SSS_SSH_AUTHORIZEDKE(1) Справка по SSSD SSS_SSH_AUTHORIZEDKE(1)

sss_ssh_authorizedkeys - получить авторизованные ключи OpenSSH

sss_ssh_authorizedkeys [options] USER

ОПИСАНИЕ

sss_ssh_authorizedkeys получает открытые ключи SSH для пользователя USER и выводит их в формате authorized_keys OpenSSH (дополнительные сведения доступны в разделе “ФОРМАТ ФАЙЛА AUTHORIZED_KEYS” справочной страницы sshd(8)).

sshd(8) можно настроить на использование sss_ssh_authorizedkeys для проверки подлинности пользователей по открытым ключам, если программа собрана с поддержкой параметра “AuthorizedKeysCommand”. Дополнительные сведения об этом параметре доступны на справочной странице sshd_config(5).

Если параметр “AuthorizedKeysCommand” поддерживается, sshd(8) можно настроить на его использование, поместив следующие инструкции в sshd_config(5):

  AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
  AuthorizedKeysCommandUser nobody

КЛЮЧИ ИЗ СЕРТИФИКАТОВ

Помимо открытых ключей SSH для пользователя USER, sss_ssh_authorizedkeys может также возвращать открытые ключи SSH, производные от открытого ключа сертификата X.509.

Чтобы включить эту возможность, необходимо установить параметр “ssh_use_certificate_keys” в значение «true» (по умолчанию) в разделе [ssh] файла sssd.conf. Если запись пользователя содержит сертификаты (подробные сведения доступны в описании параметра “ldap_user_certificate” на справочной странице sssd-ldap(5)) или имеется сертификат в записи переопределения для пользователя (подробные сведения доступны на справочной страницеsss_override(8) или sssd-ipa(5)) и этот сертификат действителен, то SSSD извлечёт открытый ключ из сертификата и преобразует его в формат, ожидаемый sshd.

Помимо “ssh_use_certificate_keys”, параметры

•ca_db
•p11_child_timeout
•certificate_verification

могут использоваться для управления способом проверки сертификатов (подробные сведения доступны на справочной странице sssd.conf(5)).

Проверка действительности — то преимущество, которое даёт использование сертификатов X.509 вместо непосредственно ключей SSH; это позволяет лучше управлять временем жизни ключей. Когда клиент SSH настроен на использование закрытых ключей со смарт-карты с помощью общей библиотеки PKCS#11 (подробные сведения доступны на справочной странице ssh(1)), может раздражать то, что проверка подлинности продолжает работать даже в случае истечения срока действия соответствующего сертификата X.509 на смарт-карте, так как ни ssh, ни sshd не принимают сертификат во внимание.

Следует отметить, что производный открытый ключ SSH можно добавить в файлauthorized_keys пользователя для обхода проверки действительности сертификата, если это позволяет конфигурация sshd.

ОПЦИИ

-d,--domain DOMAIN

Искать открытые ключи пользователя в домене SSSD DOMAIN.

-?,--help

Показать справочное сообщение и выйти.

СОСТОЯНИЕ ВЫХОДА

В случае успеха возвращается значение состояния выхода «0». В ином случае возвращается «1».

СМ. ТАКЖЕ

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/

04/09/2024 SSSD