SSS_SSH_AUTHORIZEDKE(1) SSSD manualsidor SSS_SSH_AUTHORIZEDKE(1)

sss_ssh_authorizedkeys - hämta auktoriserade OpenSSH-nycklar

sss_ssh_authorizedkeys [flaggor] ANVÄNDARE

sss_ssh_authorizedkeys hämtar publika SSH-nycklar för användaren ANVÄNDARE och skriver ut dem i formatet för OpenSSH authorized_keys (se avsnittet “AUTHORIZED_KEYS-FILFORMAT” i sshd(8) för mer information).

sshd(8) kan konfigureras till att använda sss_ssh_authorizedkeys för autentisering med användares publika nyckel om den är kompilerad med stöd för alternativet “AuthorizedKeysCommand”. Se manualsidan sshd_config(5) för mer detaljer om detta alternativ.

Om “AuthorizedKeysCommand” stödjs kan sshd(8) konfigureras för att använda den genom att lägga in följande direktiv sshd_config(5):

  AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
  AuthorizedKeysCommandUser nobody

Utöver de publika SSH-nycklarna för användaren ANVÄNDARE kan sss_ssh_authorizedkeys även returnera publika SSH-nycklar härledda från den publika nyckeln i ett X.509-certifikat.

För att aktivera detta måste alternativet “ssh_use_certificate_keys” sättas till true (standard) i avsnittet [ssh] av sssd.conf. Om användarposten innehåller certifikat (se “ldap_user_certificate” i sssd-ldap(5) för detaljer) eller det finns ett certifikat i en åsidosättande post för användaren (se sss_override(8) eller sssd-ipa(5) för detaljer) och certifikatet är giltigt kommer SSSD extrahera den publika nyckeln från certifikatet och konvertera den till formatet som sshd förväntar sig.

Vid sidan av “ssh_use_certificate_keys” kan alternativen

•ca_db
•p11_child_timeout
•certificate_verification

användas för att styra hur certifikaten valideras (se sssd.conf(5) för detaljer).

Valideringen är fördelen med att använda X.509-certifikat istället för att använda SSH-nycklar direkt för att det t.ex. ger en bättre kontroll över livslängden hos nycklarna. När ssh-klienten är konfigurerad att använda de privata nycklarna från ett smartkort med hjälp av det delade PKCS#11-biblioteket (se ssh(1) för detaljer) kan det vara irriterande att autentiseringen fortfarande fungerar även om det tillhörande X.509-certifikatet på smartkortet redan har gått ut eftersom varken ssh eller sshd kommer titta på certifikatet över huvud taget.

Det måste påpekas att den härledda publika SSH-nyckeln fortfarande kan läggas till i användarens fil authorized_keys för att gå runt certifikatvalideringen om konfigurationen av sshd tillåter detta.

-d,--domain DOMÄN

Sök efter användares publika nycklar i SSSD-domänen DOMÄN.

-?,--help

Visa ett hjälpmeddelande och avsluta.

Om det lyckas returneras 0 som slutstatus. Annars returneras 1.

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-files(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

SSSD uppströms – https://github.com/SSSD/sssd/

03/22/2024 SSSD