45.5. Gestion des clés SSH publiques pour les utilisateurs

La gestion des identités vous permet de télécharger une clé SSH publique dans l'entrée d'un utilisateur. L'utilisateur qui a accès à la clé SSH privée correspondante peut utiliser SSH pour se connecter à une machine IdM sans utiliser les informations d'identification Kerberos. Notez que les utilisateurs peuvent toujours s'authentifier en fournissant leurs informations d'identification Kerberos s'ils se connectent à partir d'une machine où leur fichier de clé SSH privée n'est pas disponible.

45.5.1. Téléchargement de clés SSH pour un utilisateur à l'aide de l'interface Web IdM

La gestion des identités vous permet de télécharger une clé SSH publique vers une entrée utilisateur. L'utilisateur qui a accès à la clé SSH privée correspondante peut utiliser SSH pour se connecter à une machine IdM sans utiliser les informations d'identification Kerberos.

Conditions préalables

  • Privilèges d'administrateur pour la gestion de l'interface Web IdM ou rôle d'administrateur des utilisateurs.

Procédure

  1. Connectez-vous à l'interface Web IdM.
  2. Allez dans l'onglet Identity>Users.
  3. Cliquez sur le nom de l'utilisateur à modifier.
  4. Dans la section Account Settings, cliquez sur le bouton Clé publique SSH Add.
  5. Collez la chaîne de la clé publique codée en base 64 dans le champ SSH public key.
  6. Cliquez sur Set.
  7. Cliquez sur Save en haut de la fenêtre de l'interface Web IdM.

Vérification

  • Dans la section Accounts Settings, vérifiez que la clé est répertoriée sous SSH public keys.

45.5.2. Téléchargement de clés SSH pour un utilisateur à l'aide de la CLI IdM

La gestion des identités vous permet de télécharger une clé SSH publique vers une entrée utilisateur. L'utilisateur qui a accès à la clé SSH privée correspondante peut utiliser SSH pour se connecter à une machine IdM sans utiliser les informations d'identification Kerberos.

Conditions préalables

  • Privilèges d'administrateur pour la gestion du CLI IdM ou rôle d'administrateur utilisateur.

Procédure

  1. Exécutez la commande ipa user-mod avec l'option --sshpubkey pour télécharger la clé publique codée en base64 dans l'entrée utilisateur. 

    $ ipa user-mod user --sshpubkey="ssh-rsa AAAAB3Nza...SNc5dv== client.example.com"

    Notez que dans cet exemple, vous téléchargez le type de clé, la clé et l'identifiant du nom d'hôte dans l'entrée de l'utilisateur.

  2. Pour télécharger plusieurs clés, utilisez plusieurs fois --sshpubkey. Par exemple, pour télécharger deux clés SSH : 

    --sshpubkey="AAAAB3Nza...SNc5dv==" --sshpubkey="RjlzYQo...ZEt0TAo="

  3. Pour utiliser la redirection de commandes et pointer vers un fichier contenant la clé au lieu de coller la chaîne de clés manuellement, utilisez la commande suivante : 

    ipa user-mod user --sshpubkey="$(cat ~/.ssh/id_rsa.pub)" --sshpubkey="$(cat ~/.ssh/id_rsa2.pub)"

Vérification

  • Exécutez la commande ipa user-show pour vérifier que la clé publique SSH est associée à l'utilisateur spécifié : 

    $ ipa user-show user
User login: user
  First name: user
  Last name: user
  Home directory: /home/user
  Login shell: /bin/sh
  Principal name: user@IPA.TEST
  Principal alias: user@IPA.TEST
  Email address: user@ipa.test
  UID: 1118800019
  GID: 1118800019
  SSH public key fingerprint: SHA256:qGaqTZM60YPFTngFX0PtNPCKbIuudwf1D2LqmDeOcuA
                              user@IPA.TEST (ssh-rsa)
  Account disabled: False
  Password: False
  Member of groups: ipausers
  Subordinate ids: 3167b7cc-8497-4ff2-ab4b-6fcb3cb1b047
  Kerberos keys available: False

45.5.3. Suppression des clés SSH pour un utilisateur à l'aide de l'interface Web IdM

Suivez cette procédure pour supprimer une clé SSH d'un profil d'utilisateur dans l'interface Web IdM.

Conditions préalables

  • Privilèges d'administrateur pour la gestion de l'interface Web IdM ou rôle d'administrateur des utilisateurs.

Procédure

  1. Connectez-vous à l'interface Web IdM.
  2. Allez dans l'onglet Identity>Users.
  3. Cliquez sur le nom de l'utilisateur à modifier.
  4. Dans la section Account Settings, sous SSH public key, cliquez sur Delete à côté de la clé que vous souhaitez supprimer.
  5. Cliquez sur Save en haut de la page.

Vérification

  • Dans la section Account Settings, vérifiez que la clé n'est plus répertoriée sous SSH public keys.

45.5.4. Suppression des clés SSH pour un utilisateur à l'aide de la CLI IdM

Suivez cette procédure pour supprimer une clé SSH d'un profil d'utilisateur à l'aide de la CLI IdM.

Conditions préalables

  • Privilèges d'administrateur pour la gestion du CLI IdM ou rôle d'administrateur utilisateur.

Procédure

  1. Pour supprimer toutes les clés SSH attribuées à un compte utilisateur, ajoutez l'option --sshpubkey à la commande ipa user-mod sans spécifier de clé : 

    $ ipa user-mod user --sshpubkey=
  2. Pour ne supprimer qu'une ou plusieurs clés SSH spécifiques, utilisez l'option --sshpubkey pour spécifier les clés que vous souhaitez conserver, en omettant la clé que vous supprimez.

Vérification

  • Exécutez la commande ipa user-show pour vérifier que la clé publique SSH n'est plus associée à l'utilisateur spécifié : 

    $ ipa user-show user
User login: user
  First name: user
  Last name: user
  Home directory: /home/user
  Login shell: /bin/sh
  Principal name: user@IPA.TEST
  Principal alias: user@IPA.TEST
  Email address: user@ipa.test
  UID: 1118800019
  GID: 1118800019
  Account disabled: False
  Password: False
  Member of groups: ipausers
  Subordinate ids: 3167b7cc-8497-4ff2-ab4b-6fcb3cb1b047
  Kerberos keys available: False