Compartir a través de


Administración del acceso mediante SSH en cuentas de dominio en Azure HDInsight

En los clústeres seguros, todos los usuarios de Microsoft Entra Domain Services pueden conectarse mediante SSH de forma predeterminada a los nodos principal y perimetral. Estos usuarios no forman parte del grupo de sudoers y no obtienen acceso a raíz. El usuario de SSH que se crea durante la creación del clúster tendrá acceso raíz.

Administración del acceso

Para modificar el acceso mediante SSH a usuarios o grupos específicos, actualice /etc/ssh/sshd_config en cada uno de los nodos.

  1. Use el comando SSH para conectarse al clúster. Edite el comando siguiente reemplazando CLUSTERNAME por el nombre del clúster y escriba el comando:

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
    
  2. Abra el archivo ssh_confi.

    sudo nano /etc/ssh/sshd_config
    
  3. Modifique el archivo sshd_config según sea necesario. Si restringe los usuarios a determinados grupos, las cuentas locales no podrán conectarse mediante SSH a ese nodo. El siguiente comando es solo un ejemplo de sintaxis:

    AllowUsers useralias1 useralias2
    
    AllowGroups groupname1 groupname2
    

    Luego, guarde los cambios: Ctrl + X, S, Entrar.

  4. Reinicie SSHD.

    sudo systemctl restart sshd
    
  5. Repita los pasos anteriores con cada nodo.

Registro de autenticación de SSH

El registro de autenticación de SSH se escribe en /var/log/auth.log. Si observa algún error de inicio de sesión con cuentas locales o de dominio mediante SSH, debe examinar el registro para depurar los errores. Con frecuencia, el problema podría estar relacionado con cuentas de usuario específicas y, por lo general, es aconsejable probar otras cuentas de usuario o conectarse mediante SSH con el usuario SSH predeterminado (cuenta local) y, luego, intentar ejecutar kinit.

Registro de depuración de SSH

Para habilitar el registro detallado, deberá reiniciar sshd con la opción -d. Al igual que con /usr/sbin/sshd -d, también puede ejecutar sshd en un puerto personalizado (por ejemplo, 2222) para que no tenga que detener el demonio SSH principal. También puede usar la opción -v con el cliente SSH para obtener más registros (vista del lado cliente de los errores).

Pasos siguientes