20.7. Activation de l'authentification GSSAPI pour sudo sur un client IdM
La procédure suivante décrit l'activation de l'authentification GSSAPI (Generic Security Service Application Program Interface) sur un client IdM pour les commandes sudo
et sudo -i
via le module PAM pam_sss_gss.so
. Avec cette configuration, les utilisateurs IdM peuvent s'authentifier à la commande sudo
avec leur ticket Kerberos.
Conditions préalables
-
Vous avez créé une règle
sudo
pour un utilisateur IdM qui s'applique à un hôte IdM. Pour cet exemple, vous avez créé la règleidm_user_reboot
sudo
pour accorder au compteidm_user
la permission d'exécuter la commande/usr/sbin/reboot
sur l'hôteidmclient
. -
Vous devez disposer des privilèges
root
pour modifier le fichier/etc/sssd/sssd.conf
et les fichiers PAM dans le répertoire/etc/pam.d/
.
Procédure
-
Ouvrez le fichier de configuration
/etc/sssd/sssd.conf
. Ajoutez l'entrée suivante à la section
[domain/<domain_name>]
l'entrée suivante.[domain/<domain_name>] pam_gssapi_services = sudo, sudo-i
-
Enregistrez et fermez le fichier
/etc/sssd/sssd.conf
. Redémarrez le service SSSD pour charger les modifications de configuration.
[root@idmclient ~]# systemctl restart sssd
Si vous utilisez RHEL 9.2 ou une version ultérieure :
[Facultatif] Déterminez si vous avez sélectionné le profil
sssd
authselect
:# authselect current Profile ID: sssd
Le résultat indique que le profil
sssd
authselect
est sélectionné.Si le profil
sssd
authselect
est sélectionné, activez l'authentification GSSAPI :# authselect enable-feature with-gssapi
Si le profil
sssd
authselect
n'est pas sélectionné, sélectionnez-le et activez l'authentification GSSAPI :# authselect select sssd with-gssapi
Si vous utilisez RHEL 9.1 ou une version antérieure :
-
Ouvrez le fichier de configuration PAM de
/etc/pam.d/sudo
. Ajoutez l'entrée suivante comme première ligne de la section
auth
dans le fichier/etc/pam.d/sudo
.#%PAM-1.0 auth sufficient pam_sss_gss.so auth include system-auth account include system-auth password include system-auth session include system-auth
-
Enregistrez et fermez le fichier
/etc/pam.d/sudo
.
-
Ouvrez le fichier de configuration PAM de
Verification steps
Connectez-vous à l'hôte en tant que compte
idm_user
.[root@idm-client ~]# ssh -l idm_user@idm.example.com localhost idm_user@idm.example.com's password:
Vérifiez que vous disposez d'un ticket d'attribution de tickets en tant que compte
idm_user
.[idmuser@idmclient ~]$ klist Ticket cache: KCM:1366201107 Default principal: idm_user@IDM.EXAMPLE.COM Valid starting Expires Service principal 01/08/2021 09:11:48 01/08/2021 19:11:48 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM renew until 01/15/2021 09:11:44
(Optional) Si vous ne disposez pas d'informations d'identification Kerberos pour le compte
idm_user
, détruisez vos informations d'identification Kerberos actuelles et demandez les informations correctes.[idm_user@idmclient ~]$ kdestroy -A [idm_user@idmclient ~]$ kinit idm_user@IDM.EXAMPLE.COM Password for idm_user@idm.example.com:
Redémarrez la machine à l'aide de
sudo
, sans spécifier de mot de passe.[idm_user@idmclient ~]$ sudo /usr/sbin/reboot
Ressources supplémentaires
- L'entrée GSSAPI dans la liste terminologique IdM
- Accorder un accès sudo à un utilisateur IdM sur un client IdM à l'aide de l'interface Web IdM
- Accorder un accès sudo à un utilisateur IdM sur un client IdM à l'aide de la CLI
-
pam_sss_gss (8)
page de manuel -
sssd.conf (5)
page de manuel