Konfigurace zvýšení oprávnění sudo a klíčů SSH

Pomocí nástroje Operations Manager můžete zadat přihlašovací údaje pro neprivilegovaný účet, který se má zvýšit na počítači se systémem UNIX nebo Linux pomocí příkazu sudo, což uživateli umožňuje spouštět programy nebo přistupovat k souborům, které mají oprávnění zabezpečení jiného uživatelského účtu. Pro údržbu agentů máte také možnost používat klíče Secure Shell (SSH) místo hesla pro zabezpečenou komunikaci mezi Operations Managerem a cílovým počítačem.

Poznámka:

Operations Manager podporuje ověřování na základě klíče SSH s daty souborů klíčů ve formátu PUTTY Private Key (PPK). Aktuálně podporuje klíče RSA SSH v.1 a klíče RSA s protokolem SSH v.2 a DSA.

K získání a konfiguraci klíče SSH z počítače se systémy UNIX a Linux potřebujete na počítači se systémem Windows následující software:

• Nástroj pro přenos souborů, například WinSCP, pro přenos souborů z počítače se systémem UNIX nebo Linux do počítače se systémem Windows.
• Program PuTTY nebo podobný program ke spouštění příkazů na počítači se systémy UNIX nebo Linux.
• Program PuTTYgen uložit privátní klíč SHH ve formátu OpenSSH na počítači se systémem Windows.

Poznámka:

Program sudo existuje v různých umístěních v operačních systémech UNIX a Linux. Aby bylo k serveru sudo zajištěn jednotný přístup, instalační skript agenta systému UNIX a Linux vytvoří symbolický odkaz /etc/opt/microsoft/scx/conf/sudodir , který bude odkazovat na adresář, který má obsahovat program sudo. Agent pak pomocí tohoto symbolického odkazu vyvolá sudo. Když je agent nainstalován tento symbolický odkaz je vytvořen automaticky, nejsou vyžadovány žádné další akce pro standardní konfigurace systémů UNIX a Linux; Pokud však máte sudo nainstalovaný v nestandardním umístění, měli byste změnit symbolický odkaz tak, aby odkazoval na adresář, na kterém je nainstalován sudo. Pokud změníte symbolický odkaz, jeho hodnota se zachová v rámci operací odinstalace, opětovné instalace a upgradu s agentem.

Konfigurace účtu pro zvýšení oprávnění sudo

Poznámka:

Informace uvedené v této části vás provedou konfigurací ukázkového uživatele scomusera udělí mu úplná práva na klientském počítači.

Pokud už máte uživatelské účty nebo chcete nastavit monitorování nízkých oprávnění , jsou k dispozici šablony sudoers a udělují pouze oprávnění potřebná k úspěšným operacím monitorování a údržby. Další informace najdete v tématu: Šablony Sudoers pro zvýšení oprávnění v monitorování systémů UNIX/Linux

Následující postupy vytvoří účet a zvýšení oprávnění sudo pomocí scomuser uživatelského jména.

Vytvoření uživatele

1. Přihlaste se k počítači se systémem UNIX nebo Linux jako root
2. Přidejte uživatele: useradd scomuser
3. Přidejte heslo a potvrďte heslo: passwd scomuser

Teď můžete nakonfigurovat zvýšení oprávnění sudo a vytvořit klíč SSH pro scomuser, jak je popsáno v následujících postupech.

Konfigurace zvýšení oprávnění sudo pro uživatele

1. Přihlaste se k počítači se systémem UNIX nebo Linux jako root

2. Pomocí programu visudo upravte konfiguraci sudo v textovém editoru vi. Spusťte následující příkaz: visudo.

3. Najděte následující řádek: root ALL=(ALL) ALL

4. Za něj vložte následující řádek: scomuser ALL=(ALL) NOPASSWD: ALL

5. Přidělení TTY se nepodporuje. Ujistěte se, že je následující řádek okomentován: # Defaults requiretty

   Důležité

   Tento krok je nutný k tomu, aby sudo fungoval.

6. Uložte soubor a ukončete visudo:

   • Stiskněte a : (colon) wq!pak stiskněte ESC a pak stisknutím Enter klávesy uložte změny a ukončete je beze změny.

7. Otestujte konfiguraci zadáním následujících dvou příkazů. Výsledkem by měl být výpis adresáře bez výzvy k zadání hesla:

   su - scomuser
   sudo ls /etc
   

K účtu teď můžete přistupovat scomuser pomocí svého hesla a zvýšení oprávnění sudo, což vám umožní zadat přihlašovací údaje v průvodcích úloh a zjišťování a v rámci účtů Spustit jako.

Vytvoření klíče SSH pro ověřování

Tip

Klíče SSH se používají jenom pro operace údržby agentů a nepoužívají se k monitorování, ujistěte se, že vytváříte klíč pro správného uživatele, pokud používáte více účtů.

Následující postupy vytvoří klíč SSH pro scomuser účet vytvořený v předchozích příkladech.

Vygenerování klíče SSH

1. Přihlaste se jako scomuser.
2. Vygenerujte klíč pomocí algoritmu DSA (Digital Signature Algorithm): ssh-keygen -t dsa
   • Všimněte si volitelného přístupového hesla, pokud jste ho zadali.

Nástroj ssh-keygen vytvoří /home/scomuser/.ssh adresář se souborem id_dsa privátního klíče a souborem id_dsa.pub veřejného klíče uvnitř, tyto soubory se používají v následujícím postupu.

Konfigurace uživatelského účtu pro podporu klíče SSH

1. Na příkazovém řádku zadejte následující příkazy. Přejděte do adresáře uživatelských účtů: cd /home/scomuser
2. Zadejte výhradní přístup vlastníka k adresáři: chmod 700 .ssh
3. Přejděte do adresáře .ssh: cd .ssh
4. Vytvořte soubor autorizovaných klíčů s veřejným klíčem: cat id_dsa.pub >> authorized_keys
5. Udělte uživateli oprávnění ke čtení a zápisu do souboru autorizovaných klíčů: chmod 600 authorized_keys

Privátní klíč SSH teď můžete zkopírovat do počítače se systémem Windows, jak je popsáno v dalším postupu.

Zkopírujte privátní klíč SSH do počítače se systémem Windows a uložte ho ve formátu OpenSSH.

1. Pomocí nástroje, jako je WinSCP, přeneste soubor id_dsa privátního klíče (bez přípony) z klienta do adresáře na počítači se systémem Windows.
2. Spusťte puttygen.
3. V dialogovém okně Generátor klíčů PuTTY vyberte tlačítko Načíst a pak vyberte privátní klíč id_dsa , který jste přenesli z počítače se systémem UNIX nebo Linux.
4. Vyberte Uložit privátní klíč a název a uložte soubor do požadovaného adresáře.
5. Exportovaný soubor můžete použít v rámci účtu Spustit jako údržby nakonfigurovaného pro scomuser, nebo při provádění úloh údržby prostřednictvím konzoly.

Účet můžete použít scomuser pomocí klíče SSH a zvýšení oprávnění sudo k zadání přihlašovacích údajů v průvodcích Operations Manageru a ke konfiguraci účtů Spustit jako.

Důležité

Soubor PPK verze 2 je jedinou verzí, která se v současné době podporuje v nástroji System Center Operations Manager.

Ve výchozím nastavení je PuTTYgen nastavený tak, aby používal soubor PPK verze 3. Verzi souboru PPK můžete změnit na 2 tak, že přejdete na panel nástrojů a vyberete Klíčové > parametry pro ukládání souborů klíčů... a pak vyberte přepínač pro verzi souboru PPK 2.

Další kroky

• Zkontrolujte přihlašovací údaje, které musíte mít pro přístup k počítačům se systémy UNIX a Linux, abyste pochopili, jak ověřovat a monitorovat počítače se systémy UNIX a Linux.
• Pokud potřebujete překonfigurovat Operations Manager tak, aby používal jinou šifru, zkontrolujte konfiguraci šifer SSL.