SSS_SSH_AUTHORIZEDKE(1) Manual do SSSD SSS_SSH_AUTHORIZEDKE(1)

sss_ssh_authorizedkeys - obter chaves autorizadas do OpenSSH

sss_ssh_authorizedkeys [options] UTILIZADOR

O sss_ssh_authorizedkeys adquire chaves públicas SSH para o utilizador UTILIZADOR e coloca-as em formato authorized_keys de OpenSSH (veja a secção “FORMATO DE FICHEIRO AUTHORIZED_KEYS” do sshd(8) para mais informação).

O sshd(8) pode ser configurado para usar sss_ssh_authorizedkeys para autenticação de utilizador por chave pública se for compilado com suporte para a opção “AuthorizedKeysCommand”. Por favor consulte o manual sshd_config(5) para mais detalhes acerca desta opção.

Se “AuthorizedKeysCommand” for suportado, o sshd(8) pode ser configurado para o usar ao colocar as seguintes diretivas em sshd_config(5):

  AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
  AuthorizedKeysCommandUser nobody

Adicionalmente às chaves SSH públicas para o utilizador UTILIZADOR o sss_ssh_authorizedkeys também pode retornar chaves SSH públicas derivadas da chave pública de um certificado X.509.

Para activar isto a opção “ssh_use_certificate_keys” tem de ser definida para true (predefinição) na secção [ssh] do sssd.conf. Se a entrada do utilizador conter certificados (veja “ldap_user_certificate” em sssd-ldap(5) para detalhes) ou existir um certificado numa entrada de sobreposição para o utilizador (veja sss_override(8) ou sssd-ipa(5) para detalhes) e o certificado for válido, o SSSD irá extrair a chave pública a partir do certificado e converte-lo num formato esperado pelo sshd.

Além de “ssh_use_certificate_keys” as opções

•ca_db
•p11_child_timeout
•certificate_verification

pode ser usadas para controlar como o certificados são validados (veja sssd.conf(5) para detalhes).

A validação é o benefício de se usar certificados X.509 em vez de chaves SSH directamente porque, ex., oferece um melhor controle do tempo de vida das chaves. Quando o cliente ssh é configurado para usar as chaves privadas de uma Smartcard com a ajuda de uma biblioteca partilhada PKCS#11 (veja ssh(1) para detalhes) pode ser irritante ver a autenticação ainda a funcionar mesmo que o certificado X.509 relacionado na Smartcard esteja já expirado porque nem o ssh nem o sshd irá olhar sequer olhar para o certificado.

Tem de ser notado que a chave SSH pública derivada pode ainda ser adicionada ao ficheiro authorized_keys do utilizador ao contornar a validação do certificado se a configuração do sshd permitir isto.

-d,--domain DOMÍNIO

Procura por chaves públicas de utilizador em domínio SSSD DOMÍNIO.

-?,--help

Exibe a mensagem de ajuda e sai.

Em caso de sucesso, é retornado um valor de saída de 0. Caso contrário, é retornado 1.

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

O autor do SSSD - https://github.com/SSSD/sssd/

01/18/2026 SSSD