第8章スマートカードを使用した sudo のリモート認証

SSH エージェント転送を利用することで、ローカルのスマートカードを活用してリモートの sudo コマンドを認証できます。この設定では、物理的に接続されたトークンに保存されている認証情報を安全に利用することで、リモートホスト上でのパスワード入力を不要にします。

スマートカードを使用してリモートで sudo に認証できます。ssh-agent サービスがローカルで実行され、ssh-agent ソケットをリモートマシンに転送できるようになると、sudo PAM モジュールの SSH 認証プロトコルを使用してユーザーをリモートで認証できます。

スマートカードを使用してローカルでログインした後、SSH を使用してリモートマシンにログインし、スマートカード認証の SSH 転送を利用することで、パスワードの入力を求められることなく sudo コマンドを実行できます。

この例では、クライアントは SSH を使用して IPA サーバーに接続し、スマートカードに保存された認証情報を使用して IPA サーバー上で sudo コマンドを実行します。

8.1. IdM での sudo ルールの作成
リンクのコピー

管理者は、リモートホスト上での sudo アクセスを許可するための特定の IdM ポリシーを定義します。きめ細かな特権制御のために、/usr/bin/less などの制限付きコマンドを対象ユーザーとホストに紐付けるための具体的なルールを作成します。

IdM で sudo ルールを作成し、<idm_user> にリモートホスト上で sudo を実行する権限を付与します。この例では、手順をテストするために、less コマンドと whoami コマンドを sudo コマンドとして追加します。

前提条件

手順

コマンドの実行をユーザーに許可するために、<sudorule_name> という名前の sudo ルールを作成します。<sudorule_name> は、作成する sudo ルールの実際の名前に置き換えます。
```
# ipa sudorule-add <sudorule_name>
```

sudo コマンドとして less および whoami を追加します。

# ipa sudocmd-add /usr/bin/less

# ipa sudocmd-add /usr/bin/whoami

less コマンドと whoami コマンドを <sudorule_name> に追加します。

# ipa sudorule-add-allow-command <sudorule_name> --sudocmds /usr/bin/less

# ipa sudorule-add-allow-command <sudorule_name> --sudocmds /usr/bin/whoami

<idm_user> ユーザーを <sudorule_name> に追加します。

# ipa sudorule-add-user <sudorule_name> --users <idm_user>

sudo を実行するホストを <sudorule_name> に追加します。
```
# ipa sudorule-add-host <sudorule_name> --hosts server.ipa.test
```