Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

6.5. Configuration de l'accès SSH à l'aide de l'authentification par carte à puce

download PDF

Les connexions SSH nécessitent une authentification. Vous pouvez utiliser un mot de passe ou un certificat. Cette section décrit la configuration nécessaire pour activer l'authentification à l'aide d'un certificat stocké sur une carte à puce

Pour plus de détails sur la configuration des cartes à puce avec authselect, voir Configuration des cartes à puce avec authselect.

Conditions préalables

  • La carte à puce contient votre certificat et votre clé privée.
  • La carte est insérée dans le lecteur et connectée à l'ordinateur.
  • SSSD est installé et configuré.
  • Votre nom d'utilisateur correspond au nom commun (CN) ou à l'ID utilisateur (UID) figurant dans le SUJET du certificat.

  • Le service pcscd est en cours d'exécution sur votre machine locale.

    Pour plus de détails, voir Installation des outils de gestion et d'utilisation des cartes à puce.

Procédure

  1. Créez un nouveau répertoire pour les clés SSH dans le répertoire personnel de l'utilisateur qui utilise l'authentification par carte à puce : 

    # mkdir /home/example.user/.ssh

  2. Exécutez la commande ssh-keygen -D avec la bibliothèque opensc pour récupérer la clé publique existante associée à la clé privée de la carte à puce, et ajoutez-la à la liste authorized_keys du répertoire des clés SSH de l'utilisateur pour activer l'accès SSH avec l'authentification par carte à puce. 

    # ssh-keygen -D /usr/lib64/pkcs11/opensc-pkcs11.so >> ~exemple.user/.ssh/authorized_keys

  3. SSH nécessite la configuration des droits d'accès au répertoire /.ssh et au fichier authorized_keys. Pour définir ou modifier les droits d'accès, entrez : 

    # chown -R example.user:example.user ~example.user/.ssh/
# chmod 700 ~example.user/.ssh/
# chmod 600 ~example.user/.ssh/authorized_keys

  4. En option, afficher les touches : 

    # cat ~example.user/.ssh/authorized_keys

    Le terminal affiche les touches.

  5. Vérifiez que l'authentification par carte à puce est activée dans le fichier /etc/sssd/sssd.conf:

    Dans la section [pam], activez le module d'authentification par certificat pam : pam_cert_auth = True

    Si le fichier sssd.conf n'a pas encore été créé, vous pouvez créer la configuration fonctionnelle minimale en copiant le script suivant sur la ligne de commande : 

    # cat > /etc/sssd/sssd.conf <<EOF
[sssd]
services = nss, pam
domains = shadowutils

[nss]

[pam]
pam_cert_auth = True

[domain/shadowutils]
id_provider = files
EOF

  6. Pour utiliser les clés SSH, configurez l'authentification avec la commande authselect: 

    # authselect select sssd with-smartcard --force

Vous pouvez maintenant vérifier l'accès SSH à l'aide de la commande suivante : 

# ssh -I /usr/lib64/opensc-pkcs11.so -l example.user localhost hostname

Si la configuration est réussie, vous êtes invité à saisir le code PIN de la carte à puce.

La configuration fonctionne désormais localement. Vous pouvez maintenant copier la clé publique et la distribuer dans les fichiers authorized_keys situés sur tous les serveurs sur lesquels vous souhaitez utiliser SSH.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.