Konfigurieren der Erhöhung der Rechte über „sudo“ und SSH-Schlüssel

Wichtig

Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.

Mit Operations Manager können Sie Anmeldeinformationen für ein nicht privilegiertes Konto angeben, das auf einem UNIX- oder Linux-Computer mit sudo mit erhöhten Rechten versehen wird, sodass der Benutzer Programme ausführen oder auf Dateien zugreifen kann, die über die Sicherheitsberechtigungen eines anderen Benutzerkontos verfügen. Für die Agent-Wartung können Sie auch SSH-Schlüssel (Secure Shell) anstelle eines Kennworts für die sichere Kommunikation zwischen Operations Manager und dem Zielcomputer verwenden.

Hinweis

Operations Manager unterstützt die auf SSH-Schlüsseln basierende Authentifizierung mit Schlüsseldateidaten im PuTTY Private Key-Format (PPK). Derzeit werden SSH v.1 RSA-Schlüssel und SSH v.2 RSA- und DSA-Schlüssel unterstützt.

Zum Abrufen und Konfigurieren des SSH-Schlüssels vom UNIX- und Linux-Computer benötigen Sie die folgende Software auf Ihrem Windows-basierten Computer:

  • Ein Dateiübertragungstool, z.B. WinSCP, zum Übertragen von Dateien vom UNIX- oder Linux-Computer auf den Windows-basierten Computer.
  • Das Programm PuTTY oder ein ähnliches Programm zum Ausführen von Befehlen auf dem UNIX- oder Linux-Computer.
  • Das Programm PuTTYgen zum Speichern des privaten SSH-Schlüssels im OpenSSH-Format auf dem Windows-basierten Computer.

Hinweis

Das sudo-Programm befindet sich an verschiedenen Stellen in UNIX- und Linux-Betriebssystemen. Um einen einheitlichen Zugriff auf „sudo“ bereitzustellen, erstellt das Skript für die Installation von Agents unter UNIX und Linux die symbolische Verknüpfung /etc/opt/microsoft/scx/conf/sudodir, um auf das Verzeichnis zu verweisen, das vermutlich das sudo-Programm enthalten wird. Der Agent verwendet dann diesen symbolischen Link, um sudo aufzurufen. Wenn der Agent installiert wird, wird dieser symbolische Link automatisch erstellt, es sind keine zusätzlichen Aktionen für STANDARD-UNIX- und Linux-Konfigurationen erforderlich. Wenn Sie sudo jedoch an einem nicht standardmäßigen Speicherort installiert haben, sollten Sie den symbolischen Link so ändern, dass er auf das Verzeichnis verweist, in dem sudo installiert ist. Wenn Sie die symbolische Verknüpfung ändern, wird deren Wert für Deinstallations-, Neuinstallations- und Upgradevorgänge mit dem Agent beibehalten.

Konfigurieren eines Kontos für sudo-Rechteerweiterung

Hinweis

Die in diesem Abschnitt bereitgestellten Informationen führen Sie durch die Konfiguration eines Beispielbenutzers ( scomuser) und gewähren diesem vollständige Rechte auf dem Clientcomputer.

Wenn Sie bereits über Benutzerkonten verfügen und/oder die Überwachung mit niedrigen Berechtigungen einrichten möchten, sind sudoers-Vorlagen verfügbar und erteilen nur die Berechtigungen, die für erfolgreiche Überwachungs- und Wartungsvorgänge erforderlich sind. Weitere Informationen finden Sie unter Sudoers-Vorlagen für die Rechteerweiterung in der UNIX/Linux-Überwachung.

Die folgenden Verfahren erstellen ein Konto und eine sudo-Erhöhung mithilfe scomuser von für einen Benutzernamen.

Erstellen eines Benutzers

  1. Melden Sie sich auf dem UNIX- oder Linux-Computer als an. root
  2. Fügen Sie den Benutzer hinzu: useradd scomuser
  3. Fügen Sie ein Kennwort hinzu, und bestätigen Sie das Kennwort: passwd scomuser

Jetzt können Sie die Erhöhung per „sudo“ konfigurieren und einen SSH-Schlüssel für scomuser erstellen, wie in den folgenden Verfahren beschrieben.

Konfigurieren der sudo-Rechteerweiterung für den Benutzer

  1. Melden Sie sich auf dem UNIX- oder Linux-Computer als an. root

  2. Verwenden Sie das Programm „visudo“, um die sudo-Konfiguration in einem vi-Text-Editor zu bearbeiten. Führen Sie den folgenden Befehl aus: visudo

  3. Suchen Sie die folgende Zeile: root ALL=(ALL) ALL

  4. Fügen Sie danach die folgende Zeile ein: scomuser ALL=(ALL) NOPASSWD: ALL

  5. Die TTY-Zuordnung wird nicht unterstützt. Stellen Sie sicher, dass die folgende Zeile auskommentiert ist: # Defaults requiretty

    Wichtig

    Dieser Schritt ist erforderlich, damit „sudo“ funktioniert.

  6. Speichern Sie die Datei, und beenden Sie das visudo-Programm:

    • Drücken Sie ESC dann : (colon) gefolgt von wq!, und drücken Sie Enter dann, um Die Änderungen zu speichern und ordnungsgemäß zu beenden.
  7. Testen Sie die Konfiguration, indem Sie die folgenden beiden Befehle eingeben. Es sollte ohne Aufforderung zur Kennworteingabe eine Auflistung des Verzeichnisses angezeigt werden:

    su - scomuser
    sudo ls /etc
    

Sie können jetzt mithilfe des Kennworts und der sudo-Erhöhung auf das scomuser Konto zugreifen, sodass Sie Anmeldeinformationen in Task- und Ermittlungs-Assistenten sowie in RunAs-Konten angeben können.

Erstellen eines SSH-Schlüssels zur Authentifizierung

Tipp

SSH-Schlüssel werden nur für Agent-Wartungsvorgänge und nicht für die Überwachung verwendet. Stellen Sie sicher, dass Sie den Schlüssel für den richtigen Benutzer erstellen, wenn Sie mehrere Konten verwenden.

Die folgenden Verfahren erstellen einen SSH-Schlüssel für das scomuser-Konto, das in den vorherigen Schritten erstellt wurde.

Generieren des SSH-Schlüssels

  1. Melden Sie sich als scomuseran.
  2. Generieren Sie den Schlüssel mithilfe des Digital Signature Algorithm (DSA)-Algorithmus: ssh-keygen -t dsa
    • Beachten Sie die optionale Passphrase, falls Sie diese angegeben haben.

Das Hilfsprogramm ssh-keygen erstellt das /home/scomuser/.ssh Verzeichnis mit der Datei id_dsa mit dem privaten Schlüssel und der Datei id_dsa.pub mit dem öffentlichen Schlüssel. Diese Dateien werden im folgenden Verfahren verwendet.

Konfigurieren eines Benutzerkontos zur Unterstützung des SSH-Schlüssels

  1. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein. So navigieren Sie zum Benutzerkontoverzeichnis: cd /home/scomuser
  2. Geben Sie exklusiven Besitzerzugriff auf das Verzeichnis an: chmod 700 .ssh
  3. Navigieren Sie zum SSH-Verzeichnis: cd .ssh
  4. Erstellen Sie eine datei mit autorisierten Schlüsseln mit dem öffentlichen Schlüssel: cat id_dsa.pub >> authorized_keys
  5. Erteilen Sie dem Benutzer Lese- und Schreibberechtigungen für die Datei mit autorisierten Schlüsseln: chmod 600 authorized_keys

Jetzt können Sie den privaten SSH-Schlüssel auf den Windows-basierten Computer kopieren, wie im nächsten Verfahren beschrieben.

Kopieren Des privaten SSH-Schlüssels auf den Windows-basierten Computer und Speichern im OpenSSH-Format

  1. Verwenden Sie ein Tool wie WinSCP, um die Datei id_dsa mit dem privaten Schlüssel (ohne Erweiterung) vom Client in ein Verzeichnis auf Ihrem Windows-basierten Computer zu übertragen.
  2. Führen Sie PuTTYgen aus.
  3. Wählen Sie im Dialogfeld PuTTY Key Generator die Schaltfläche Laden und dann den privaten Schlüssel id_dsa aus, den Sie vom UNIX- oder Linux-Computer übertragen haben.
  4. Wählen Sie Privaten Schlüssel und Namen speichern aus, und speichern Sie die Datei im gewünschten Verzeichnis.
  5. Sie können die exportierte Datei in einem Für konfigurierten Wartungs-RunAs-Konto scomuseroder beim Ausführen von Wartungstasks über die Konsole verwenden.

Sie können das scomuser-Konto verwenden, indem Sie den SSH-Schlüssel und die Erhöhung per „sudo“ verwenden, um Anmeldeinformationen in Operations Manager-Assistenten anzugeben und ausführende Konten zu konfigurieren.

Wichtig

PPK-Dateiversion 2 ist die einzige Version, die derzeit für System Center Operations Manager unterstützt wird.

Standardmäßig ist PuTTYgen auf die Verwendung der PPK-Datei Version 3 festgelegt. Sie können die PPK-Dateiversion in 2 ändern, indem Sie zur Symbolleiste wechseln und Schlüsselparameter > zum Speichern von Schlüsseldateien... auswählen und dann das Optionsfeld für 2 für PPK-Dateiversion auswählen.

Screenshot des PuTTY-Schlüsselgenerators, der zeigt, wo die PPK-Dateiversion für den privaten Schlüssel ausgewählt werden soll.

Nächste Schritte