Konfigurace zvýšení oprávnění sudo a klíčů SSH

Důležité

Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.

Pomocí nástroje Operations Manager můžete zadat přihlašovací údaje pro neprivilegovaný účet, který má být zvýšen na počítači se systémem UNIX nebo Linux, pomocí příkazu sudo, což uživateli umožní spouštět programy nebo přistupovat k souborům, které mají oprávnění zabezpečení jiného uživatelského účtu. V případě údržby agenta máte také možnost používat klíče SSH (Secure Shell) místo hesla pro zabezpečenou komunikaci mezi Operations Managerem a cílovým počítačem.

Poznámka

Operations Manager podporuje ověřování na základě klíčů SSH s daty souboru klíče ve formátu PPK (PuTTY Private Key). V současné době podporuje klíče RSA SSH v.1 a klíče SSH v.2 RSA a DSA.

K získání a konfiguraci klíče SSH z počítače se systémy UNIX a Linux potřebujete v počítači se systémem Windows následující software:

• Nástroj pro přenos souborů, třeba WinSCP, díky kterému můžete přenášet soubory z počítače se systémem UNIX nebo Linux na počítač s Windows.
• Program PuTTY nebo podobný program pro spuštění příkazů na počítači se systémem UNIX nebo Linux.
• Program PuTTYgen, který uloží privátní klíč SSH na počítači s Windows ve formátu Open SSH.

Poznámka

Program sudo existuje v operačních systémech UNIX a Linux v různých umístěních. Aby byl zajištěný jednotný přístup k programu sudo, skript pro instalaci agenta systému UNIX a Linux vytvoří symbolický odkaz vedoucí do adresáře /etc/opt/microsoft/scx/conf/sudodir, ve kterém by se měl program sudo nacházet. Agent pak použije tento symbolický odkaz k vyvolání sudo. Při instalaci agenta se tento symbolický odkaz vytvoří automaticky, nejsou vyžadovány žádné další akce pro standardní konfigurace systémů UNIX a Linux; Pokud ale máte soubor sudo nainstalovaný v nestandardním umístění, měli byste změnit symbolický odkaz tak, aby odkazoval na adresář, ve kterém je nainstalován sudo. Pokud změníte symbolický odkaz, jeho hodnota se zachová pro účely odinstalace, přeinstalace a operací souvisejících s upgradem agenta.

Konfigurace účtu pro zvýšení oprávnění sudo

Poznámka

Informace uvedené v této části vás provedou konfigurací ukázkového uživatele scomusera udělí mu úplná práva na klientském počítači.

Pokud už máte uživatelské účty nebo chcete nastavit monitorování s nízkými oprávněními , jsou k dispozici šablony sudoers a udělují pouze oprávnění potřebná pro úspěšné operace monitorování a údržby. Další informace najdete v tématu Šablony Sudoers pro zvýšení oprávnění v monitorování systémů UNIX/Linux.

Následující postupy vytvoří účet a zvýšení oprávnění sudo pomocí scomuser uživatelského jména.

Vytvoření uživatele

1. Přihlaste se k počítači se systémem UNIX nebo Linux jako root
2. Přidejte uživatele: useradd scomuser
3. Přidejte heslo a potvrďte ho: passwd scomuser

Teď můžete pro uživatele scomuser nakonfigurovat zvýšení oprávnění sudo a vytvořit klíč SSH, jak popisuje následující postup.

Konfigurace zvýšení oprávnění sudo pro uživatele

1. Přihlaste se k počítači se systémem UNIX nebo Linux jako root

2. Pomocí programu visudo upravte konfiguraci v textovém editoru vi. Spusťte následující příkaz: visudo.

3. Vyhledejte následující řádek: root ALL=(ALL) ALL

4. Vložte za něj následující řádek: scomuser ALL=(ALL) NOPASSWD: ALL

5. Přidělení TTY se nepodporuje. Ujistěte se, že je následující řádek zakomentovaný: # Defaults requiretty

   Důležité

   Tento krok je nutný, aby program sudo fungoval.

6. Soubor uložte a ukončete visudo:

   • Stiskněte klávesu ESC a potom stiskněte klávesu wq!a stisknutím klávesy Enter uložte změny a řádně ukončete.: (colon)

7. Otestujte konfiguraci zadáním následujících dvou příkazů. Výsledkem by měl být výpis adresáře, aniž by se zobrazila výzva k zadání hesla:

   su - scomuser
   sudo ls /etc
   

K účtu teď můžete přistupovat scomuser pomocí jeho hesla a zvýšení oprávnění sudo, což vám umožní zadat přihlašovací údaje v průvodcích úloh a zjišťování a v účtech Spustit jako.

Vytvoření klíče SSH pro ověřování

Tip

Klíče SSH se používají jenom pro operace údržby agenta a nepoužívají se k monitorování. Pokud používáte více účtů, ujistěte se, že vytváříte klíč pro správného uživatele.

Pomocí následujících postupů vytvoříte klíč SSH pro účet scomuser, který jste vytvořili v předchozích příkladech.

Vygenerování klíče SSH

1. Přihlaste se jako scomuser.
2. Vygenerujte klíč pomocí algoritmu DSA (Digital Signature Algorithm): ssh-keygen -t dsa
   • Pokud jste zadali volitelné přístupové heslo, poznamenejte si ho.

Nástroj ssh-keygen vytvoří /home/scomuser/.ssh adresář se souborem id_dsa privátního klíče a souborem id_dsa.pub veřejného klíče uvnitř, tyto soubory se použijí v následujícím postupu.

Konfigurace uživatelského účtu pro podporu klíče SSH

1. Do příkazového řádku zadejte následující příkazy. Přechod do adresáře uživatelských účtů: cd /home/scomuser
2. Zadejte přístup výhradního vlastníka k adresáři: chmod 700 .ssh
3. Přejděte do adresáře .ssh: cd .ssh
4. Vytvořte soubor autorizovaných klíčů s veřejným klíčem: cat id_dsa.pub >> authorized_keys
5. Udělte uživateli oprávnění ke čtení a zápisu do souboru autorizovaných klíčů: chmod 600 authorized_keys

Privátní klíč SSH teď můžete zkopírovat do počítače se systémem Windows, jak je popsáno v dalším postupu.

Zkopírujte privátní klíč SSH do počítače se systémem Windows a uložte ho ve formátu OpenSSH.

1. K přenosu souboru id_dsa privátního klíče (bez přípony) z klienta do adresáře v počítači se systémem Windows použijte nástroj, například WinSCP.
2. Spusťte program PuTTYgen.
3. V dialogovém okně Generátor klíčů PuTTY vyberte tlačítko Načíst a pak vyberte privátní klíč id_dsa , který jste přenesli z počítače se systémem UNIX nebo Linux.
4. Vyberte Uložit privátní klíč a název a uložte soubor do požadovaného adresáře.
5. Exportovaný soubor můžete použít v rámci účtu Spustit jako pro údržbu nakonfigurovaného pro scomusernebo při provádění úloh údržby prostřednictvím konzoly.

Účet uživatele scomuser můžete používat s klíčem SSH a zvýšením oprávnění sudo, když v průvodcích Operations Manageru zadáváte přihlašovací údaje, a také při konfiguraci účtů Spustit jako.

Důležité

Soubor PPK verze 2 je jedinou verzí aktuálně podporovanou nástrojem System Center Operations Manager.

Ve výchozím nastavení je PuTTYgen nastavený tak, aby používal soubor PPK verze 3. Verzi souboru PPK můžete změnit na 2 tak, že přejdete na panel nástrojů a vyberete Klíčové > parametry pro ukládání souborů klíčů... a pak vyberete přepínač 2 pro verzi souboru PPK.

Další kroky

• Přečtěte si téma Přihlašovací údaje, které musíte mít pro přístup k počítačům se systémy UNIX a Linux, abyste pochopili, jak ověřovat a monitorovat počítače se systémy UNIX a Linux.
• Pokud potřebujete překonfigurovat Operations Manager tak, aby používal jinou šifru, přečtěte si téma Konfigurace šifer SSL .