8.2. 为 sudo 设置 PAM 模块
按照以下流程,在运行 sudo 的任何主机上安装和设置 pam_ssh_agent_auth.so
PAM 模块以进行 sudo 身份验证。
步骤
安装 PAM SSH 代理:
dnf -y install pam_ssh_agent_auth
在任何其他
auth
条目之前,将pam_ssh_agent_auth.so
添加到/etc/pam.d/sudo
文件的authorized_keys_command
:#%PAM-1.0 auth sufficient pam_ssh_agent_auth.so authorized_keys_command=/usr/bin/sss_ssh_authorizedkeys auth include system-auth account include system-auth password include system-auth session include system-auth
要在运行 sudo 命令时启用 SSH 代理转发功能,请将以下内容添加到
/etc/sudoers
文件中:Defaults env_keep += "SSH_AUTH_SOCK"
这允许从存储在 IPA/SSSD 中的智能卡中的公钥在无需输入密码的情况下向 sudo 进行身份验证。
重启
sssd
服务:systemctl restart sssd
其他资源
-
请参阅
pam
man page。