Partager via


Gérer l’accès SSH pour les comptes de domaine dans Azure HDInsight

Sur les clusters sécurisés, tous les utilisateurs de domaine dans Microsoft Entra Domain Services sont, par défaut, autorisés à établir une connexion SSH dans les nœuds principaux et les nœuds de périphérie. Ces utilisateurs ne font pas partie du groupe sudoers et n’obtiennent pas d’accès racine. L’utilisateur SSH créé lors de la création du cluster a un accès racine.

Gérer l’accès

Pour modifier l’accès SSH à des utilisateurs ou groupes spécifiques, mettez à jour /etc/ssh/sshd_config sur chacun des nœuds.

  1. Utilisez la commande ssh pour vous connecter à votre cluster. Modifiez la commande suivante en remplaçant CLUSTERNAME par le nom de votre cluster, puis entrez la commande :

    ssh sshuser@CLUSTERNAME-ssh.azurehdinsight.net
    
  2. Ouvrez le fichier ssh_config.

    sudo nano /etc/ssh/sshd_config
    
  3. Modifiez le fichier sshd_config comme vous le souhaitez. Si vous limitez les utilisateurs à certains groupes, les comptes locaux ne peuvent pas établir de connexion SSH à ce nœud. La commande suivante n’est qu’un exemple de syntaxe :

    AllowUsers useralias1 useralias2
    
    AllowGroups groupname1 groupname2
    

    Enregistrez ensuite les changements apportés : Ctrl + X, O, Entrée.

  4. Redémarrez SSHD.

    sudo systemctl restart sshd
    
  5. Répétez les étapes ci-dessus pour chaque nœud.

Journal d’authentification SSH

Le journal d’authentification SSH est écrit dans /var/log/auth.log. Si vous constatez des échecs de connexion via SSH pour des comptes locaux ou de domaine, vous devez parcourir le journal pour déboguer les erreurs. Souvent, le problème peut être lié à des comptes d’utilisateur spécifiques, et il est généralement conseillé d’essayer d’autres comptes d’utilisateur ou SSH avec l’utilisateur SSH par défaut (compte local), puis de tenter un kinit.

Journal de débogage SSH

Pour activer la journalisation détaillée, vous devez redémarrer sshd avec l’option -d. Par exemple, /usr/sbin/sshd -d. Vous pouvez également exécuter sshd sur un port personnalisé (comme 2222) afin de ne pas avoir à arrêter le démon SSH principal. Vous pouvez également utiliser l’option -v avec le client SSH pour obtenir davantage de journaux (vue côté client des défaillances).

Étapes suivantes