Konfigurace zvýšení oprávnění sudo a klíčů SSH

Důležité

Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.

Pomocí nástroje System Center – Operations Manager můžete zadat přihlašovací údaje pro neprivilegovaný účet, který má být zvýšen na počítači se systémem UNIX nebo Linux, pomocí programu sudo, který uživatelům umožňuje spouštět programy, které mají oprávnění zabezpečení jiného uživatelského účtu. Pro zabezpečenou komunikaci mezi Operations Managerem a cílovým počítačem můžete také místo hesla použít klíče Secure Shell (SSH).

Poznámka

Operations Manager podporuje ověřování na základě klíčů SSH s daty souboru klíče ve formátu PPK (PuTTY Private Key). V současné době podporuje klíče RSA SSH v.1 a klíče SSH v.2 RSA a DSA.

Toto téma obsahuje příklady, jak vytvořit účet uživatele s nízkou úrovní oprávnění, implementovat oprávnění sudo a vytvořit klíč SSH na počítači s Red Hat Enterprise Linux Serverem 6. Toto jsou jen příklady, které se mohou od vašeho prostředí lišit. Následující příklady poskytují uživateli přístup k plné sadě oprávnění.

Pokud chcete z počítače se systémem UNIX a Linux získat klíč SSH a nakonfigurovat ho, musíte na počítač s Windows nainstalovat tento software:

• Nástroj pro přenos souborů, třeba WinSCP, díky kterému můžete přenášet soubory z počítače se systémem UNIX nebo Linux na počítač s Windows.

• Program PuTTY nebo podobný program pro spuštění příkazů na počítači se systémem UNIX nebo Linux.

• Program PuTTYgen, který uloží privátní klíč SSH na počítači s Windows ve formátu Open SSH.

Poznámka

Program sudo existuje v operačních systémech UNIX a Linux v různých umístěních. Aby byl zajištěný jednotný přístup k programu sudo, skript pro instalaci agenta systému UNIX a Linux vytvoří symbolický odkaz vedoucí do adresáře /etc/opt/microsoft/scx/conf/sudodir, ve kterém by se měl program sudo nacházet. Agent použije tento symbolický odkaz k vyvolání příkazu sudo. Instalační skript automaticky vytvoří symbolický odkaz, takže u standardních konfigurací systémů UNIX a Linux nemusíte nic dělat. Pokud ale máte program sudo nainstalovaný v nestandardním umístění, symbolický odkaz byste měli změnit tak, aby odkazoval na adresář, kde je program sudo nainstalovaný. Pokud změníte symbolický odkaz, jeho hodnota se zachová pro účely odinstalace, přeinstalace a operací souvisejících s upgradem agenta.

Konfigurace účtu s nízkou úrovní oprávnění pro zvýšení oprávnění sudo

Následující postupy vytvoří účet s nízkým oprávněním a zvýšení oprávnění sudo pomocí opsuser uživatelského jména.

Vytvoření uživatele s nízkou úrovní oprávnění

1. Přihlaste se k počítači se systémem UNIX nebo Linux jako root.

2. Přidejte uživatele:

   useradd opsuser

3. Přidejte heslo a potvrďte ho:

   passwd opsuser

Teď můžete pro uživatele opsuser nakonfigurovat zvýšení oprávnění sudo a vytvořit klíč SSH, jak popisuje následující postup.

Konfigurace zvýšení oprávnění sudo pro uživatele s nízkou úrovní oprávnění

1. Přihlaste se k počítači se systémem UNIX nebo Linux jako root.

2. Pomocí programu visudo upravte konfiguraci v textovém editoru vi. Spusťte následující příkaz:

   visudo

3. Vyhledejte následující řádek:

   root ALL=(ALL) ALL

4. Vložte za něj následující řádek:

   opsuser ALL=(ALL) NOPASSWD: ALL

5. Přidělení TTY není podporováno. Zkontrolujte, jestli je z kódu odebraný následující řádek:

   # Defaults requiretty

   Důležité

   Tento krok je nutný, aby program sudo fungoval.

6. Soubor uložte a ukončete visudo:

   Stiskněte ESC + : (dvojtečka) a wq!pak stiskněte Klávesu Enter.

7. Otestujte konfiguraci zadáním následujících dvou příkazů. Výsledkem by měl být výpis adresáře, aniž by se zobrazila výzva k zadání hesla:

   su - opsuser

   sudo ls /etc

Účet uživatele opsuser můžete používat s heslem a zvýšením oprávnění sudo, když v průvodcích Operations Manageru zadáváte přihlašovací údaje, a také při konfiguraci účtů Spustit jako.

Vytvoření klíče SSH pro ověřování

Pomocí následujících postupů vytvoříte klíč SSH pro účet opsuser, který jste vytvořili v předchozích příkladech.

Vygenerování klíče SSH

1. Přihlaste se jako uživatel opsuser.

2. Vygenerujte klíč pomocí algoritmu DSA (Digital Signature Algorithm):

   ssh-keygen -t dsa

   Pokud jste zadali volitelné přístupové heslo, poznamenejte si ho.

Nástroj ssh-keygen vytvoří adresář /home/opsuser/.ssh se souborem privátního klíče (id_dsa) a se souborem veřejného klíče (id_dsa.pub). Klíč teď můžete nakonfigurovat tak, aby ho podporoval účet opsuser, jak uvádí následující postup.

Konfigurace uživatelského účtu pro podporu klíče SSH

1. Do příkazového řádku zadejte následující příkazy. Přejděte do adresáře uživatelského účtu:

   cd /home/opsuser

2. Specifikujte výhradní přístup vlastníka do adresáře:

   chmod 700 .ssh

3. Přejděte do adresáře .ssh:

   cd .ssh

4. Vytvořte soubor autorizovaných klíčů s daným veřejným klíčem:

   cat id_dsa.pub >> authorized_keys

5. Přidělte uživateli oprávnění pro čtení a zápis do souboru autorizovaných klíčů:

   chmod 600 authorized_keys

Privátní klíč SSH teď můžete zkopírovat do počítače se systémem Windows, jak je popsáno v dalším postupu.

Zkopírování privátního klíče SSH do počítače se systémem Windows a uložení ve formátu OpenSSH

1. Pomocí nástroje, jako je třeba WinSCP, přeneste soubor privátního klíče (id_dsa – bez přípony) z počítače se systémem UNIX nebo Linux do adresáře na počítači s Windows.

2. Spusťte program PuTTYgen.

3. V dialogovém okně PuTTY Key Generator (Generátor klíče PuTTY) klikněte na tlačítko Load (Načíst) a vyberte privátní klíč (id_dsa, který jste přenesli z počítače se systémem UNIX nebo Linux.

4. Klikněte na tlačítko Save private key (Uložit privátní klíč) a soubor uložte do požadovaného adresáře.

Účet uživatele opsuser můžete používat s klíčem SSH a zvýšením oprávnění sudo, když v průvodcích Operations Manageru zadáváte přihlašovací údaje, a také při konfiguraci účtů Spustit jako.

Poznámka

Ověřte, že privátní klíč PuTTYgen ukládáte jako verzi 2 místo verze 3. Verzi souboru PPK můžete změnit tak, že přejdete do nabídky a vyberete Klíčové>parametry pro ukládání souborů klíčů...
Nástroj System Center Operations Manager v současné době podporuje soubor PPK verze 2.

Další kroky

• Principy ověřování a monitorování počítačů se systémy UNIX a Linux najdete v tématu Přihlašovací údaje požadované pro přístup k počítačům se systémy UNIX a Linux.

• Pokud potřebujete Operations Manager překonfigurovat tak, aby používal jiné šifrování, přečtěte si téma Konfigurace metod šifrování SSL.