Sdílet prostřednictvím

Konfigurace zvýšení oprávnění sudo a klíčů SSH

Pomocí nástroje Operations Manager můžete zadat přihlašovací údaje pro neprivilegovaný účet, který se má zvýšit na počítači se systémem UNIX nebo Linux pomocí příkazu sudo, což uživateli umožňuje spouštět programy nebo přistupovat k souborům, které mají oprávnění zabezpečení jiného uživatelského účtu. Pro údržbu agentů máte také možnost používat klíče Secure Shell (SSH) místo hesla pro zabezpečenou komunikaci mezi Operations Managerem a cílovým počítačem.

Poznámka:

Operations Manager podporuje ověřování na základě klíče SSH s daty souborů klíčů ve formátu PUTTY Private Key (PPK). Aktuálně podporuje klíče RSA SSH v.1 a klíče RSA s protokolem SSH v.2 a DSA.

K získání a konfiguraci klíče SSH z počítače se systémy UNIX a Linux potřebujete na počítači se systémem Windows následující software:

  • Nástroj pro přenos souborů, například WinSCP, pro přenos souborů z počítače se systémem UNIX nebo Linux do počítače se systémem Windows.
  • Program PuTTY nebo podobný program ke spouštění příkazů na počítači se systémy UNIX nebo Linux.
  • Program PuTTYgen umožňuje uložit soukromý klíč SSH ve formátu OpenSSH na počítači se systémem Windows.

Poznámka:

Program sudo existuje v různých umístěních v operačních systémech UNIX a Linux. Aby bylo k serveru sudo zajištěn jednotný přístup, instalační skript agenta systému UNIX a Linux vytvoří symbolický odkaz /etc/opt/microsoft/scx/conf/sudodir , který bude odkazovat na adresář, který má obsahovat program sudo. Agent pak pomocí tohoto symbolického odkazu vyvolá sudo. Když je agent nainstalován tento symbolický odkaz je vytvořen automaticky, nejsou vyžadovány žádné další akce pro standardní konfigurace systémů UNIX a Linux; Pokud však máte sudo nainstalovaný v nestandardním umístění, měli byste změnit symbolický odkaz tak, aby odkazoval na adresář, na kterém je nainstalován sudo. Pokud změníte symbolický odkaz, jeho hodnota se zachová v rámci operací odinstalace, opětovné instalace a upgradu s agentem.

Konfigurace účtu pro zvýšení oprávnění sudo

Poznámka:

Informace uvedené v této části vás provedou konfigurací ukázkového uživatele scomusera udělí mu úplná práva na klientském počítači.

Pokud už máte uživatelské účty nebo chcete nastavit monitorování nízkých oprávnění , jsou k dispozici šablony sudoers a udělují pouze oprávnění potřebná k úspěšným operacím monitorování a údržby. Další informace najdete v tématu: Šablony Sudoers pro zvýšení úrovně v monitorování systémů UNIX/Linux

Následující postupy vytvoří účet a zvýšení oprávnění sudo pomocí scomuser uživatelského jména.

Vytvoření uživatele

  1. Přihlaste se k počítači se systémem UNIX nebo Linux jako root
  2. Přidejte uživatele: useradd scomuser
  3. Přidejte heslo a potvrďte heslo: passwd scomuser

Teď můžete nakonfigurovat zvýšení oprávnění sudo a vytvořit klíč SSH pro scomuser, jak je popsáno v následujících postupech.

Konfigurace zvýšení oprávnění sudo pro uživatele

  1. Přihlaste se k počítači se systémem UNIX nebo Linux jako root

  2. Pomocí programu visudo upravte konfiguraci sudo v textovém editoru vi. Spusťte následující příkaz: visudo.

  3. Najděte následující řádek: root ALL=(ALL) ALL

  4. Za něj vložte následující řádek: scomuser ALL=(ALL) NOPASSWD: ALL

  5. Přidělení TTY není podporováno. Ujistěte se, že je následující řádek okomentován: # Defaults requiretty

    Důležité

    Tento krok je nutný k tomu, aby sudo fungoval.

  6. Uložte soubor a ukončete visudo:

    • Stiskněte ESC, poté : (colon), následně wq!, a pak stiskněte Enter pro uložení změn a ukončení bez problémů.

  7. Otestujte konfiguraci zadáním následujících dvou příkazů. Výsledkem by měl být výpis adresáře bez výzvy k zadání hesla:

    su - scomuser
sudo ls /etc

Teď můžete přistupovat k účtu scomuser pomocí hesla a zvýšených oprávnění sudo, což vám umožňuje zadat přihlašovací údaje v průvodcích úkolů a zjišťování a v rámci účtů RunAs.

Vytvoření klíče SSH pro ověřování

Návod

Klíče SSH se používají jenom pro operace údržby agentů a nepoužívají se k monitorování, ujistěte se, že vytváříte klíč pro správného uživatele, pokud používáte více účtů.

Následující postupy vytvoří klíč SSH pro scomuser účet vytvořený v předchozích příkladech.

Vygenerování klíče SSH

  1. Přihlaste se jako scomuser.
  2. Vygenerujte klíč pomocí algoritmu DSA (Digital Signature Algorithm): ssh-keygen -t dsa
    • Všimněte si volitelného přístupového hesla, pokud jste ho zadali.

Nástroj ssh-keygen vytvoří /home/scomuser/.ssh adresář se souborem id_dsa privátního klíče a souborem id_dsa.pub veřejného klíče uvnitř, tyto soubory se používají v následujícím postupu.

Konfigurace uživatelského účtu pro podporu klíče SSH

  1. Na příkazovém řádku zadejte následující příkazy. Přejděte do adresáře uživatelských účtů: cd /home/scomuser
  2. Zadejte výhradní přístup vlastníka k adresáři: chmod 700 .ssh
  3. Přejděte do adresáře .ssh: cd .ssh
  4. Vytvořte soubor autorizovaných klíčů s veřejným klíčem: cat id_dsa.pub >> authorized_keys
  5. Udělte uživateli oprávnění ke čtení a zápisu do souboru autorizovaných klíčů: chmod 600 authorized_keys

Privátní klíč SSH teď můžete zkopírovat do počítače se systémem Windows, jak je popsáno v dalším postupu.

Zkopírujte privátní klíč SSH do počítače se systémem Windows a uložte ho ve formátu OpenSSH.

  1. Pomocí nástroje, jako je WinSCP, přeneste soubor id_dsa privátního klíče (bez přípony) z klienta do adresáře na počítači se systémem Windows.
  2. Spusťte puttygen.
  3. V dialogovém okně Generátor klíčů PuTTY vyberte tlačítko Načíst a pak vyberte privátní klíč id_dsa , který jste přenesli z počítače se systémem UNIX nebo Linux.
  4. Vyberte Uložit privátní klíč a název a uložte soubor do požadovaného adresáře.
  5. Exportovaný soubor můžete použít v rámci RunAs účtu nakonfigurovaného pro scomuser, nebo při provádění úloh údržby přes konzoli.

Účet scomuser můžete používat pomocí klíče SSH a povýšení oprávnění pomocí sudo k zadání přihlašovacích údajů v průvodcích Operations Manageru a ke konfiguraci účtů Run As.

Důležité

Soubor PPK verze 2 je jedinou verzí, která se v současné době podporuje v nástroji System Center Operations Manager.

Ve výchozím nastavení je PuTTYgen nastavený tak, aby používal soubor PPK verze 3. Verzi souboru PPK můžete změnit na 2 tak, že přejdete na panel nástrojů a vyberete Klíčové > parametry pro ukládání souborů klíčů... a pak vyberte přepínač pro verzi souboru PPK 2.

Snímek obrazovky s generátorem klíčů PuTTY ukazující, kde vybrat verzi souboru PPK pro privátní klíč

Další kroky