Compartir a través de

Configurar la elevación de sudo y las claves SSH

Con Operations Manager, puedes proporcionar credenciales para que una cuenta sin privilegios sea elevada en un equipo UNIX o Linux mediante sudo, lo que permite al usuario ejecutar programas o acceder a archivos que tienen los privilegios de seguridad de otra cuenta de usuario. Para el mantenimiento del agente, también tienes la capacidad de usar claves de Secure Shell (SSH) en lugar de una contraseña para una comunicación segura entre Operations Manager y el equipo de destino.

Nota:

Operations Manager admite la autenticación basada en claves SSH con datos de archivo de claves en el formato de clave privada de PuTTY (PPK). Actualmente admite claves RSA de SSH v.1 y claves RSA y DSA de SSH v.2.

Para obtener y configurar la clave SSH desde el equipo UNIX y Linux, necesitas el siguiente software en el equipo basado en Windows:

  • Una herramienta de transferencia de archivos, como WinSCP, para transferir archivos desde el equipo UNIX o Linux al equipo basado en Windows.
  • El programa PuTTY, o un programa similar, para ejecutar comandos en el equipo UNIX o Linux.
  • El programa PuTTYgen para guardar la clave SHH privada en formato OpenSSH en el equipo basado en Windows.

Nota:

El programa sudo existe en diferentes ubicaciones en sistemas operativos UNIX y Linux. Para proporcionar acceso uniforme a sudo, el script de instalación del agente para UNIX y Linux crea un vínculo simbólico /etc/opt/microsoft/scx/conf/sudodir que apunta al directorio donde se espera que se encuentre el programa sudo. El agente utiliza entonces este enlace simbólico para invocar sudo. Cuando el agente se instala, este vínculo simbólico se crea automáticamente, no se requieren acciones adicionales en las configuraciones estándar de UNIX y Linux. Sin embargo, si tienes sudo instalado en una ubicación no estándar, debes cambiar el vínculo simbólico para que apunte al directorio donde está instalado sudo. Si cambias el vínculo simbólico, su valor se conserva en las operaciones de desinstalación, reinstalación y actualización con el agente.

Configurar una cuenta para la elevación de sudo

Nota:

La información proporcionada en esta sección te guía a través de la configuración de un usuario de ejemplo, scomuser, y te concede derechos completos en el equipo cliente.

Si ya dispone de cuentas de usuario y/o desea configurar la supervisión Low Privilege, existen plantillas de sudoers que conceden únicamente los permisos necesarios para realizar correctamente las operaciones de supervisión y mantenimiento. Para obtener más información, consulte: Plantillas sudoers para elevación en monitoreo UNIX/Linux

Los siguientes procedimientos crean una cuenta y elevación sudo utilizando scomuser para un nombre de usuario.

Creación de un usuario

  1. Inicie sesión en un ordenador UNIX o Linux como root
  2. Agrega el usuario: useradd scomuser
  3. Agrega una contraseña y confírmala: passwd scomuser

Ahora puede configurar la elevación sudo y crear una clave SSH para scomuser, como se describe en los siguientes procedimientos.

Configure la elevación sudo para el usuario

  1. Inicie sesión en un ordenador UNIX o Linux como root

  2. Utilice el programa visudo para editar la configuración sudo en un editor de texto vi. Ejecute el siguiente comando: visudo

  3. Busca la línea siguiente: root ALL=(ALL) ALL

  4. Inserta la siguiente línea a continuación: scomuser ALL=(ALL) NOPASSWD: ALL

  5. La asignación TTY no está soportada. Asegúrese de que la siguiente línea está comentada: # Defaults requiretty

    Importante

    Este paso es necesario para que sudo funcione.

  6. Guarde el archivo y salga de visudo:

    • Presiona ESC, : (colon) y, a continuación, wq! y presiona Enter para guardar los cambios y salir correctamente.

  7. Prueba la configuración introduciendo los dos comandos siguientes. El resultado debe ser una lista del directorio sin que se te solicite una contraseña:

    su - scomuser
sudo ls /etc

Ahora puede acceder a la cuenta scomuser utilizando su contraseña y la elevación de sudo, lo que le permite especificar credenciales en los asistentes de tareas y descubrimiento, y dentro de las cuentas RunAs.

Creación de una clave SSH para la autenticación

Sugerencia

Las claves SSH solo se usan para las operaciones de mantenimiento del agente y no se usan para la supervisión, asegúrate de que estás creando la clave para el usuario correcto si usas varias cuentas.

Los procedimientos siguientes crean una clave SSH para la cuenta scomuser que se creó en los ejemplos anteriores.

Generación de la clave SSH

  1. Inicia sesión como scomuser.
  2. Genera la clave mediante el algoritmo de firma digital (DSA): ssh-keygen -t dsa
    • Ten en cuenta la frase de contraseña opcional si la proporcionaste.

La utilidad ssh-keygen crea el directorio /home/scomuser/.ssh con el archivo de clave privada id_dsa y el archivo de clave pública id_dsa.pub dentro; estos archivos se usan en el procedimiento siguiente.

Configuración de una cuenta de usuario para admitir la clave SSH

  1. En el símbolo del sistema, escriba los siguientes comandos. Para ir al directorio de la cuenta de usuario: cd /home/scomuser
  2. Especifica el acceso de propietario exclusivo al directorio: chmod 700 .ssh
  3. Accede al directorio .ssh: cd .ssh
  4. Crea un archivo de claves autorizadas con la clave pública: cat id_dsa.pub >> authorized_keys
  5. Concede al usuario permisos de lectura y escritura para el archivo de claves autorizadas: chmod 600 authorized_keys

Ahora puede copiar la clave SSH privada en el equipo basado en Windows, como se describe en el procedimiento siguiente.

Copia de la clave SSH privada en el equipo basado en Windows y almacenamiento en formato OpenSSH

  1. Usa una herramienta, como WinSCP, para transferir el archivo de clave privada id_dsa (sin extensión) del cliente a un directorio en el equipo basado en Windows.
  2. Ejecuta PuTTYgen.
  3. En el cuadro de diálogo PuTTY Key Generator, selecciona el botón Cargar y luego selecciona la clave privada id_dsa que has transferido desde el equipo UNIX o Linux.
  4. Selecciona Guardar clave privada y asigna un nombre al archivo y guárdalo en el directorio deseado.
  5. Puedes usar el archivo exportado dentro de una cuenta de ejecución de mantenimiento configurada para scomuser o al realizar tareas de mantenimiento a través de la consola.

Puede utilizar la cuenta scomuser utilizando la clave SSH y la elevación sudo para especificar credenciales en los asistentes de Operations Manager y para configurar cuentas RunAs.

Importante

La versión 2 del archivo PPK es la única versión compatible actualmente con System Center Operations Manager.

De forma predeterminada, PuTTYgen se configura para usar la versión 3 del archivo PPK. Puedes cambiar a la versión 2 del archivo PPK; para ello, ve a la barra de herramientas y selecciona Clave > Parámetros para guardar archivos de clave y luego selecciona el botón de radio de la versión 2 del archivo PPK.

Captura de pantalla de PuTTY Key Generator que muestra dónde seleccionar la versión del archivo PPK para la clave privada.

Pasos siguientes