sss_ssh_authorizedkeys 1 sss_ssh_authorizedkeys получить авторизованные ключи OpenSSH sss_ssh_authorizedkeys options USER sss_ssh_authorizedkeys получает открытые ключи SSH для пользователя USER и выводит их в формате authorized_keys OpenSSH (дополнительные сведения доступны в разделе ФОРМАТ ФАЙЛА AUTHORIZED_KEYS справочной страницы sshd 8). sshd 8 можно настроить на использование sss_ssh_authorizedkeys для проверки подлинности пользователей по открытым ключам, если программа собрана с поддержкой параметра AuthorizedKeysCommand. Дополнительные сведения об этом параметре доступны на справочной странице sshd_config 5. Если параметр AuthorizedKeysCommand поддерживается, sshd 8 можно настроить на его использование, поместив следующие инструкции в sshd_config 5: AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys AuthorizedKeysCommandUser nobody Помимо открытых ключей SSH для пользователя USER, sss_ssh_authorizedkeys может также возвращать открытые ключи SSH, производные от открытого ключа сертификата X.509. Чтобы включить эту возможность, необходимо установить параметр ssh_use_certificate_keys в значение «true» (по умолчанию) в разделе [ssh] файла sssd.conf. Если запись пользователя содержит сертификаты (подробные сведения доступны в описании параметра ldap_user_certificate на справочной странице sssd-ldap 5) или имеется сертификат в записи переопределения для пользователя (подробные сведения доступны на справочной страницеsss_override 8 или sssd-ipa 5) и этот сертификат действителен, то SSSD извлечёт открытый ключ из сертификата и преобразует его в формат, ожидаемый sshd. Помимо ssh_use_certificate_keys, параметры ca_db p11_child_timeout certificate_verification могут использоваться для управления способом проверки сертификатов (подробные сведения доступны на справочной странице sssd.conf 5). Проверка действительности — то преимущество, которое даёт использование сертификатов X.509 вместо непосредственно ключей SSH; это позволяет лучше управлять временем жизни ключей. Когда клиент SSH настроен на использование закрытых ключей со смарт-карты с помощью общей библиотеки PKCS#11 (подробные сведения доступны на справочной странице ssh 1), может раздражать то, что проверка подлинности продолжает работать даже в случае истечения срока действия соответствующего сертификата X.509 на смарт-карте, так как ни ssh, ни sshd не принимают сертификат во внимание. Следует отметить, что производный открытый ключ SSH можно добавить в файлauthorized_keys пользователя для обхода проверки действительности сертификата, если это позволяет конфигурация sshd. -d,--domain DOMAIN Искать открытые ключи пользователя в домене SSSD DOMAIN. В случае успеха возвращается значение состояния выхода «0». В ином случае возвращается «1».