8.3. スマートカードを使用した sudo へのリモート接続
スマートカードを使用してリモートで sudo
に接続するように SSH エージェントとクライアントを設定するには、次の手順に従います。
前提条件
-
IdM で
sudo
ルールを作成している。 -
sudo
を実行するリモートシステムでsudo
認証用にpam_ssh_agent_auth
PAM モジュールをインストールして設定している。
手順
SSH エージェントを起動します (まだ実行されていない場合には)。
eval `ssh-agent`
スマートカードを SSH エージェントに追加します。プロンプトが表示されたら PIN を入力します。
ssh-add -s /usr/lib64/opensc-pkcs11.so
ssh-agent 転送を有効にした SSH を使用して、
sudo
をリモートで実行する必要があるシステムに接続します。-A
オプションを使用します。ssh -A ipauser1@server.ipa.test
検証手順
sudo
でwhoami
コマンドを実行します。sudo /usr/bin/whoami
スマートカードの挿入時に PIN またはパスワードの入力を求められることはありません。
SSH エージェントが GNOME キーリングなどの他のソースを使用するように設定されている場合に、スマートカードを取り外した後に sudo
コマンドを実行すると、他のソースのいずれかが有効な秘密鍵へのアクセスを提供する可能性があるため、PIN またはパスワードの入力を求められないことがあります。SSH エージェントが認識しているすべての ID の公開鍵を確認するには、ssh-add -L
コマンドを実行します。