Konfigurace zvýšení oprávnění sudo a klíčů SSH
Důležité
Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.
Pomocí nástroje Operations Manager můžete zadat přihlašovací údaje pro neprivilegovaný účet, který má být zvýšen na počítači se systémem UNIX nebo Linux, pomocí příkazu sudo, což uživateli umožní spouštět programy nebo přistupovat k souborům, které mají oprávnění zabezpečení jiného uživatelského účtu. V případě údržby agenta máte také možnost používat klíče SSH (Secure Shell) místo hesla pro zabezpečenou komunikaci mezi Operations Managerem a cílovým počítačem.
Poznámka
Operations Manager podporuje ověřování na základě klíčů SSH s daty souboru klíče ve formátu PPK (PuTTY Private Key). V současné době podporuje klíče RSA SSH v.1 a klíče SSH v.2 RSA a DSA.
K získání a konfiguraci klíče SSH z počítače se systémy UNIX a Linux potřebujete v počítači se systémem Windows následující software:
- Nástroj pro přenos souborů, třeba WinSCP, díky kterému můžete přenášet soubory z počítače se systémem UNIX nebo Linux na počítač s Windows.
- Program PuTTY nebo podobný program pro spuštění příkazů na počítači se systémem UNIX nebo Linux.
- Program PuTTYgen, který uloží privátní klíč SSH na počítači s Windows ve formátu Open SSH.
Poznámka
Program sudo existuje v operačních systémech UNIX a Linux v různých umístěních. Aby byl zajištěný jednotný přístup k programu sudo, skript pro instalaci agenta systému UNIX a Linux vytvoří symbolický odkaz vedoucí do adresáře /etc/opt/microsoft/scx/conf/sudodir
, ve kterém by se měl program sudo nacházet. Agent pak použije tento symbolický odkaz k vyvolání sudo.
Při instalaci agenta se tento symbolický odkaz vytvoří automaticky, nejsou vyžadovány žádné další akce pro standardní konfigurace systémů UNIX a Linux; Pokud ale máte soubor sudo nainstalovaný v nestandardním umístění, měli byste změnit symbolický odkaz tak, aby odkazoval na adresář, ve kterém je nainstalován sudo. Pokud změníte symbolický odkaz, jeho hodnota se zachová pro účely odinstalace, přeinstalace a operací souvisejících s upgradem agenta.
Konfigurace účtu pro zvýšení oprávnění sudo
Poznámka
Informace uvedené v této části vás provedou konfigurací ukázkového uživatele scomuser
a udělí mu úplná práva na klientském počítači.
Pokud už máte uživatelské účty nebo chcete nastavit monitorování s nízkými oprávněními , jsou k dispozici šablony sudoers a udělují pouze oprávnění potřebná pro úspěšné operace monitorování a údržby. Další informace najdete v tématu Šablony Sudoers pro zvýšení oprávnění v monitorování systémů UNIX/Linux.
Následující postupy vytvoří účet a zvýšení oprávnění sudo pomocí scomuser
uživatelského jména.
Vytvoření uživatele
- Přihlaste se k počítači se systémem UNIX nebo Linux jako
root
- Přidejte uživatele:
useradd scomuser
- Přidejte heslo a potvrďte ho:
passwd scomuser
Teď můžete pro uživatele scomuser
nakonfigurovat zvýšení oprávnění sudo a vytvořit klíč SSH, jak popisuje následující postup.
Konfigurace zvýšení oprávnění sudo pro uživatele
Přihlaste se k počítači se systémem UNIX nebo Linux jako
root
Pomocí programu visudo upravte konfiguraci v textovém editoru vi. Spusťte následující příkaz:
visudo
.Vyhledejte následující řádek:
root ALL=(ALL) ALL
Vložte za něj následující řádek:
scomuser ALL=(ALL) NOPASSWD: ALL
Přidělení TTY se nepodporuje. Ujistěte se, že je následující řádek zakomentovaný:
# Defaults requiretty
Důležité
Tento krok je nutný, aby program sudo fungoval.
Soubor uložte a ukončete visudo:
- Stiskněte klávesu
ESC
a potom stiskněte klávesuwq!
a stisknutím klávesyEnter
uložte změny a řádně ukončete.: (colon)
- Stiskněte klávesu
Otestujte konfiguraci zadáním následujících dvou příkazů. Výsledkem by měl být výpis adresáře, aniž by se zobrazila výzva k zadání hesla:
su - scomuser sudo ls /etc
K účtu teď můžete přistupovat scomuser
pomocí jeho hesla a zvýšení oprávnění sudo, což vám umožní zadat přihlašovací údaje v průvodcích úloh a zjišťování a v účtech Spustit jako.
Vytvoření klíče SSH pro ověřování
Tip
Klíče SSH se používají jenom pro operace údržby agenta a nepoužívají se k monitorování. Pokud používáte více účtů, ujistěte se, že vytváříte klíč pro správného uživatele.
Pomocí následujících postupů vytvoříte klíč SSH pro účet scomuser
, který jste vytvořili v předchozích příkladech.
Vygenerování klíče SSH
- Přihlaste se jako
scomuser
. - Vygenerujte klíč pomocí algoritmu DSA (Digital Signature Algorithm):
ssh-keygen -t dsa
- Pokud jste zadali volitelné přístupové heslo, poznamenejte si ho.
Nástroj ssh-keygen vytvoří /home/scomuser/.ssh
adresář se souborem id_dsa
privátního klíče a souborem id_dsa.pub
veřejného klíče uvnitř, tyto soubory se použijí v následujícím postupu.
Konfigurace uživatelského účtu pro podporu klíče SSH
- Do příkazového řádku zadejte následující příkazy. Přechod do adresáře uživatelských účtů:
cd /home/scomuser
- Zadejte přístup výhradního vlastníka k adresáři:
chmod 700 .ssh
- Přejděte do adresáře .ssh:
cd .ssh
- Vytvořte soubor autorizovaných klíčů s veřejným klíčem:
cat id_dsa.pub >> authorized_keys
- Udělte uživateli oprávnění ke čtení a zápisu do souboru autorizovaných klíčů:
chmod 600 authorized_keys
Privátní klíč SSH teď můžete zkopírovat do počítače se systémem Windows, jak je popsáno v dalším postupu.
Zkopírujte privátní klíč SSH do počítače se systémem Windows a uložte ho ve formátu OpenSSH.
- K přenosu souboru
id_dsa
privátního klíče (bez přípony) z klienta do adresáře v počítači se systémem Windows použijte nástroj, například WinSCP. - Spusťte program PuTTYgen.
- V dialogovém okně Generátor klíčů PuTTY vyberte tlačítko Načíst a pak vyberte privátní klíč
id_dsa
, který jste přenesli z počítače se systémem UNIX nebo Linux. - Vyberte Uložit privátní klíč a název a uložte soubor do požadovaného adresáře.
- Exportovaný soubor můžete použít v rámci účtu Spustit jako pro údržbu nakonfigurovaného pro
scomuser
nebo při provádění úloh údržby prostřednictvím konzoly.
Účet uživatele scomuser
můžete používat s klíčem SSH a zvýšením oprávnění sudo, když v průvodcích Operations Manageru zadáváte přihlašovací údaje, a také při konfiguraci účtů Spustit jako.
Důležité
Soubor PPK verze 2 je jedinou verzí aktuálně podporovanou nástrojem System Center Operations Manager.
Ve výchozím nastavení je PuTTYgen nastavený tak, aby používal soubor PPK verze 3. Verzi souboru PPK můžete změnit na 2 tak, že přejdete na panel nástrojů a vyberete Klíčové > parametry pro ukládání souborů klíčů... a pak vyberete přepínač 2 pro verzi souboru PPK.
Další kroky
- Přečtěte si téma Přihlašovací údaje, které musíte mít pro přístup k počítačům se systémy UNIX a Linux, abyste pochopili, jak ověřovat a monitorovat počítače se systémy UNIX a Linux.
- Pokud potřebujete překonfigurovat Operations Manager tak, aby používal jinou šifru, přečtěte si téma Konfigurace šifer SSL .
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro