홈
제품
Red Hat Enterprise Linux
9
Ansible을 사용하여 Identity Management 설치 및 관리
36.4. 스마트 카드로 인증된 사용자가 다시 인증하지 않고 sudo를 실행할 수 있도록 웹 콘솔 구성

36.4. 스마트 카드로 인증된 사용자가 다시 인증하지 않고 sudo를 실행할 수 있도록 웹 콘솔 구성

RHEL 웹 콘솔에서 사용자 계정에 로그인한 후 IdM(Identity Management) 시스템 관리자로 수퍼유저 권한으로 명령을 실행해야 할 수 있습니다. 제한된 위임 기능을 사용하여 다시 인증하라는 요청없이 시스템에서 sudo 를 실행할 수 있습니다.

제한된 위임을 사용하도록 웹 콘솔을 구성하려면 다음 절차를 따르십시오. 아래 예제에서 웹 콘솔 세션은 myhost.idm.example.com 호스트에서 실행됩니다.

사전 요구 사항

IdM 관리자 티켓(TGT)을 받았습니다.
웹 콘솔 서비스는 IdM에 있습니다.
myhost.idm.example.com 호스트가 IdM에 있습니다.
IdM 서버의 도메인 관리자에 대한 관리자 sudo 액세스를 활성화했습니다. 자세한 내용은 IdM 호스트에서 IdM 관리자에게 sudo 액세스 활성화를 참조하십시오.

웹 콘솔에서 사용자 세션에서 S4U2Proxy Kerberos 티켓을 생성했습니다. 이 경우 웹 콘솔에 IdM 사용자로 로그인하여 터미널 페이지를 열고 다음을 입력합니다.

klist

$ klist
Ticket cache: FILE:/run/user/1894000001/cockpit-session-3692.ccache
Default principal: user@IDM.EXAMPLE.COM

Valid starting     Expires            Service principal
07/30/21 09:19:06 07/31/21 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
07/30/21 09:19:06  07/31/21 09:19:06  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
        for client HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

Copy to Clipboard

절차

위임 규칙에서 액세스할 수 있는 대상 호스트 목록을 생성합니다.

서비스 위임 대상을 생성합니다.

ipa servicedelegationtarget-add cockpit-target

$ ipa servicedelegationtarget-add cockpit-target

Copy to Clipboard

위임 대상에 대상 호스트를 추가합니다.

ipa servicedelegationtarget-add-member cockpit-target \
  --principals=host/myhost.idm.example.com@IDM.EXAMPLE.COM

$ ipa servicedelegationtarget-add-member cockpit-target \
  --principals=host/myhost.idm.example.com@IDM.EXAMPLE.COM

Copy to Clipboard

서비스 위임 규칙을 생성하고 HTTP 서비스 Kerberos 주체를 추가하여 cockpit 세션이 대상 호스트 목록에 액세스하도록 허용합니다.

서비스 위임 규칙을 생성합니다.

ipa servicedelegationrule-add cockpit-delegation

$ ipa servicedelegationrule-add cockpit-delegation

Copy to Clipboard

위임 규칙에 웹 콘솔 서비스를 추가합니다.

ipa servicedelegationrule-add-member cockpit-delegation \
  --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

$ ipa servicedelegationrule-add-member cockpit-delegation \
  --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

Copy to Clipboard

위임 규칙에 위임 대상을 추가합니다.

ipa servicedelegationrule-add-target cockpit-delegation \
  --servicedelegationtargets=cockpit-target

$ ipa servicedelegationrule-add-target cockpit-delegation \
  --servicedelegationtargets=cockpit-target

Copy to Clipboard

SSSD(System Security Services Daemon)와 협력하여 GSSAPI(Generic Security Service Application Program Interface)를 통해 사용자를 인증하는 PAM 모듈인 pam_sss_gs 를 활성화합니다.
1. 편집할 /etc/sssd/sssd.conf 파일을 엽니다.
2. pam_sss_gss 가 도메인에서 IdM에서 sudo 및 sudo -i 명령에 대한 인증을 제공할 수 있도록 지정합니다.
  [domain/idm.example.com] pam_gssapi_services = sudo, sudo-i
  Copy to Clipboard
3. 파일을 저장하고 종료합니다.
4. 편집을 위해 /etc/pam.d/sudo 파일을 엽니다.
5. sudo 명령에 GSSAPI 인증을 허용하도록 #%PAM-1.0 목록 상단에 다음 행을 삽입합니다.
  auth sufficient pam_sss_gss.so
  Copy to Clipboard
6. 파일을 저장하고 종료합니다.
위의 변경 사항이 즉시 적용되도록 SSSD 서비스를 다시 시작하십시오.
```
systemctl restart sssd
```
```
$ systemctl restart sssd
```
Copy to Clipboard

맨 위로 이동

36.4. 스마트 카드로 인증된 사용자가 다시 인증하지 않고 sudo를 실행할 수 있도록 웹 콘솔 구성

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links