32.6. 스마트 카드 사용자에 대해 암호 없는 sudo 인증 활성화
웹 콘솔을 사용하여 sudo 및 스마트 카드 사용자의 기타 서비스에 대해 암호 없는 인증을 구성할 수 있습니다.
또는 Red Hat Identity Management를 사용하는 경우 초기 웹 콘솔 인증서 인증을 sudo, SSH 또는 기타 서비스에 인증하는 데 신뢰할 수 있는 것으로 선언할 수 있습니다. 이를 위해 웹 콘솔은 사용자 세션에 S4U2Proxy Kerberos 티켓을 자동으로 생성합니다.
사전 요구 사항
- Identity Management가 설치되어 있어야 합니다.
- Identity Management를 사용하여 교차 포리스트 신뢰에 연결된 Active Directory입니다.
- 웹 콘솔에 로그인하도록 스마트 카드가 설정됩니다. 자세한 내용은 웹 콘솔을 사용하여 스마트 카드 인증 구성을 참조하십시오.
절차
티켓에서 액세스할 수 있는 호스트를 나열하도록 제약 조건 위임 규칙을 설정합니다.
예 32.1. 제약 조건 위임 규칙 설정
웹 콘솔 세션은
host.example.com을 실행하며sudo를 사용하여 자체 호스트에 액세스할 수 있는 신뢰할 수 있어야 합니다. 또한 두 번째 신뢰할 수 있는 호스트remote.example.com을 추가하고 있습니다.다음 위임을 생성합니다.
다음 명령을 실행하여 특정 규칙이 액세스할 수 있는 대상 머신 목록을 추가합니다.
# ipa servicedelegationtarget-add cockpit-target # ipa servicedelegationtarget-add-member cockpit-target \ --principals=host/host.example.com@EXAMPLE.COM \ --principals=host/remote.example.com@EXAMPLE.COM
웹 콘솔 세션(HTTP/principal)이 해당 호스트 목록에 액세스할 수 있도록 허용하려면 다음 명령을 사용합니다.
# ipa servicedelegationrule-add cockpit-delegation # ipa servicedelegationrule-add-member cockpit-delegation \ --principals=HTTP/host.example.com@EXAMPLE.COM # ipa servicedelegationrule-add-target cockpit-delegation \ --servicedelegationtargets=cockpit-target
해당 서비스에서 GSS 인증을 활성화합니다.
sudo의 경우
/etc/sssd/sssd.conf파일에서pam_sss_gss모듈을 활성화합니다.root로 도메인의 항목을
/etc/sssd/sssd.conf구성 파일에 추가합니다.[domain/example.com] pam_gssapi_services = sudo, sudo-i
첫 번째 줄의
/etc/pam.d/sudo파일에서 모듈을 활성화합니다.auth sufficient pam_sss_gss.so
-
SSH의 경우
/etc/ssh/sshd_config파일의GSSAPIAuthentication옵션을yes로 업데이트합니다.
위임된 S4U 티켓은 웹 콘솔에서 연결할 때 원격 SSH 호스트에 전달되지 않습니다. 티켓을 사용하여 원격 호스트에서 sudo에 인증해도 작동하지 않습니다.
검증
- 스마트 카드를 사용하여 웹 콘솔에 로그인합니다.
-
제한된 액세스버튼을 클릭합니다. - 스마트 카드를 사용하여 인증합니다.
또는 다음을 수행합니다.
- SSH를 사용하여 다른 호스트에 연결을 시도합니다.
