pam-krb5, Anda dapat mengaktifkan debug pencatatan log.

  1. Dalam file /etc/pam.d/system-auth-ac, edit tindakan auth dan mengubah parameter nodebug dari pam_pksc11.so menjadi debug.

  2. Di file /etc/pam_pkcs11/pam_pkcs11.conf, ubah debug = false; ke debug = true;. Opsi debug berlaku secara terpisah untuk setiap modul pemeta, sehingga Anda mungkin perlu untuk mengubah keduanya secara langsung di bawah bagian pam_pkcs11 dan juga di bawah bagian pemetaan yang sesuai (secara default, adalah mapper generic).

  3. Dalam file /etc/pam.d/system-auth-ac, edit tindakan auth dan tambahkan parameter debug atau debug_sensitive menjadi pam_krb5.so.

Setelah Anda mengaktifkan debug pencatatan log, sistem akan mencetak pesan debug pam_pkcs11 langsung di terminal aktif. Pesan dari pam_krb5 telah masuk di /var/log/secure.

Untuk memeriksa peta sertifikat nama pengguna kartu pintar, gunakan pklogin_finder perintah:

sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf

Saat diminta, masukkan kartu PIN pintar. pklogin_finderoutput pada stdout nama pengguna pada sertifikat kartu pintar dalam formulirNETBIOS\username. Nama pengguna ini harus sesuai dengan nama WorkSpace pengguna.

Dalam Layanan Domain Direktori Aktif (AD DS), nama BIOS domain Net adalah nama domain pra-Windows 2000. Biasanya (tetapi tidak selalu), nama BIOS domain Net adalah subdomain dari nama domain Domain Name System (DNS). Misalnya, jika nama DNS domainnyaexample.com, nama BIOS domain Net biasanyaEXAMPLE. Jika nama DNS domainnyacorp.example.com, nama BIOS domain Net biasanyaCORP.

Misalnya, untuk pengguna mmajor di domain corp.example.com, output dari pklogin_finder adalah CORP\mmajor.

catatan

Jika Anda menerima pesan "ERROR:pam_pkcs11.c:504: verify_certificate() failed", pesan ini menunjukkan bahwa pam_pkcs11 telah menemukan sertifikat pada kartu pintar yang cocok dengan kriteria nama pengguna tetapi itu tidak mengikat sertifikat CA root yang diakui oleh mesin. Ketika itu terjadi, pam_pkcs11 mengeluarkan pesan di atas lalu mencoba sertifikat berikutnya. Hal ini memungkinkan autentikasi hanya jika menemukan sertifikat yang keduanya cocok dengan nama pengguna dan mengikat hingga sertifikat CA akar diakui.

Untuk memecahkan masalah konfigurasi pam_krb5, Anda dapat secara manual memanggil kinit dalam mode debug dengan perintah berikut:

KRB5_TRACE=/dev/stdout kinit -V

Perintah ini harus berhasil mendapatkan Tiket Pemberian Tiket Kerberos (). TGT Jika gagal, coba tambahkan nama utama Kerberos yang benar secara eksplisit ke perintah. Misalnya, untuk pengguna mmajor di domain corp.example.com, gunakan perintah ini: 

KRB5_TRACE=/dev/stdout kinit -V mmajor

Jika perintah ini berhasil, masalahnya kemungkinan besar dalam pemetaan dari WorkSpace nama pengguna ke nama utama Kerberos. Periksa bagian [appdefaults]/pam/mappings dalam file /etc/krb5.conf.

Jika perintah ini tidak berhasil, tetapi perintah kinit berbasis kata sandi berhasil, periksa konfigurasi terkait pkinit_ dalam file /etc/krb5.conf. Misalnya, jika kartu pintar berisi lebih dari satu sertifikat, Anda mungkin perlu melakukan perubahan pada pkinit_cert_match.