Red Hat SummitChapitre 8. S'authentifier à sudo à distance à l'aide de cartes à puce
Cette section décrit comment s'authentifier à sudo à distance à l'aide de cartes à puce. Une fois que le service ssh-agent fonctionne localement et qu'il peut transmettre le socket ssh-agent à une machine distante, vous pouvez utiliser le protocole d'authentification SSH dans le module sudo PAM pour authentifier les utilisateurs à distance.
Après vous être connecté localement à l'aide d'une carte à puce, vous pouvez vous connecter via SSH à la machine distante et exécuter la commande sudo sans être invité à saisir un mot de passe en utilisant la transmission SSH de l'authentification par carte à puce.
Dans cet exemple, un client se connecte au serveur IPA via SSH et exécute la commande sudo sur le serveur IPA avec des informations d'identification stockées sur une carte à puce.
8.1. Création de règles sudo dans IdM
Cette procédure décrit comment créer des règles sudo dans IdM pour donner à ipauser1 la permission d'exécuter sudo sur l'hôte distant.
Pour les besoins de cet exemple, les commandes less et whoami sont ajoutées en tant que commandes sudo pour tester la procédure.
Conditions préalables
-
L'utilisateur IdM a été créé. Pour les besoins de cet exemple, l'utilisateur est
ipauser1. -
Vous avez le nom d'hôte du système sur lequel vous exécutez sudo à distance. Dans le cadre de cet exemple, l'hôte est
server.ipa.test.
Procédure
Créez une règle
sudonomméeadminrulepour permettre à un utilisateur d'exécuter des commandes.ipa sudorule-add adminrule
ipa sudorule-add adminruleCopy to Clipboard Copied! Toggle word wrap Toggle overflow Ajouter
lessetwhoamien tant que commandessudo:ipa sudocmd-add /usr/bin/less ipa sudocmd-add /usr/bin/whoami
ipa sudocmd-add /usr/bin/less ipa sudocmd-add /usr/bin/whoamiCopy to Clipboard Copied! Toggle word wrap Toggle overflow Ajoutez les commandes
lessetwhoamià la commandeadminrule:ipa sudorule-add-allow-command adminrule --sudocmds /usr/bin/less ipa sudorule-add-allow-command adminrule --sudocmds /usr/bin/whoami
ipa sudorule-add-allow-command adminrule --sudocmds /usr/bin/less ipa sudorule-add-allow-command adminrule --sudocmds /usr/bin/whoamiCopy to Clipboard Copied! Toggle word wrap Toggle overflow Ajouter l'utilisateur
ipauser1à l'utilisateuradminrule:ipa sudorule-add-user adminrule --users ipauser1
ipa sudorule-add-user adminrule --users ipauser1Copy to Clipboard Copied! Toggle word wrap Toggle overflow Ajoutez l'hôte sur lequel vous exécutez
sudoà la listeadminrule:ipa sudorule-add-host adminrule --hosts server.ipa.test
ipa sudorule-add-host adminrule --hosts server.ipa.testCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}