5.6. 스마트 카드 사용자에 대해 암호 없는 sudo 인증 활성화
웹 콘솔에서 sudo
및 스마트 카드 사용자의 기타 서비스에 대해 암호 없는 인증을 구성할 수 있습니다.
또는 Red Hat Identity Management를 사용하는 경우 초기 웹 콘솔 인증서 인증을 sudo
, SSH 또는 기타 서비스에 인증하는 데 신뢰할 수 있는 것으로 선언할 수 있습니다. 이를 위해 웹 콘솔은 사용자 세션에 S4U2Proxy Kerberos 티켓을 자동으로 생성합니다.
사전 요구 사항
- Identity Management가 설치되어 있어야 합니다.
- Identity Management를 사용하여 교차 포리스트 신뢰에 연결된 Active Directory입니다.
- 웹 콘솔에 로그인하도록 스마트 카드를 설정합니다. 자세한 내용은 중앙 집중식 관리 사용자를 위해 웹 콘솔을 사용한 스마트 카드 인증 구성 을 참조하십시오.
절차
티켓에서 액세스할 수 있는 호스트를 나열하는 제약 조건 위임 규칙을 설정합니다.
예 5.1. 제약 조건 위임 규칙 설정
웹 콘솔 세션은 호스트
host.example.com
을 실행하며sudo
를 사용하여 자체 호스트에 액세스하려면 신뢰할 수 있어야 합니다. 또한 두 번째 신뢰할 수 있는 호스트remote.example.com
을 추가하고 있습니다.다음 위임을 생성합니다.
다음 명령을 실행하여 특정 규칙이 액세스할 수 있는 대상 시스템 목록을 추가합니다.
# ipa servicedelegationtarget-add cockpit-target # ipa servicedelegationtarget-add-member cockpit-target \ --principals=host/host.example.com@EXAMPLE.COM \ --principals=host/remote.example.com@EXAMPLE.COM
웹 콘솔 세션(HTTP/principal)이 해당 호스트 목록에 액세스할 수 있도록 허용하려면 다음 명령을 사용합니다.
# ipa servicedelegationrule-add cockpit-delegation # ipa servicedelegationrule-add-member cockpit-delegation \ --principals=HTTP/host.example.com@EXAMPLE.COM # ipa servicedelegationrule-add-target cockpit-delegation \ --servicedelegationtargets=cockpit-target
해당 서비스에서 GSS 인증을 활성화합니다.
sudo의 경우
/etc/sssd/sssd.conf
파일에서pam_sss_gss
모듈을 활성화합니다.root로 도메인에 대한 항목을
/etc/sssd/sssd.conf
구성 파일에 추가합니다.[domain/example.com] pam_gssapi_services = sudo, sudo-i
첫 번째 행의
/etc/pam.d/sudo
파일에서 모듈을 활성화합니다.auth sufficient pam_sss_gss.so
-
SSH의 경우
/etc/ssh/sshd_config
파일의GSSAPIAuthentication
옵션을yes
로 업데이트합니다.
위임된 S4U 티켓은 웹 콘솔에서 연결할 때 원격 SSH 호스트로 전달되지 않습니다. 티켓을 사용하여 원격 호스트에서 sudo에 인증하는 것은 작동하지 않습니다.
검증
- 스마트 카드를 사용하여 웹 콘솔에 로그인합니다.
-
제한적인 액세스
버튼을 클릭합니다. - 스마트 카드를 사용하여 인증합니다.
또는 다음을 수행합니다.
- SSH를 사용하여 다른 호스트에 연결해 봅니다.