6.5. 스마트 카드 인증을 사용하여 SSH 액세스 구성
SSH 연결에는 인증이 필요합니다. 암호 또는 인증서를 사용할 수 있습니다. 스마트 카드에 저장된 인증서를 사용하여 인증을 활성화하려면 다음 절차를 따르십시오.
authselect를 사용하여 스마트 카드 구성에 대한 자세한 내용은 authselect
를 사용하여 스마트 카드 구성을 참조하십시오.
사전 요구 사항
- 스마트 카드에는 인증서 및 개인 키가 포함되어 있습니다.
- 카드가 리더에 삽입되어 컴퓨터에 연결되어 있습니다.
- 사용자 이름은 인증서의 SUBJECT의 CN(Common Name) 또는 사용자 ID(UID)와 일치합니다.
pcscd
서비스가 로컬 머신에서 실행되고 있습니다.자세한 내용은 스마트 카드 관리 및 사용에 대한 툴 설치를 참조하십시오.
절차
스마트 카드 인증을 사용하는 사용자의 홈 디렉터리에 SSH 키용 새 디렉터리를 생성합니다.
# mkdir /home/example.user/.ssh
opensc
라이브러리와 함께ssh-keygen -D
명령을 실행하여 스마트 카드의 개인 키와 페어링된 기존 공개 키를 검색하고 이를 사용자 SSH 키 디렉터리의authorized_keys
목록에 추가하여 스마트 카드 인증으로 SSH 액세스를 활성화합니다.# ssh-keygen -D /usr/lib64/pkcs11/opensc-pkcs11.so >> ~example.user/.ssh/authorized_keys
SSH는
/.ssh
디렉토리 및authorized_keys
파일에 대한 액세스 올바른 구성이 필요합니다. 액세스 권한을 설정하거나 변경하려면 다음을 입력합니다.# chown -R example.user:example.user ~example.user/.ssh/ # chmod 700 ~example.user/.ssh/ # chmod 600 ~example.user/.ssh/authorized_keys
선택적으로 키를 표시합니다.
# cat ~example.user/.ssh/authorized_keys
터미널에 키가 표시됩니다.
다음 명령을 사용하여 SSH 액세스를 확인할 수 있습니다.
# ssh -I /usr/lib64/opensc-pkcs11.so -l example.user localhost hostname
구성이 성공하면 스마트 카드 PIN을 입력하라는 메시지가 표시됩니다.
이제 구성이 로컬로 작동합니다. 이제 공개 키를 복사하여 SSH를 사용하려는 모든 서버에 있는 authorized_keys
파일에 배포할 수 있습니다.