Menu Close

6.2. 为 sudo 设置 PAM 模块

这个步骤描述了如何在运行 sudo 的任何主机上安装和设置 pam_ssh_agent_auth.so PAM 模块进行 sudo 身份验证。

步骤

  1. 安装 PAM SSH 代理:

    dnf -y install pam_ssh_agent_auth
  2. 在任何其他 auth 条目之前,将 pam_ssh_agent_auth.so 添加到 /etc/pam.d/sudo 文件的 authorized_keys_command:

    #%PAM-1.0
    auth sufficient pam_ssh_agent_auth.so authorized_keys_command=/usr/bin/sss_ssh_authorizedkeys
    auth       include      system-auth
    account    include      system-auth
    password   include      system-auth
    session    include      system-auth
  3. 要在运行 sudo 命令时启用 SSH 代理转发功能,请将以下内容添加到 /etc/sudoers 文件中:

    Defaults env_keep += "SSH_AUTH_SOCK"

    这允许从存储在 IPA/SSSD 中的智能卡中的公钥在无需输入密码的情况下向 sudo 进行身份验证。

  4. 重启 sssd 服务:

    systemctl restart sssd

其他资源

  • 请参阅 pam man page。