Cómo configurar sudo elevación y claves SSH
Publicada: marzo de 2016
Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
A partir de System Center 2012 – Operations Manager, puede proporcionar credenciales para una cuenta sin privilegios ser elevada en un equipo UNIX o Linux mediante el programa sudo, que permite a los usuarios ejecutar programas que tienen los privilegios de seguridad de otra cuenta de usuario. También puede utilizar claves de Shell seguro (SSH) en lugar de una contraseña para la comunicación segura entre Operations Manager y el equipo de destino.
En este tema se proporcionan ejemplos para crear una cuenta para un usuario con pocos privilegios, implementar sudo y crear una clave SSH en un equipo que está ejecutando Red Hat Enterprise Linux Server 6. Estas son sólo ejemplos y podrían no reflejar su entorno. Los ejemplos siguientes proporcionan un usuario con acceso a un completo conjunto de privilegios.
Para obtener y configurar el SSH clave desde el equipo UNIX y Linux, deberá instalar el software siguiente en el equipo basado en Windows:
Herramienta de transferencia de archivos, como WinSCP, para transferir archivos desde el equipo UNIX o Linux para el equipo basado en Windows.
El programa PuTTY o un programa similar para ejecutar comandos en el equipo UNIX o Linux.
El programa PuTTYgen para guardar la clave privada de SHH en formato de OpenSSH en el equipo basado en Windows.
Nota
El programa de sudo existe en diferentes ubicaciones en sistemas operativos UNIX y Linux. Para proporcionar acceso uniforme a sudo, el script de instalación de agente de UNIX y Linux crea el vínculo simbólico /etc/opt/microsoft/scx/conf/sudodir para que apunte al directorio debe contener el programa sudo. El agente usa dicho vínculo simbólico para invocar sudo. La secuencia de comandos de instalación crea automáticamente el vínculo simbólico, por lo que no es necesario realizar ninguna acción sobre las configuraciones estándar de UNIX y Linux; Sin embargo, si tiene instalado en una ubicación no estándar de sudo, debe cambiar el vínculo simbólico para apuntar al directorio donde está instalado sudo. Si cambia el vínculo simbólico, su valor se conserva en desinstalar, reinstalar y operaciones con el agente de actualización de.
Configurar una cuenta con pocos privilegios para la elevación de sudo
Los procedimientos siguientes crean una elevación de sudo y de cuenta con pocos privilegios mediante el uso de opsuser para un nombre de usuario.
Para crear un usuario con pocos privilegios
-
Inicie sesión en el equipo UNIX o Linux como root.
-
Agregue el usuario:
useradd opsuser
-
Agregar una contraseña y confirme la contraseña:
passwd opsuser
Ahora puede configurar la elevación sudo y crear una clave SSH para opsuser, como se describe en los procedimientos siguientes.
Para configurar la elevación de sudo para el usuario con pocos privilegios
-
Inicie sesión en el equipo UNIX o Linux como root.
-
Utilice el programa visudo para editar la configuración de sudo en un editor de texto vi. Ejecute el comando siguiente:
visudo
-
Busque la línea siguiente:
root ALL=(ALL) ALL
-
Inserte la siguiente línea después de él:
opsuser ALL=(ALL) NOPASSWD: ALL
-
No se admite la asignación de TTY. Asegúrese de que está marcado como comentario la línea siguiente:
# Defaults requiretty
Importante Este paso es necesario para sudo a trabajar.
-
Guarde el archivo y salga de visudo:
Presione ESC +: (dos puntos) seguido por wq!, y, a continuación, presione ENTRAR.
-
Probar la configuración escribiendo en los dos comandos siguientes. El resultado debería ser una lista del directorio sin que se le pida una contraseña:
su - opsuser
sudo ls /etc
Puede utilizar la opsuser cuenta con la elevación de sudo y la contraseña para especificar las credenciales de los asistentes de Operations Manager y para configurar las cuentas de ejecución.
Crear una clave SSH para la autenticación
Los procedimientos siguientes crean una clave SSH para la opsuser cuenta creada en los ejemplos anteriores.
Para generar la clave SSH
-
Inicie sesión como opsuser.
-
Generar la clave mediante el algoritmo de algoritmo de firma Digital (DSA):
ssh-keygen –t dsa
Tenga en cuenta la frase de contraseña opcional si se proporciona.
El ssh-keygen crea el /home/opsuser/.ssh directorio con el archivo de clave privada (id_dsa) y el archivo de clave público (id_dsa.pub). Ahora puede configurar la clave para ser compatible con opsuser tal como se describe en el procedimiento siguiente.
Para configurar una cuenta de usuario para admitir la clave SSH
-
En el símbolo del sistema, escriba los siguientes comandos. Para navegar hasta el directorio de la cuenta de usuario:
cd /home/opsuser
-
Especificar el acceso de propietario exclusivo en el directorio:
chmod 700 .ssh
-
Desplácese al directorio .ssh:
cd .ssh
-
Cree un archivo de claves autorizados con la clave pública:
cat id_dsa.pub >> authorized_keys
-
Asigne la lectura de usuario y permisos de escritura en el archivo de claves autorizado:
chmod 600 authorized_keys
Ahora puede copiar la clave privada de SSH en el equipo basado en Windows, como se describe en el procedimiento siguiente.
Para copiar la clave privada de SSH en el equipo basado en Windows y guardar en formato OpenSSH
-
Usar una herramienta como WinSCP, para transferir el archivo de clave privada (id_dsa : sin extensión) del equipo UNIX o Linux a un directorio en el equipo basado en Windows.
-
Ejecute PuTTYgen.
-
En el Generador de claves de PuTTY cuadro de diálogo, haga clic en el carga y a continuación, seleccione la clave privada (id_dsa) que transfiere desde el equipo UNIX o Linux.
-
Haga clic en clave privada de guardar especifique un nombre y guarde el archivo en el directorio que desee.
Puede utilizar la opsuser cuenta con la elevación de sudo y de clave SSH para especificar las credenciales de los asistentes de Operations Manager y para configurar las cuentas de ejecución.
Vea también
Cómo establecer las credenciales para obtener acceso a equipos de Linux y UNIX
Accessing UNIX and Linux Computers in Operations Manager (Acceso a equipos UNIX y Linux desde Operations Manager)
Credenciales necesarias para tener acceso a equipos UNIX y Linux
Capacidades requeridas para cuentas UNIX y Linux
Configuración de cifrado SSL