Red Hat Summit8.6. スマートカードユーザーに対するパスワードなしの sudo 認証の有効化
Web コンソールで、スマートカードユーザー向けに sudo およびその他のサービスへのパスワードなし認証を設定できます。
また、Red Hat Enterprise Linux Identity Management を使用している場合は、sudo、SSH、またはその他のサービスに対して認証するために、最初の Web コンソール証明書認証を信頼できるものとして宣言できます。そのために、Web コンソールはユーザーセッションに S4U2Proxy Kerberos チケットを自動的に作成します。
前提条件
- Identity Management がインストールされている。
- Identity Management を使用してフォレスト間の信頼に接続された Active Directory。
- Web コンソールへのログイン用に設定されたスマートカード。詳細は、Configuring smart card authentication with the web console for centrally managed users を参照してください。
手順
チケットがアクセスできるホストをリストアップする制約委譲ルールを設定します。
例8.1 制約委譲ルールの設定
Web コンソールセッションはホスト
host.example.comで実行されており、sudoを使用して自分のホストにアクセスできるように信頼されている必要があります。さらに、2 つ目の信頼できるホストとしてremote.example.comを追加します。以下の委譲を作成します。
以下のコマンドを実行して、特定のルールがアクセスできるターゲットマシンのリストを追加します。
# ipa servicedelegationtarget-add cockpit-target # ipa servicedelegationtarget-add-member cockpit-target \ --principals=host/host.example.com@EXAMPLE.COM \ --principals=host/remote.example.com@EXAMPLE.COM
Web コンソールセッション (HTTP/プリンシパル) がそのホストリストにアクセスできるようにするには、次のコマンドを使用します。
# ipa servicedelegationrule-add cockpit-delegation # ipa servicedelegationrule-add-member cockpit-delegation \ --principals=HTTP/host.example.com@EXAMPLE.COM # ipa servicedelegationrule-add-target cockpit-delegation \ --servicedelegationtargets=cockpit-target
対応するサービスで GSS 認証を有効にします。
sudo の場合は、
/etc/sssd/sssd.confファイルでpam_sss_gssモジュールを有効にします。root で、
/etc/sssd/sssd.conf設定ファイルにドメイン用のエントリーを追加します。[domain/example.com] pam_gssapi_services = sudo, sudo-i
/etc/pam.d/sudoファイルの 1 行目でモジュールを有効にします。auth sufficient pam_sss_gss.so
-
SSH の場合、
/etc/ssh/sshd_configファイルのGSSAPIAuthenticationオプションをyesに更新します。
委譲された S4U チケットが、Web コンソールからリモートの SSH ホストに接続するときに転送されません。チケットを使用してリモートホストの sudo を認証してもうまくいきません。
検証
- スマートカードを使用して Web コンソールにログインします。
-
Limited accessボタンをクリックします。 - スマートカードを使用して認証を行います。
または、次のようになります。
- 別のホストに SSH で接続を試みます。
