第8章 スマートカードを使用した sudo のリモート認証
本セクションでは、スマートカードを使用して sudo にリモートで認証する方法を説明します。ssh-agent
サービスがローカルで実行され、ssh-agent
ソケットをリモートマシンに転送できるようになると、sudo PAM モジュールの SSH 認証プロトコルを使用してユーザーをリモートで認証できます。
スマートカードを使用してローカルにログインした後、SSH 経由でリモートマシンにログインして、スマートカード認証の SSH 転送を使用してパスワードの入力を要求されずに sudo
コマンドを実行できます。
この例では、クライアントは SSH 経由で IPA サーバーに接続され、スマートカードに保存されている認証情報を使用して IPA サーバーで sudo コマンドを実行します。
8.1. IdM での sudo ルールの作成
この手順に従って、IdM で sudo ルールを作成し、リモートホストで sudo を実行する権限を ipauser1
に付与します。
この例では、手順をテストするために、less
コマンドと whoami
コマンドが sudo コマンドとして追加されます。
前提条件
-
IdM ユーザーが作成されている。この例では、ユーザーは
ipauser1
です。 -
sudo をリモートで実行するシステムのホスト名を認識している。この例では、ホストは
server.ipa.test
です。
手順
adminrule
という名前のsudo
ルールを作成し、ユーザーがコマンドを実行できるようにします。ipa sudorule-add adminrule
sudo
コマンドとしてless
およびwhoami
を追加します。ipa sudocmd-add /usr/bin/less ipa sudocmd-add /usr/bin/whoami
less
およびwhoami
コマンドをadminrule
に追加します。ipa sudorule-add-allow-command adminrule --sudocmds /usr/bin/less ipa sudorule-add-allow-command adminrule --sudocmds /usr/bin/whoami
ipauser1
ユーザーをadminrule
に追加します。ipa sudorule-add-user adminrule --users ipauser1
sudo
を実行しているホストをadminrule
に追加します。ipa sudorule-add-host adminrule --hosts server.ipa.test
関連情報
-
ipa sudorule-add --help
を参照してください。 -
ipa sudocmd-add --help
を参照してください。