SSS_SSH_AUTHORIZEDKE(1) Manual do SSSD SSS_SSH_AUTHORIZEDKE(1) NAME sss_ssh_authorizedkeys - obter chaves autorizadas do OpenSSH SYNOPSIS sss_ssh_authorizedkeys [options] UTILIZADOR DESCRICAO O sss_ssh_authorizedkeys adquire chaves publicas SSH para o utilizador UTILIZADOR e coloca-as em formato authorized_keys de OpenSSH (veja a seccao "FORMATO DE FICHEIRO AUTHORIZED_KEYS" do sshd(8) para mais informacao). O sshd(8) pode ser configurado para usar sss_ssh_authorizedkeys para autenticacao de utilizador por chave publica se for compilado com suporte para a opcao "AuthorizedKeysCommand". Por favor consulte o manual sshd_config(5) para mais detalhes acerca desta opcao. Se "AuthorizedKeysCommand" for suportado, o sshd(8) pode ser configurado para o usar ao colocar as seguintes diretivas em sshd_config(5): AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys AuthorizedKeysCommandUser nobody CHAVES A PARTIR DE CERTIFICADOS Adicionalmente as chaves SSH publicas para o utilizador UTILIZADOR o sss_ssh_authorizedkeys tambem pode retornar chaves SSH publicas derivadas da chave publica de um certificado X.509. Para activar isto a opcao "ssh_use_certificate_keys" tem de ser definida para true (predefinicao) na seccao [ssh] do sssd.conf. Se a entrada do utilizador conter certificados (veja "ldap_user_certificate" em sssd-ldap(5) para detalhes) ou existir um certificado numa entrada de sobreposicao para o utilizador (veja sss_override(8) ou sssd-ipa(5) para detalhes) e o certificado for valido, o SSSD ira extrair a chave publica a partir do certificado e converte-lo num formato esperado pelo sshd. Alem de "ssh_use_certificate_keys" as opcoes o ca_db o p11_child_timeout o certificate_verification pode ser usadas para controlar como o certificados sao validados (veja sssd.conf(5) para detalhes). A validacao e o beneficio de se usar certificados X.509 em vez de chaves SSH directamente porque, ex., oferece um melhor controle do tempo de vida das chaves. Quando o cliente ssh e configurado para usar as chaves privadas de uma Smartcard com a ajuda de uma biblioteca partilhada PKCS#11 (veja ssh(1) para detalhes) pode ser irritante ver a autenticacao ainda a funcionar mesmo que o certificado X.509 relacionado na Smartcard esteja ja expirado porque nem o ssh nem o sshd ira olhar sequer olhar para o certificado. Tem de ser notado que a chave SSH publica derivada pode ainda ser adicionada ao ficheiro authorized_keys do utilizador ao contornar a validacao do certificado se a configuracao do sshd permitir isto. OPCOES -d,--domain DOMINIO Procura por chaves publicas de utilizador em dominio SSSD DOMINIO. -?,--help Exibe a mensagem de ajuda e sai. ESTADO DE SAIDA Em caso de sucesso, e retornado um valor de saida de 0. Caso contrario, e retornado 1. VEJA TAMBEM sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS O autor do SSSD - https://github.com/SSSD/sssd/ SSSD 01/18/2026 SSS_SSH_AUTHORIZEDKE(1)