8.2. sudo 用の PAM モジュールの設定
この手順に従って、sudo を実行している任意のホストで、スマートカードを使用した sudo 認証のために pam_ssh_agent_auth.so PAM モジュールをインストールして設定します。
手順
PAM SSH エージェントをインストールします。
dnf -y install pam_ssh_agent_auth
その他の
authエントリーの前に、pam_ssh_agent_auth.soのauthorized_keys_commandを/etc/pam.d/sudoファイルに追加します。#%PAM-1.0 auth sufficient pam_ssh_agent_auth.so authorized_keys_command=/usr/bin/sss_ssh_authorizedkeys auth include system-auth account include system-auth password include system-auth session include system-authsudo コマンドを実行する際に SSH エージェントの転送が機能するようにするには、以下を
/etc/sudoersファイルに追加します。Defaults env_keep += "SSH_AUTH_SOCK"
これにより、IPA/SSSD に保存されたスマートカードの公開鍵があるユーザーは、パスワードを入力せずに sudo に対して認証できます。
sssdサービスを再起動します。systemctl restart sssd
関連情報
-
pamの man ページを参照してください。
