32.6. スマートカードユーザーに対するパスワードなしの sudo 認証の有効化
Web コンソールを使用して、スマートカードユーザーに対して sudo およびその他のサービスに対するパスワードなしの認証を設定できます。
別の方法として、Red Hat Identity Management を使用している場合は、最初の Web コンソール証明書認証を sudo、SSH、またはその他のサービスに対する認証で信頼できるものとして宣言することができます。そのために、Web コンソールはユーザーセッションに S4U2Proxy Kerberos チケットを自動的に作成します。
前提条件
- Identity Management がインストールされている。
- Identity Management を使用してフォレスト間の信頼に接続された Active Directory。
- Web コンソールへのログイン用に設定されたスマートカード。詳しくは、Configuring smart card authentication with the web console for centrally managed users を参照してください。
手順
チケットがアクセスできるホストをリストアップする制約委譲ルールを設定します。
例32.1 制約委譲ルールの設定
Web コンソールセッションはホスト
host.example.comで実行されており、sudoを使用して自分のホストにアクセスできるように信頼されている必要があります。さらに、2 つ目の信頼できるホストとしてremote.example.comを追加します。以下の委譲を作成します。
以下のコマンドを実行して、特定のルールがアクセスできるターゲットマシンのリストを追加します。
# ipa servicedelegationtarget-add cockpit-target # ipa servicedelegationtarget-add-member cockpit-target \ --principals=host/host.example.com@EXAMPLE.COM \ --principals=host/remote.example.com@EXAMPLE.COM
Web コンソールセッション (HTTP/プリンシパル) がそのホストリストにアクセスできるようにするには、次のコマンドを使用します。
# ipa servicedelegationrule-add cockpit-delegation # ipa servicedelegationrule-add-member cockpit-delegation \ --principals=HTTP/host.example.com@EXAMPLE.COM # ipa servicedelegationrule-add-target cockpit-delegation \ --servicedelegationtargets=cockpit-target
対応するサービスで GSS 認証を有効にします。
sudo の場合は、
/etc/sssd/sssd.confファイルでpam_sss_gssモジュールを有効にします。root で、
/etc/sssd/sssd.conf設定ファイルにドメイン用のエントリーを追加します。[domain/example.com] pam_gssapi_services = sudo, sudo-i
/etc/pam.d/sudoファイルの 1 行目でモジュールを有効にします。auth sufficient pam_sss_gss.so
-
SSH の場合、
/etc/ssh/sshd_configファイルのGSSAPIAuthenticationオプションをyesに更新します。
委譲された S4U チケットが、Web コンソールからリモートの SSH ホストに接続するときに転送されません。チケットを使用してリモートホストの sudo を認証してもうまくいきません。
検証
- スマートカードを使用して Web コンソールにログインします。
-
Limited accessボタンをクリックします。 - スマートカードを使用して認証を行います。
または、次のようになります。
- 別のホストに SSH で接続を試みます。
