8.3. スマートカードを使用した sudo へのリモート接続
この手順では、スマートカードを使用して sudo にリモートで接続するために SSH エージェントおよびクライアントを設定する方法を説明します。
前提条件
- IdM で sudo ルールを作成している。
-
sudo を実行するリモートシステムで sudo 認証用に
pam_ssh_agent_authPAM モジュールをインストールして設定している。
手順
SSH エージェントを起動します (まだ実行されていない場合には)。
eval `ssh-agent`
スマートカードを SSH エージェントに追加します。プロンプトが表示されたら PIN を入力します。
ssh-add -s /usr/lib64/opensc-pkcs11.so
ssh-agent 転送を有効にして SSH を使用して、
sudoをリモートで実行する必要があるシステムに接続します。-Aオプションを使用します。ssh -A ipauser1@server.ipa.test
検証手順
sudoでwhoamiコマンドを実行します。sudo /usr/bin/whoami
スマートカードが挿入されると、PIN またはパスワードの入力を求められません。
注記
SSH エージェントが GNOME Keyring などの他のソースを使用するように設定されており、スマートカードを削除した後に sudo コマンドを実行すると、他のソースで有効な秘密鍵にアクセスできる可能性があるため、PIN やパスワードの入力を求められない可能性があります。SSH エージェントが認識するすべてのアイデンティティーの公開鍵を確認するには、ssh-add -L コマンドを実行します。