Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En los clústeres seguros, todos los usuarios de Microsoft Entra Domain Services pueden conectarse mediante SSH de forma predeterminada a los nodos principal y perimetral. Estos usuarios no forman parte del grupo de sudoers y no obtienen acceso a raíz. El usuario de SSH que se crea durante la creación del clúster tendrá acceso raíz.
Administración del acceso
Para modificar el acceso mediante SSH a usuarios o grupos específicos, actualice /etc/ssh/sshd_config
en cada uno de los nodos.
Use el comando SSH para conectarse al clúster. Edite el comando siguiente reemplazando CLUSTERNAME por el nombre del clúster y escriba el comando:
ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
Abra el archivo
ssh_confi
.sudo nano /etc/ssh/sshd_config
Modifique el archivo
sshd_config
según sea necesario. Si restringe los usuarios a determinados grupos, las cuentas locales no podrán conectarse mediante SSH a ese nodo. El siguiente comando es solo un ejemplo de sintaxis:AllowUsers useralias1 useralias2 AllowGroups groupname1 groupname2
Luego, guarde los cambios: Ctrl + X, S, Entrar.
Reinicie SSHD.
sudo systemctl restart sshd
Repita los pasos anteriores con cada nodo.
Registro de autenticación de SSH
El registro de autenticación de SSH se escribe en /var/log/auth.log
. Si observa algún error de inicio de sesión con cuentas locales o de dominio mediante SSH, debe examinar el registro para depurar los errores. Con frecuencia, el problema podría estar relacionado con cuentas de usuario específicas y, por lo general, es aconsejable probar otras cuentas de usuario o conectarse mediante SSH con el usuario SSH predeterminado (cuenta local) y, luego, intentar ejecutar kinit.
Registro de depuración de SSH
Para habilitar el registro detallado, deberá reiniciar sshd
con la opción -d
. Al igual que con /usr/sbin/sshd -d
, también puede ejecutar sshd
en un puerto personalizado (por ejemplo, 2222) para que no tenga que detener el demonio SSH principal. También puede usar la opción -v
con el cliente SSH para obtener más registros (vista del lado cliente de los errores).