Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

22.6. OpenSSH サービスのキャッシュを提供する SSSD の設定

SSSD(System Security Services Daemon)は、OpenSSH などの複数のシステムサービスへのインターフェースを提供します。『詳細は、『System-Level Authentication Guide』の「SSSD 」を参照してください』。
本セクションでは、マシンおよびユーザー向けに SSH 鍵をキャッシュするように SSSD を設定する方法を説明します。

22.6.1. OpenSSH での SSSD の仕組み

OpenSSH は SSH プロトコルの実装です。OpenSSH は、認証する公開鍵のペアに基づいて、2 つのシステム間で暗号化された接続を作成します。詳細は『システム管理者ガイド』の「OpenSSH 『』 」を参照してください
SSSD は、マシンおよびユーザーの SSH 公開鍵の認証情報キャッシュとして機能できます。この設定では、以下のようになります。
  1. OpenSSH は、キャッシュされた鍵を確認するように SSSD を参照するように設定されます。
  2. SSSD は Identity Management(IdM)ドメインを使用し、IdM は公開鍵とホスト情報を保存します。
注記
IdM ドメインの Linux マシンのみが、OpenSSH のキーキャッシュとして SSSD を使用できます。Windows マシンを含むその他のマシンは実行できません。

SSSD によるホストキーの管理方法

SSSD は以下を実行してホスト鍵を管理します。
  1. ホストシステムから公開ホストキーを取得します。
  2. ホストキーを /var/lib/sss/pubconf/known_hosts ファイルに保存します。
  3. ホストマシンに接続を確立します。

SSSD でユーザーキーの管理方法

SSSD は以下を実行してユーザー鍵を管理します。
  1. IdM ドメインのユーザーエントリーからユーザーの公開鍵を取得します。
  2. ユーザーキーを、標準的な認証キー形式の.ssh/sss_authorized_keys ファイルに保存します。

22.6.2. ホストキーに SSSD を使用するための OpenSSH の設定

システム全体またはユーザー毎の設定を変更することができます。
  1. 必要な設定ファイルを開きます。
    1. ユーザー固有の設定を変更するには、~/.ssh/config ファイルを開きます。
    2. システム全体の設定を変更するには、/etc/ssh/sshd_config ファイルを開きます。
  2. ProxyCommand オプションを使用して、SSH クライアントへの接続に使用するコマンド(必要な引数とホスト名を使用して sss_ssh_knownhostsproxy ユーティリティー)を指定します。
    sss_ssh_knownhostsproxy の詳細は、sss_ssh_knownhostsproxy(1) の man ページを参照してください。
  3. GlobalKnownHostsFile オプションを使用して、SSSD ホストファイルの場所 (/var/lib/sss/pubconf/known_hosts )を指定します。このファイルは、デフォルトの OpenSSH known_hosts ファイルの代わりに使用されます
以下の例では、SSSD ドメインの公開鍵を検索し、指定のポートとホストで接続するように SSH を設定します。
ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h
GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts
SSH の設定方法および設定ファイルの詳細は、ssh_config(5) の man ページを参照してください。

22.6.3. ユーザーキーに SSSD を使うための OpenSSH の設定

ユーザーごと、またはシステム全体で設定を変更できます。
  1. 必要な設定ファイルを開きます。
    1. ユーザー固有の設定を変更するには、~/.ssh/config ファイルを開きます。
    2. システム全体の設定を変更するには、/etc/ssh/sshd_config ファイルを開きます。
  2. AuthorizedKeysCommand オプションを使用して、ユーザーキーを取得するコマンドを指定します。
  3. AuthorizedKeysCommandUser オプションを使用して、コマンドが実行するアカウントのユーザーを指定します。
以下の例では、ユーザーのアカウントで sss_ssh_authorizedkeys ユーティリティーを実行するように SSH を設定します。
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser user
sss_ssh_authorizedkeys の詳細は、sss_ssh_authorizedkeys(1) の man ページを参照してください。
SSH の設定方法および設定ファイルの詳細は、ssh_config(5) の man ページを参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。