8.2. 为 sudo 设置 PAM 模块

按照以下步骤，在您运行 sudo 的任何主机上安装并使用智能卡进行 sudo 身份验证的 pam_ssh_agent_auth.so PAM 模块。

步骤

安装 PAM SSH 代理：
```
dnf -y install pam_ssh_agent_auth
```
```
# dnf -y install pam_ssh_agent_auth
```
Copy to Clipboard Toggle word wrap

在任何其他 auth 条目之前，将 pam_ssh_agent_auth.so 添加到 /etc/pam.d/sudo 文件的 authorized_keys_command:

#%PAM-1.0
auth sufficient pam_ssh_agent_auth.so authorized_keys_command=/usr/bin/sss_ssh_authorizedkeys
auth       include      system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

#%PAM-1.0
auth sufficient pam_ssh_agent_auth.so authorized_keys_command=/usr/bin/sss_ssh_authorizedkeys
auth       include      system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

Copy to Clipboard

Toggle word wrap

要在运行 sudo 命令时启用 SSH 代理转发功能，请将以下内容添加到 /etc/sudoers 文件中：
```
Defaults env_keep += "SSH_AUTH_SOCK"
```
```
Defaults env_keep += "SSH_AUTH_SOCK"
```
Copy to Clipboard Toggle word wrap
这允许从存储在 IPA/SSSD 中的智能卡中的公钥在不输入密码的情况下向 sudo 进行身份验证。
重启 sssd 服务：
```
systemctl restart sssd
```
```
# systemctl restart sssd
```
Copy to Clipboard Toggle word wrap

返回顶部

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2025 Red Hat