8.OpenLDAPサーバの構築⑧ -ssh公開鍵をldapユーザのホームディレクトリに配置

投稿者: | 2017年12月12日

7.OpenLDAPサーバの構築⑦ -LDAPユーザをlinuxユーザとして認識させるまでくれば、ldapサーバの設定はあともう一歩。


■sshdコンフィグの設定

通常のlinuxユーザと同様に、ldapユーザもssh鍵認証を行う場合は/etc/ssh/sshd_configの設定変更が必要になる。viでは/etc/ssh/sshd_configを開き、以下の設定を行う。
7.OpenLDAPサーバの構築⑦ -LDAPユーザをlinuxユーザとして認識させるでldapユーザに切り替えたままの場合は、一旦rootユーザに戻ろう。

[root@ldapserver ~]# vi /etc/ssh/sshd_config
#HostKey /etc/ssh/ssh_host_rsa_key      ->  コメントアウトする。デフォルトは有効になっている。
#HostKey /etc/ssh/ssh_host_ecdsa_key    ->  コメントアウトする。デフォルトは有効になっている。
HostKey /etc/ssh/ssh_host_ed25519_key
                :
PubkeyAuthentication yes      ->  コメントアウトを外して有効にする。
PubkeyAcceptedKeyTypes ssh-ed25519      ->  新規に追加する。
AuthorizedKeysFile      .ssh/authorized_keys    ->  デフォルトのまま
                :
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys    -> コメントアウトを外して、赤字の内容に修正する。
AuthorizedKeysCommandUser root    -> コメントアウトを外して、赤字の内容に修正する。

                :
※他の設定は必要に応じてコメントアウト/コメントアウト外しを行う。

上記変更後、sshdサービスを再起動する。

[root@ldapserver ~]# systemctl restart sshd

■.sshディレクトリの作成及び、ssh公開鍵の格納

上記sshd_configの変更が終わったら、ldapユーザに切り替えてホームディレクトリに.sshディレクトリを作成する。

[root@ldapserver ~]# su user01
[user01@ldapserver root]$ cd /home/user01
[user01@ldapserver ~]$ pwd
/home/user01
[user01@ldapserver ~]$ mkdir .ssh
[user01@ldapserver ~]$ chmod 700 .ssh
[user01@ldapserver ~]$ ls -lart
合計 16
drwxr-xr-x. 4 root   root         35 12月 12 00:22 ..
-rw-------. 1 user01 ldapmanager  18 12月 12 00:22 .bash_logout
-rw-------. 1 user01 ldapmanager 193 12月 12 00:22 .bash_profile
-rw-------. 1 user01 ldapmanager 231 12月 12 00:22 .bashrc
-rw-------. 1 user01 ldapmanager  39 12月 12 00:26 .bash_history
drwx------. 2 user01 ldapmanager   6 12月 12 21:14 .ssh
drwx------. 3 user01 ldapmanager  95 12月 12 21:14 .

.sshディレクトリを作成したら、chmodコマンドでアクセス権限を必ず700に設定する。そうしないとssh鍵認証でsshログインしようとしたときに、「アクセス権限が開きすぎている」というエラーでアクセスできない。

次に.sshディレクトリの配下に、6.OpenLDAPサーバの構築⑥ -LDAPユーザにssh鍵認証設定で生成した公開鍵「id_ed25519.pub」を格納する。格納する方法は、teratermで生成した場合はWinSCP等で/home/user01/.ssh配下に転送すればOKで、ssh-keygenコマンドでldapサーバ上で生成した場合は、mvコマンドかcpコマンドで格納すればOK。また格納する際に、ファイル名を「authorized_keys」にリネームし、ファイルのアクセス権限を600にする。「authorized_keys」にリネームする理由は、上記のsshd_configで

AuthorizedKeysFile .ssh/authorized_keys

と記述されているからだ。

※公開鍵を格納した前提で、lsコマンドで確認する。

[user01@ldapserver ~]$ cd /home/user01/.ssh
[user01@ldapserver .ssh]$ ls -lrt
合計 4
-rw-r--r--. 1 root root 97 12月  9 18:25 id_ed25519.pub
[user01@ldapserver .ssh]$ mv id_ed25519.pub authorized_keys        ->  公開鍵を「authorized_keys」というファイル名に変更
[user01@ldapserver .ssh]$ ls -l /home/user01/.ssh
合計 4
-rw-r--r--. 1 root   root        97 12月  9 18:25 authorized_keys
drwx------. 3 user01 ldapmanager 95 12月 12 21:14 ..
drwx------. 2 user01 ldapmanager 29 12月 12 21:16 .
[user01@ldapserver .ssh]$ exit        ->  いったんsuを抜ける。
[root@ldapserver ~]# chmod 600 /home/user01/.ssh/authorized_keys        ->  アクセス権限を変更する。
[root@ldapserver ~]# ls -lart /home/user01/.ssh
合計 4
-rw-------. 1 root   root        97 12月  9 18:25 authorized_keys        ->  アクセス権限が600になったことを確認。
drwx------. 3 user01 ldapmanager 95 12月 12 21:14 ..
drwx------. 2 user01 ldapmanager 29 12月 12 21:16 .

これで公開鍵の格納はOK!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA