7.OpenLDAPサーバの構築⑦ -LDAPユーザをlinuxユーザとして認識させるまでくれば、ldapサーバの設定はあともう一歩。
■sshdコンフィグの設定
通常のlinuxユーザと同様に、ldapユーザもssh鍵認証を行う場合は/etc/ssh/sshd_configの設定変更が必要になる。viでは/etc/ssh/sshd_configを開き、以下の設定を行う。
※7.OpenLDAPサーバの構築⑦ -LDAPユーザをlinuxユーザとして認識させるでldapユーザに切り替えたままの場合は、一旦rootユーザに戻ろう。
[root@ldapserver ~]# vi /etc/ssh/sshd_config #HostKey /etc/ssh/ssh_host_rsa_key -> コメントアウトする。デフォルトは有効になっている。 #HostKey /etc/ssh/ssh_host_ecdsa_key -> コメントアウトする。デフォルトは有効になっている。 HostKey /etc/ssh/ssh_host_ed25519_key : PubkeyAuthentication yes -> コメントアウトを外して有効にする。 PubkeyAcceptedKeyTypes ssh-ed25519 -> 新規に追加する。 AuthorizedKeysFile .ssh/authorized_keys -> デフォルトのまま : AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys -> コメントアウトを外して、赤字の内容に修正する。 AuthorizedKeysCommandUser root -> コメントアウトを外して、赤字の内容に修正する。 : ※他の設定は必要に応じてコメントアウト/コメントアウト外しを行う。
上記変更後、sshdサービスを再起動する。
[root@ldapserver ~]# systemctl restart sshd
■.sshディレクトリの作成及び、ssh公開鍵の格納
上記sshd_configの変更が終わったら、ldapユーザに切り替えてホームディレクトリに.sshディレクトリを作成する。
[root@ldapserver ~]# su user01 [user01@ldapserver root]$ cd /home/user01 [user01@ldapserver ~]$ pwd /home/user01 [user01@ldapserver ~]$ mkdir .ssh [user01@ldapserver ~]$ chmod 700 .ssh [user01@ldapserver ~]$ ls -lart 合計 16 drwxr-xr-x. 4 root root 35 12月 12 00:22 .. -rw-------. 1 user01 ldapmanager 18 12月 12 00:22 .bash_logout -rw-------. 1 user01 ldapmanager 193 12月 12 00:22 .bash_profile -rw-------. 1 user01 ldapmanager 231 12月 12 00:22 .bashrc -rw-------. 1 user01 ldapmanager 39 12月 12 00:26 .bash_history drwx------. 2 user01 ldapmanager 6 12月 12 21:14 .ssh drwx------. 3 user01 ldapmanager 95 12月 12 21:14 .
.sshディレクトリを作成したら、chmodコマンドでアクセス権限を必ず700に設定する。そうしないとssh鍵認証でsshログインしようとしたときに、「アクセス権限が開きすぎている」というエラーでアクセスできない。
次に.sshディレクトリの配下に、6.OpenLDAPサーバの構築⑥ -LDAPユーザにssh鍵認証設定で生成した公開鍵「id_ed25519.pub」を格納する。格納する方法は、teratermで生成した場合はWinSCP等で/home/user01/.ssh配下に転送すればOKで、ssh-keygenコマンドでldapサーバ上で生成した場合は、mvコマンドかcpコマンドで格納すればOK。また格納する際に、ファイル名を「authorized_keys」にリネームし、ファイルのアクセス権限を600にする。「authorized_keys」にリネームする理由は、上記のsshd_configで
AuthorizedKeysFile .ssh/authorized_keys
と記述されているからだ。
※公開鍵を格納した前提で、lsコマンドで確認する。
[user01@ldapserver ~]$ cd /home/user01/.ssh [user01@ldapserver .ssh]$ ls -lrt 合計 4 -rw-r--r--. 1 root root 97 12月 9 18:25 id_ed25519.pub [user01@ldapserver .ssh]$ mv id_ed25519.pub authorized_keys -> 公開鍵を「authorized_keys」というファイル名に変更 [user01@ldapserver .ssh]$ ls -l /home/user01/.ssh 合計 4 -rw-r--r--. 1 root root 97 12月 9 18:25 authorized_keys drwx------. 3 user01 ldapmanager 95 12月 12 21:14 .. drwx------. 2 user01 ldapmanager 29 12月 12 21:16 . [user01@ldapserver .ssh]$ exit -> いったんsuを抜ける。 [root@ldapserver ~]# chmod 600 /home/user01/.ssh/authorized_keys -> アクセス権限を変更する。 [root@ldapserver ~]# ls -lart /home/user01/.ssh 合計 4 -rw-------. 1 root root 97 12月 9 18:25 authorized_keys -> アクセス権限が600になったことを確認。 drwx------. 3 user01 ldapmanager 95 12月 12 21:14 .. drwx------. 2 user01 ldapmanager 29 12月 12 21:16 .
これで公開鍵の格納はOK!