Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

5.6. Activation de sudo sans mot de passe pour les utilisateurs de cartes à puce

download PDF

Une fois que vous vous êtes connecté à la console web avec un certificat, il se peut que vous deviez passer en mode administratif (privilèges de racine via sudo). Si votre compte utilisateur possède un mot de passe, vous pouvez l'utiliser pour vous authentifier sur sudo.

Comme alternative, si vous utilisez Red Hat Identity Management, vous pouvez déclarer l'authentification initiale du certificat de la console web comme étant de confiance pour l'authentification à sudo, SSH, ou d'autres services. À cette fin, la console Web crée automatiquement un ticket Kerberos S4U2Proxy dans la session de l'utilisateur.

Conditions préalables

Procédure

  1. Définir des règles de délégation des contraintes pour dresser la liste des hôtes auxquels le ticket peut accéder.

    Exemple 5.1. Mise en place de règles de délégation de contraintes

    La session de la console web s'exécute sur l'hôte host.example.com et doit être autorisée à accéder à son propre hôte avec sudo. De plus, nous ajoutons un deuxième hôte de confiance - remote.example.com.

    • Créer la délégation suivante :

      • Exécutez les commandes suivantes pour ajouter une liste de machines cibles auxquelles une règle particulière peut accéder : 

        # ipa servicedelegationtarget-add cockpit-target
# ipa servicedelegationtarget-add-member cockpit-target \
   --principals=host/host.example.com@EXAMPLE.COM \
   --principals=host/remote.example.com@EXAMPLE.COM

      • Pour autoriser les sessions de la console web (HTTP/principal) à accéder à cette liste d'hôtes, exécutez les commandes suivantes : 

        # ipa servicedelegationrule-add cockpit-delegation
# ipa servicedelegationrule-add-member cockpit-delegation \
  --principals=HTTP/host.example.com@EXAMPLE.COM
# ipa servicedelegationrule-add-target cockpit-delegation \
  --servicedelegationtargets=cockpit-target

  2. Activer l'authentification GSS dans les services correspondants :

    1. Pour sudo, activez le module pam_sss_gss dans le fichier /etc/sssd/sssd.conf:

      1. En tant que root, ajoutez une entrée pour votre domaine dans le fichier de configuration /etc/sssd/sssd.conf. 

        [domain/example.com]
pam_gssapi_services = sudo, sudo-i

      2. Activez le module dans le fichier /etc/pam.d/sudo sur la première ligne. 

        auth sufficient pam_sss_gss.so
    2. Pour SSH, mettez à jour l'option GSSAPIAuthentication du fichier /etc/ssh/sshd_config en yes.
Avertissement

Le ticket S4U délégué n'est pas transmis aux hôtes SSH distants lorsque l'on s'y connecte depuis la console web. L'authentification sudo sur un hôte distant avec votre ticket ne fonctionnera pas.

Vérification

  1. Connectez-vous à la console web à l'aide d'une carte à puce.
  2. Cliquez sur le bouton Limited access.
  3. Authentifiez-vous à l'aide de votre carte à puce.

OU

  1. Essayez de vous connecter à un autre hôte avec SSH.
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.