5.6. 스마트 카드 사용자에 대해 암호가 없는 sudo 사용

인증서로 웹 콘솔에 로그인한 후 관리 모드로 전환해야 할 수 있습니다(root 권한은 sudo를 통해). 사용자 계정에 암호가 있는 경우 sudo 에 인증하는 데 사용할 수 있습니다.

또는 Red Hat Identity Management를 사용하는 경우 sudo, SSH 또는 기타 서비스에 인증하기 위한 신뢰할 수 있는 초기 웹 콘솔 인증서 인증을 선언할 수 있습니다. 이를 위해 웹 콘솔은 사용자 세션에 S4U2Proxy Kerberos 티켓을 자동으로 생성합니다.

사전 요구 사항

절차

  1. 티켓에서 액세스할 수 있는 호스트를 나열하는 제약 조건 위임 규칙을 설정합니다.

    예 5.1. 제약 조건 위임 규칙 설정

    웹 콘솔 세션은 호스트 host.example.com 을 실행하며 sudo 를 사용하여 자체 호스트에 액세스하려면 신뢰할 수 있어야 합니다. 또한 두 번째 신뢰할 수 있는 호스트 remote.example.com 을 추가하고 있습니다.

    • 다음 위임을 생성합니다.

      • 다음 명령을 실행하여 특정 규칙이 액세스할 수 있는 대상 시스템 목록을 추가합니다.

        # ipa servicedelegationtarget-add cockpit-target
        # ipa servicedelegationtarget-add-member cockpit-target \
           --principals=host/host.example.com@EXAMPLE.COM \
           --principals=host/remote.example.com@EXAMPLE.COM
      • 웹 콘솔 세션(HTTP/principal)이 해당 호스트 목록에 액세스할 수 있도록 허용하려면 다음 명령을 실행합니다.

        # ipa servicedelegationrule-add cockpit-delegation
        # ipa servicedelegationrule-add-member cockpit-delegation \
          --principals=HTTP/host.example.com@EXAMPLE.COM
        # ipa servicedelegationrule-add-target cockpit-delegation \
          --servicedelegationtargets=cockpit-target
  2. 해당 서비스에서 GSS 인증을 활성화합니다.

    1. sudo의 경우 /etc/sssd/sssd.conf 파일에서 pam_sss_gss 모듈을 활성화합니다.

      1. root로 도메인에 대한 항목을 /etc/sssd/sssd.conf 구성 파일에 추가합니다.

        [domain/example.com]
        pam_gssapi_services = sudo, sudo-i
      2. 첫 번째 행의 /etc/pam.d/sudo 파일에서 모듈을 활성화합니다.

        auth sufficient pam_sss_gss.so
    2. SSH의 경우 /etc/ssh/sshd_config 파일의 GSSAPIAuthentication 옵션을 yes 로 업데이트합니다.
주의

위임된 S4U 티켓은 웹 콘솔에서 연결할 때 원격 SSH 호스트로 전달되지 않습니다. 티켓을 사용하여 원격 호스트에서 sudo에 인증하는 것은 작동하지 않습니다.

검증

  1. 스마트 카드를 사용하여 웹 콘솔에 로그인합니다.
  2. 제한적인 액세스 버튼을 클릭합니다.
  3. 스마트 카드를 사용하여 인증합니다.

또는

  1. SSH를 사용하여 다른 호스트에 연결해 봅니다.