ホーム
製品
Red Hat Enterprise Linux
8
IdM ユーザー、グループ、ホスト、およびアクセス制御ルールの管理
9.8. IdM クライアントでの GSSAPI 認証の有効化および sudo の Kerberos 認証インジケーターの有効化

9.8. IdM クライアントでの GSSAPI 認証の有効化および sudo の Kerberos 認証インジケーターの有効化

Identity Management (IdM) クライアントで、PAM モジュールの pam_sss_gss.so を介して、sudo や sudo -i などの PAM 対応サービスに対して Generic Security Service Application Program Interface (GSSAPI) 認証を有効にできます。さらに、Kerberos チケットを使用してこれらのサービスに対して認証できるユーザーを、スマートカードを使用してログインしたユーザーに制限することもできます。

注記

この手順をテンプレートとして使用し、他の PAM 対応サービスに対して SSSD で GSSAPI 認証を設定して、さらに特定の認証インジケーターが Kerberos チケットにアタッチされているユーザーだけにアクセスを限定することができます。

ただし、認証インジケーターを使用してアクセスを制限する場合、現時点で次の 2 つの制限があります。

認証インジケーターがサポートされるのは、MIT Kerberos に基づくデプロイメントだけです。このようなデプロイメントには、RHEL IdM、Fedora の FreeIPA、Fedora の Samba AD DC などがあります。
認証インジケーターは、レルム境界で Kerberos チケットから削除されます。

したがって、たとえば、pam_gssapi_indicators_map = sudo:pkinit を使用して sudo アクセスを制限する場合、この制限は IdM LDAP に保存されているユーザーにのみ適用できます。Active Directory に保存されているチケットなど、他の場所に保存されているユーザーに発行されたチケットは、現在、pam_gssapi_indicators_map = sudo:pkinit 条件を満たすことができません。

前提条件

IdM ホストに適用する IdM ユーザーの sudo ルールを作成している。この例では、idmclient ホストで /usr/sbin/reboot コマンドを実行するパーミッションを idm_user アカウントに付与する idm_user_reboot sudo ルールが作成済みです。
idmclient ホストにスマートカード認証を設定している。
idmclient ホストが RHEL 8.4 以降を実行している。
/etc/sssd/sssd.conf ファイルと、/etc/pam.d/ ディレクトリーの PAM ファイルを変更するための root 特権がある。

手順

/etc/sssd/sssd.conf 設定ファイルを開きます。

[domain/<idm_domain_name>] セクションに次のエントリーを追加します。

[domain/<idm_domain_name>]
pam_gssapi_services = sudo, sudo-i
pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit

[domain/<idm_domain_name>]
pam_gssapi_services = sudo, sudo-i
pam_gssapi_indicators_map = sudo:pkinit, sudo-i:pkinit

Copy to Clipboard

Toggle word wrap

/etc/sssd/sssd.conf ファイルを保存して閉じます。
SSSD サービスを再起動して、設定の変更を読み込みます。
```
systemctl restart sssd
```
```
[root@idmclient ~]# systemctl restart sssd
```
Copy to Clipboard Toggle word wrap
RHEL 8.8 以降の場合:
1. sssd authselect プロファイルを選択したかどうかを確認します。
  # authselect current Profile ID: sssd
  Copy to Clipboard Toggle word wrap
2. オプション: sssd authselect プロファイルを選択します。
  # authselect select sssd
  Copy to Clipboard Toggle word wrap
3. GSSAPI 認証を有効にします。
  # authselect enable-feature with-gssapi
  Copy to Clipboard Toggle word wrap
4. スマートカードを持つユーザーのみを認証するようにシステムを設定します。
  # authselect with-smartcard-required
  Copy to Clipboard Toggle word wrap

RHEL 8.7 以前の場合:

/etc/pam.d/sudo の PAM 設定ファイルを開きます。

以下のエントリーを、/etc/pam.d/sudo ファイルの auth セクションの最初の行に追加します。

#%PAM-1.0
auth sufficient pam_sss_gss.so
auth       include      system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

#%PAM-1.0
auth sufficient pam_sss_gss.so
auth       include      system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

Copy to Clipboard

Toggle word wrap

/etc/pam.d/sudo ファイルを保存して閉じます。
/etc/pam.d/sudo-i の PAM 設定ファイルを開きます。

以下のエントリーを、/etc/pam.d/sudo-i ファイルの auth セクションの最初の行に追加します。

#%PAM-1.0
auth sufficient pam_sss_gss.so
auth       include      sudo
account    include      sudo
password   include      sudo
session    optional     pam_keyinit.so force revoke
session    include      sudo

#%PAM-1.0
auth sufficient pam_sss_gss.so
auth       include      sudo
account    include      sudo
password   include      sudo
session    optional     pam_keyinit.so force revoke
session    include      sudo

Copy to Clipboard

Toggle word wrap

/etc/pam.d/sudo-i ファイルを保存して閉じます。

検証

idm_user アカウントとしてホストにログインし、スマートカードで認証します。
```
ssh -l idm_user@idm.example.com localhost
```
```
[root@idmclient ~]# ssh -l idm_user@idm.example.com localhost
PIN for smart_card
```
Copy to Clipboard Toggle word wrap

スマートカードユーザーを使用して Ticket-Granting Ticket があることを確認します。

klist

[idm_user@idmclient ~]$ klist
Ticket cache: KEYRING:persistent:1358900015:krb_cache_TObtNMd
Default principal: idm_user@IDM.EXAMPLE.COM

Valid starting       Expires              Service principal
02/15/2021 16:29:48  02/16/2021 02:29:48  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
	renew until 02/22/2021 16:29:44

Copy to Clipboard

Toggle word wrap

idm_user アカウントが実行可能な sudo ルールを表示します。

sudo -l

[idm_user@idmclient ~]$ sudo -l
Matching Defaults entries for idmuser on idmclient:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY KRB5CCNAME",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User idm_user may run the following commands on idmclient:
    (root) /usr/sbin/reboot

Copy to Clipboard

Toggle word wrap

パスワードを指定せずに sudo を使用してマシンを再起動します。
```
sudo /usr/sbin/reboot
```
```
[idm_user@idmclient ~]$ sudo /usr/sbin/reboot
```
Copy to Clipboard Toggle word wrap

トップに戻る

9.8. IdM クライアントでの GSSAPI 認証の有効化および sudo の Kerberos 認証インジケーターの有効化

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links