Sudo Erhöhung und SSH-Schlüssel konfigurieren.
Veröffentlicht: März 2016
Betrifft: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Beginnend mit System Center 2012 – Operations Manager, Sie können Anmeldeinformationen für ein nicht privilegiertes Konto auf einem UNIX- oder Linux-Computer mit dem Sudo-Programm, mit dem Benutzer, Programme auszuführen, die Sicherheitsberechtigungen eines anderen Benutzerkontos erhöht werden sollen. Sie können auch Secure Shell (SSH)-Schlüssel anstelle eines Kennworts für eine sichere Kommunikation zwischen Operations Manager und dem Zielcomputer verwenden.
Dieses Thema enthält Beispiele für ein Konto für einen Benutzer mit geringen Berechtigungen erstellen, implementieren Sudo und erstellen einen SSH-Schlüssel auf einem Computer, auf der Red Hat Enterprise Linux Server 6 ausgeführt wird. Diese sind ausschließlich Beispiele und Ihrer Umgebung möglicherweise nicht wider. Die folgenden Beispiele sind einen Benutzer mit Zugriff auf einen vollständigen Satz an Berechtigungen.
Zum Abrufen und Konfigurieren der SSH muss Schlüssel vom UNIX- und Linux-Computer, auf dem Windows-basierten Computer die folgende Software installieren:
Ein Transfer Tool, wie z. B. WinSCP, zum Übertragen von Dateien aus dem UNIX- oder Linux-Computer mit der Windows-basierten Computer.
Das PuTTY-Programm oder ein ähnliches Programm, um Befehle auf dem UNIX- oder Linux-Computer auszuführen.
Das PuTTYgen-Programm auf dem Windows-basierten Computer den privaten Schlüssel für die SHH OpenSSH-Format zu speichern.
Hinweis |
---|
An verschiedenen Standorten auf UNIX- und Linux-Betriebssystemen ist das Programm "sudo" vorhanden. Um einheitlichen Zugriff auf Sudo bereitzustellen, erstellt das Installationsskript UNIX- und Linux-Agent die symbolische Verknüpfung /etc/opt/microsoft/scx/conf/sudodir zu dem Verzeichnis erwartet, dass das Programm "sudo" enthält. Der Agent verwendet diese symbolische Verknüpfung Sudo aufrufen. Das Installationsskript erstellt automatisch die symbolische Verknüpfung, daher Sie nicht auf UNIX- und Linux-Standardkonfigurationen Maßnahmen ergreifen müssen. jedoch wenn Sie Sudo an einem nicht standardmäßigen Speicherort installiert haben, sollten Sie ändern die symbolische Verknüpfung auf das Verzeichnis, Sudo installiert ist. Der Wert wird beibehalten, wenn Sie die symbolische Verknüpfung ändern, über deinstallieren, neu installieren und Aktualisieren von Vorgängen mit dem Agent. |
Konfigurieren eines Kontos mit geringen Berechtigungen für Sudo Elevation
Die folgenden Verfahren erstellen Sie ein gering privilegiertes Konto und Sudo erhöhte Rechte mithilfe von opsuser für einen Benutzernamen an.
Zum Erstellen eines Benutzers mit niedrigen Berechtigungen
-
Melden Sie sich bei dem UNIX- oder Linux-Computer als root.
-
Fügen Sie Benutzer hinzu:
useradd opsuser
-
Fügen Sie ein Kennwort ein, und bestätigen Sie das Kennwort:
passwd opsuser
Sie können jetzt Sudo Elevation konfigurieren und erstellen Sie einen SSH-Schlüssel für opsuser, wie in den folgenden Verfahren beschrieben.
So konfigurieren Sie Sudo für erhöhte Rechte für den Benutzer mit niedrigen Berechtigungen
-
Melden Sie sich bei dem UNIX- oder Linux-Computer als root.
-
Verwenden Sie das Programm Visudo, um die Sudo-Konfiguration in einem Texteditor vi bearbeiten. Führen Sie den folgenden Befehl aus:
visudo
-
Suchen Sie die folgende Zeile:
root ALL=(ALL) ALL
-
Fügen Sie die folgende Zeile nach dem:
opsuser ALL=(ALL) NOPASSWD: ALL
-
TTY-Zuordnung wird nicht unterstützt. Stellen Sie sicher, dass die folgende Zeile auskommentiert ist:
# Defaults requiretty
Wichtig Dieser Schritt ist erforderlich, damit Sudo arbeiten.
-
Speichern Sie die Datei, und beenden Sie Visudo:
Drücken Sie die ESC-Taste +: (Doppelpunkt), gefolgt von wq!, und drücken Sie dann die EINGABETASTE.
-
Testen Sie die Konfiguration, indem Sie in die folgenden beiden Befehle eingeben. Das Ergebnis sollte eine Liste des Verzeichnisses ohne Aufforderung zur Eingabe eines Kennworts sein:
su - opsuser
sudo ls /etc
Sie können die opsuser Konto mithilfe der Kennwort- und Sudo Elevation für die Angabe von Anmeldeinformationen in Operations Manager-Assistenten und Konfigurieren von Ausführenden Konten.
Erstellen Sie einen SSH-Schlüssel für die Authentifizierung
Die folgenden Verfahren erstellen Sie einen SSH-Schlüssel für die opsuser an, das in den vorherigen Beispielen erstellt wurde.
Um den SSH-Schlüssel zu generieren.
-
Melden Sie sich als opsuser.
-
Generieren des Schlüssels mit dem Algorithmus Digital Signature Algorithm (DSA):
ssh-keygen –t dsa
Beachten Sie das optionale Kennwort, wenn Sie diese Option angegeben.
Der ssh-keygen erstellt die /home/opsuser/.ssh Verzeichnis mit der Datei mit dem privaten Schlüssel (id_dsa) und eine Datei mit dem öffentlichen Schlüssel (id_dsa.pub). Sie können jetzt den Schlüssel vom unterstützt konfigurieren opsuser wie in der nächsten Prozedur beschrieben.
So konfigurieren Sie ein Benutzerkonto zur Unterstützung des SSH-Schlüssels
-
Geben Sie die folgenden Befehle an der Befehlszeile. Navigieren Sie zu dem Benutzer Konto-Verzeichnis:
cd /home/opsuser
-
Geben Sie die Besitzer der exklusive Zugriff auf das Verzeichnis:
chmod 700 .ssh
-
Navigieren Sie zum Verzeichnis .ssh:
cd .ssh
-
Erstellen Sie eine autorisierte Schlüssel-Datei mit dem öffentlichen Schlüssel:
cat id_dsa.pub >> authorized_keys
-
Geben Sie die Benutzer Lese- und Schreibberechtigungen für die Datei autorisierten Schlüssel:
chmod 600 authorized_keys
Jetzt können Sie den privaten SSH-Schlüssel auf den Windows-basierten Computer kopieren, wie in der nächsten Prozedur beschrieben.
Den privaten SSH-Schlüssel auf dem Windows-basierten Computer kopieren und in OpenSSH-Format speichern
-
Verwenden Sie ein Tool wie WinSCP, um eine Datei mit dem privaten Schlüssel zu übertragen (id_dsa – ohne Erweiterung) aus dem UNIX- oder Linux-Computer in ein Verzeichnis auf Ihrem Windows-basierten Computer.
-
Führen Sie PuTTYgen.
-
In der PuTTY-Schlüssel-Generator (Dialogfeld), klicken Sie auf die Load Schaltfläche, und wählen Sie den privaten Schlüssel (id_dsa), die Sie aus dem UNIX- oder Linux-Computer übertragen.
-
Klicken Sie auf Speichern privater Schlüssel und benennen und speichern Sie die Datei in das gewünschte Verzeichnis.
Sie können die opsuser Konto mithilfe der SSH-Schlüssel und Sudo Elevation zum Angeben von Anmeldeinformationen in Operations Manager-Assistenten und zum Konfigurieren von Ausführenden Konten.
Siehe auch
Gewusst wie: Festlegen von Anmeldeinformationen für den Zugriff auf UNIX und Linux-Computern
Accessing UNIX and Linux Computers in Operations Manager (Zugriff auf UNIX- und Linux-Computer in Operations Manager)
Anmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer
Erforderliche Eigenschaften von UNIX- und Linux-Konten
Konfigurieren von SSL-Verschlüsselungen