122.2. 다시 인증하지 않고 원격 호스트에 SSH로 SSH로 인증할 수 있도록 웹 콘솔 구성
RHEL 웹 콘솔의 사용자 계정에 로그인한 후 IdM(Identity Management) 시스템 관리자로 SSH
프로토콜을 사용하여 원격 시스템에 연결해야 할 수 있습니다. 제한된 위임 기능을 사용하여 다시 인증하지 않고 SSH
를 사용할 수 있습니다.
제한된 위임을 사용하도록 웹 콘솔을 구성하려면 다음 절차를 따르십시오. 아래 예제에서 웹 콘솔 세션은 myhost.idm.example.com 호스트에서 실행되며 인증된 사용자를 대신하여 SSH
를 사용하여 remote.idm.example.com 호스트에 액세스하도록 구성되어 있습니다.
사전 요구 사항
-
IdM
관리자
티켓(TGT)이 있습니다. -
remote.idm.example.com 에 대한
root
액세스 권한이 있어야 합니다. - 웹 콘솔 서비스가 IdM에 있습니다.
- remote.idm.example.com 호스트는 IdM에 있습니다.
웹 콘솔에서 사용자 세션에
S4U2Proxy
Kerberos 티켓을 생성했습니다. 이 경우 웹 콘솔에 IdM 사용자로 로그인하여터미널
페이지를 열고 다음을 입력합니다.$ klist Ticket cache: FILE:/run/user/1894000001/cockpit-session-3692.ccache Default principal: user@IDM.EXAMPLE.COM Valid starting Expires Service principal 07/30/21 09:19:06 07/31/21 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM 07/30/21 09:19:06 07/31/21 09:19:06 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM for client HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
절차
위임 규칙으로 액세스할 수 있는 대상 호스트 목록을 생성합니다.
서비스 위임 대상을 생성합니다.
$ ipa servicedelegationtarget-add cockpit-target
위임 대상에 대상 호스트를 추가합니다.
$ ipa servicedelegationtarget-add-member cockpit-target \ --principals=host/remote.idm.example.com@IDM.EXAMPLE.COM
서비스 위임 규칙을 생성하고
HTTP
서비스 Kerberos 주체를 추가하여cockpit
세션이 대상 호스트 목록에 액세스하도록 허용합니다.서비스 위임 규칙을 생성합니다.
$ ipa servicedelegationrule-add cockpit-delegation
위임 규칙에 웹 콘솔 클라이언트를 추가합니다.
$ ipa servicedelegationrule-add-member cockpit-delegation \ --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
위임 규칙에 위임 대상을 추가합니다.
$ ipa servicedelegationrule-add-target cockpit-delegation \ --servicedelegationtargets=cockpit-target
remote.idm.example.com 호스트에서 Kerberos 인증을 활성화합니다.
-
SSH
는root
로 remote.idm.example.com 에 로그인합니다. -
편집할
/etc/ssh/sshd_config
파일을 엽니다. -
GSSAPIAuthentication
noGSSAPIAuthentication yes
로 교체하여 GSSAPIAuthentication을 활성화합니다.
-
위의 변경 사항이 즉시 적용되도록 remote.idm.example.com 에서
SSH
서비스를 다시 시작하십시오.$ systemctl try-restart sshd.service
추가 리소스