主页
产品
Red Hat Enterprise Linux
10
管理智能卡验证
8.2. 使用智能卡远程连接到 sudo

8.2. 使用智能卡远程连接到 sudo

按照以下流程，配置 SSH 代理和客户端，以使用智能卡远程连接到 sudo。

先决条件

您已在 IdM 中创建了 sudo 规则。
您已将 IdM 配置为支持使用 FIDO2 Yubikeys 或使用智能卡的 PKINIT 身份验证的 passkey 身份验证。
您已在要运行 sudo 的远程系统上为 sudo 身份验证配置了 pam_sss_gss 模块。

流程

启动 SSH 代理（如果尚未运行）。
```
eval `ssh-agent`
```
```
# eval `ssh-agent`
```
Copy to Clipboard Toggle word wrap
将您的智能卡添加到 SSH 代理。提示时输入您的 PIN：
```
ssh-add -s /usr/lib64/opensc-pkcs11.so
```
```
# ssh-add -s /usr/lib64/opensc-pkcs11.so
```
Copy to Clipboard Toggle word wrap
使用启用了 ssh-agent 转发的 SSH 连接到需要远程运行 sudo 的系统。使用 -A 选项：
```
ssh -A ipauser1@server.ipa.test
```
```
# ssh -A ipauser1@server.ipa.test
```
Copy to Clipboard Toggle word wrap

验证

使用 sudo 运行 whoami 命令：
```
sudo /usr/bin/whoami
```
```
# sudo /usr/bin/whoami
```
Copy to Clipboard Toggle word wrap

插入智能卡时，不会提示您输入 PIN 或密码。

注意

如果 SSH 代理被配置为使用其他源，如 GNOME Keyring，且您在删除智能卡后运行 sudo 命令，可能不会提示您输入 PIN 或密码，因为其他源可能提供了对有效私钥的访问。要检查 SSH 代理已知的所有身份的公钥，请运行 ssh-add -L 命令。

返回顶部

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2025 Red Hat