52.2. Web コンソールで SSH ログイン用のスマートカード認証を設定する

RHEL Web コンソールでユーザーアカウントにログインすると、SSH プロトコルを使用してリモートマシンに接続できます。制約付き委任機能を使用すると、再度認証を求められることなく SSH を使用できます。

この手順例では、Web コンソールセッションは myhost.idm.example.com ホスト上で実行され、認証されたユーザーに代わって SSH を使用して remote.idm.example.com ホストにアクセスするようにコンソールを設定します。

前提条件

手順

Terminal ページで、Web コンソールがユーザーセッション内に Service for User to Proxy (S4U2proxy) Kerberos チケットを作成したことを確認します。
```
klist
```
```
$ klist
…
Valid starting     Expires            Service principal
05/20/25 09:19:06 05/21/25 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
…
```
Copy to Clipboard Toggle word wrap

委任ルールがアクセスできるターゲットホストのリストを作成します。

委任ターゲットに対象ホストを追加します。

ipa servicedelegationtarget-add-member cockpit-target \
  --principals=host/remote.idm.example.com@IDM.EXAMPLE.COM

$ ipa servicedelegationtarget-add-member cockpit-target \
  --principals=host/remote.idm.example.com@IDM.EXAMPLE.COM

Copy to Clipboard

Toggle word wrap

サービス委任ルールを作成し、HTTP サービスの Kerberos プリンシパルを追加することで、cockpit セッションが対象ホストのリストにアクセスできるようにします。
1. サービス委任ルールを作成します。
  $ ipa servicedelegationrule-add cockpit-delegation
  Copy to Clipboard Toggle word wrap
2. Web コンソールクライアントを委任ルールに追加します。
  $ ipa servicedelegationrule-add-member cockpit-delegation \ --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
  Copy to Clipboard Toggle word wrap
3. 委任ターゲットを委任ルールに追加します。
  $ ipa servicedelegationrule-add-target cockpit-delegation \ --servicedelegationtargets=cockpit-target
  Copy to Clipboard Toggle word wrap
remote.idm.example.com ホストで Kerberos 認証を有効にします。
1. root として SSH 経由で remote.idm.example.com に接続します。
2. /etc/ssh/sshd_config ファイルに GSSAPIAuthentication yes 行を追加します。
変更がすぐに有効になるように、remote.idm.example.com の sshd サービスを再起動します。
```
systemctl try-restart sshd.service
```
```
$ systemctl try-restart sshd.service
```
Copy to Clipboard Toggle word wrap

トップに戻る