table of contents
SSS_SSH_AUTHORIZEDKE(1) | SSSD manualsidor | SSS_SSH_AUTHORIZEDKE(1) |
NAME¶
sss_ssh_authorizedkeys - hämta auktoriserade OpenSSH-nycklar
SYNOPSIS¶
sss_ssh_authorizedkeys [flaggor] ANVÄNDARE
BESKRIVNING¶
sss_ssh_authorizedkeys hämtar publika SSH-nycklar för användaren ANVÄNDARE och skriver ut dem i formatet för OpenSSH authorized_keys (se avsnittet “AUTHORIZED_KEYS-FILFORMAT” i sshd(8) för mer information).
sshd(8) kan konfigureras till att använda sss_ssh_authorizedkeys för autentisering med användares publika nyckel om den är kompilerad med stöd för alternativet “AuthorizedKeysCommand”. Se manualsidan sshd_config(5) för mer detaljer om detta alternativ.
Om “AuthorizedKeysCommand” stödjs kan sshd(8) konfigureras för att använda den genom att lägga in följande direktiv sshd_config(5):
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobody
NYCKLAR FRÅN CERTIFIKAT¶
Utöver de publika SSH-nycklarna för användaren ANVÄNDARE kan sss_ssh_authorizedkeys även returnera publika SSH-nycklar härledda från den publika nyckeln i ett X.509-certifikat.
För att aktivera detta måste alternativet “ssh_use_certificate_keys” sättas till true (standard) i avsnittet [ssh] av sssd.conf. Om användarposten innehåller certifikat (se “ldap_user_certificate” i sssd-ldap(5) för detaljer) eller det finns ett certifikat i en åsidosättande post för användaren (se sss_override(8) eller sssd-ipa(5) för detaljer) och certifikatet är giltigt kommer SSSD extrahera den publika nyckeln från certifikatet och konvertera den till formatet som sshd förväntar sig.
Vid sidan av “ssh_use_certificate_keys” kan alternativen
användas för att styra hur certifikaten valideras (se sssd.conf(5) för detaljer).
Valideringen är fördelen med att använda X.509-certifikat istället för att använda SSH-nycklar direkt för att det t.ex. ger en bättre kontroll över livslängden hos nycklarna. När ssh-klienten är konfigurerad att använda de privata nycklarna från ett smartkort med hjälp av det delade PKCS#11-biblioteket (se ssh(1) för detaljer) kan det vara irriterande att autentiseringen fortfarande fungerar även om det tillhörande X.509-certifikatet på smartkortet redan har gått ut eftersom varken ssh eller sshd kommer titta på certifikatet över huvud taget.
Det måste påpekas att den härledda publika SSH-nyckeln fortfarande kan läggas till i användarens fil authorized_keys för att gå runt certifikatvalideringen om konfigurationen av sshd tillåter detta.
FLAGGOR¶
-d,--domain DOMÄN
-?,--help
SLUTSTATUS¶
Om det lyckas returneras 0 som slutstatus. Annars returneras 1.
SE ÄVEN¶
sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) sssd-systemtap(5)
AUTHORS¶
SSSD uppströms – https://github.com/SSSD/sssd/
05/24/2024 | SSSD |