6.2. sudo の PAM モジュールの設定

この手順では、sudo を実行しているホストで、スマートカードを使用して sudo 認証用の pam_ssh_agent_auth.so の PAM モジュールをインストールして設定する方法を説明します。

手順

  1. PAM SSH エージェントをインストールします。

    dnf -y install pam_ssh_agent_auth
  2. pam_ssh _agent_auth.so の authorized_ keys_command を、他の auth エントリーの前に /etc/pam.d/sudo ファイルに追加します。

    #%PAM-1.0
    auth sufficient pam_ssh_agent_auth.so authorized_keys_command=/usr/bin/sss_ssh_authorizedkeys
    auth       include      system-auth
    account    include      system-auth
    password   include      system-auth
    session    include      system-auth
  3. sudo コマンドの実行時に SSH エージェント転送を機能させるには、以下を /etc/sudoers ファイルに追加します。

    Defaults env_keep += "SSH_AUTH_SOCK"

    これにより、パスワードを入力することなく、IPA/SSSD に保存されているスマートカードの公開鍵を持つユーザーが sudo に対して認証できるようになります。

  4. sssd サービスを再起動します。

    systemctl restart sssd

関連情報

  • pam の man ページを参照してください。