認可されたキーの保管場所の一元化
異なるシステム間で多数のユーザーを管理する必要がある場合は、認可されたキーのストレージを一元化することを検討してください。 authorized_keysの単一の中央リソースを保持すると、古いキーの取消しやサーバー・セットの新しいキーの追加など、管理タスクの実行が容易になります。
一般的な方法は、LDAPやアイデンティティ管理(IPA)サービスなどの一元的な場所に格納されているキーにシステム・セキュリティ・サービス・デーモンの使用によってアクセスするように、SSHサーバーを構成することです。 これらのサービスに対してユーザー認証を構成するには、次のいずれかのリンクを参照してください:
OpenSSHでは、ユーザー認証時にSSSDを使用して公開キーの個別のキャッシュをメンテナンスおよび自動更新するためのツールが提供されます。 sss_ssh_authorizedkeysコマンドでは、アイデンティティ管理(IPA)ドメイン内のユーザー・エントリからユーザーの公開キーが取得されます。 キーが取得された後、そのキーが、標準の認可済キー形式で$HOME/.ssh/sss_authorized_keysに格納されます。
SSSDを使用してユーザーの公開キーを取得するようにSSHサーバーを構成するには、/etc/ssh/sshd_configを編集して、次のエントリが存在することを確認します:
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobodyサーバー構成を編集した場合は、このサービスを再起動する必要があります。
sudo systemctl restart sshdSSHがサービスを使用できるようにするには、SSDがすでに構成されて実行中であり、キーが適切に保管されている必要があります。
詳細は、sss_ssh_authorizedkeys(1)マニュアル・ページを参照してください。