Comment configurer l’élévation sudo et les clés SSH
Important
Cette version d’Operations Manager a atteint la fin du support. Nous vous recommandons de mettre à niveau vers Operations Manager 2022.
Avec Operations Manager, vous pouvez fournir des informations d’identification pour qu’un compte non privilégié soit élevé sur un ordinateur UNIX ou Linux à l’aide de sudo, ce qui permet à l’utilisateur d’exécuter des programmes ou d’accéder à des fichiers qui disposent des privilèges de sécurité d’un autre compte d’utilisateur. Pour la maintenance de l’agent, vous avez également la possibilité d’utiliser des clés SSH (Secure Shell) au lieu d’un mot de passe pour sécuriser la communication entre Operations Manager et l’ordinateur ciblé.
Notes
Operations Manager prend en charge l’authentification basée sur une clé SSH avec les données de fichier de clé au format de clé privée PuTTY (PPK). Prend actuellement en charge les clés RSA SSH v.1 et les clés RSA et DSA SSH v.2.
Pour obtenir et configurer la clé SSH à partir de l’ordinateur UNIX et Linux, vous avez besoin des logiciels suivants sur votre ordinateur Windows :
- Un outil de transfert de fichiers, tel que WinSCP, pour transférer les fichiers de l’ordinateur UNIX ou Linux vers l’ordinateur Windows.
- Le programme PuTTY, ou un programme similaire, pour exécuter les commandes sur l’ordinateur UNIX ou Linux.
- Le programme PuTTYgen pour enregistrer la clé SSH privée au format OpenSSH sur l’ordinateur Windows.
Notes
Le programme sudo se trouve à différents emplacements sur les systèmes d’exploitation UNIX et Linux. Pour faciliter l’accès au programme sudo, le script d’installation de l’agent UNIX et Linux crée le lien symbolique /etc/opt/microsoft/scx/conf/sudodir
qui pointe vers le répertoire devant contenir le programme sudo. L’agent utilise ensuite ce lien symbolique pour appeler sudo.
Lorsque l’agent est installé, ce lien symbolique est créé automatiquement, aucune action supplémentaire n’est requise sur les configurations UNIX et Linux standard ; toutefois, si sudo est installé à un emplacement non standard, vous devez modifier le lien symbolique pour pointer vers le répertoire où sudo est installé. Si vous modifiez le lien symbolique, le nouveau lien est conservé et utilisé dans les opérations de désinstallation, de réinstallation et de mise à niveau de l’agent.
Configurer un compte pour l’élévation sudo
Notes
Les informations fournies dans cette section guident la configuration d’un exemple d’utilisateur, scomuser
, et lui accordent des droits complets sur l’ordinateur client.
Si vous disposez déjà de comptes d’utilisateur et/ou que vous souhaitez configurer la surveillance à faible privilège , les modèles de sudoers sont disponibles et accordent uniquement les autorisations nécessaires pour des opérations de supervision et de maintenance réussies. Pour plus d’informations, consultez : Modèles Sudoers pour l’élévation dans la supervision UNIX/Linux
Les procédures suivantes créent un compte et une élévation sudo à l’aide scomuser
d’un nom d’utilisateur.
Créer un utilisateur
- Connectez-vous à l’ordinateur UNIX ou Linux en tant que
root
- Ajoutez l’utilisateur :
useradd scomuser
- Ajoutez un mot de passe et confirmez le mot de passe :
passwd scomuser
Vous pouvez maintenant configurer l’élévation sudo et créer une clé SSH pour scomuser
, comme décrit dans les procédures suivantes.
Configurer l’élévation sudo pour l’utilisateur
Connectez-vous à l’ordinateur UNIX ou Linux en tant que
root
Utilisez le programme visudo pour modifier la configuration sudo dans un éditeur de texte vi. Exécutez la commande suivante :
visudo
Recherchez la ligne suivante :
root ALL=(ALL) ALL
Insérez la ligne suivante après :
scomuser ALL=(ALL) NOPASSWD: ALL
L’allocation TTY n’est pas prise en charge. Vérifiez que la ligne suivante est commentée :
# Defaults requiretty
Important
Cette étape est indispensable pour que le programme sudo fonctionne.
Enregistrez le fichier et quittez visudo :
- Appuyez
ESC
ensuite: (colon)
surwq!
, puis appuyezEnter
sur pour enregistrer vos modifications et quitter correctement.
- Appuyez
Testez la configuration en entrant les deux commandes suivantes. Le contenu du répertoire doit s’afficher sans demande de mot de passe :
su - scomuser sudo ls /etc
Vous pouvez désormais accéder au compte à l’aide scomuser
de son mot de passe et de son élévation sudo, ce qui vous permet de spécifier des informations d’identification dans les Assistants de tâche et de découverte, ainsi que dans les comptes d’identification.
Créer une clé SSH pour l’authentification
Conseil
Les clés SSH sont utilisées uniquement pour les opérations de maintenance de l’agent et ne sont pas utilisées pour la surveillance. Assurez-vous que vous créez la clé pour l’utilisateur approprié si vous utilisez plusieurs comptes.
Les procédures suivantes créent une clé SSH pour le compte scomuser
qui a été créé dans les exemples précédents.
Générer la clé SSH
- Connectez-vous en tant que
scomuser
. - Générez la clé à l’aide de l’algorithme DSA (Digital Signature Algorithm) :
ssh-keygen -t dsa
- Notez la phrase secrète (facultative) si vous en indiquez une.
L’utilitaire ssh-keygen crée le /home/scomuser/.ssh
répertoire avec le fichier id_dsa
de clé privée et le fichier id_dsa.pub
de clé publique à l’intérieur. Ces fichiers sont utilisés dans la procédure suivante.
Configurer un compte d’utilisateur pour prendre en charge la clé SSH
- À l’invite de commandes, tapez les commandes suivantes. Pour accéder au répertoire du compte d’utilisateur :
cd /home/scomuser
- Spécifiez un accès propriétaire exclusif au répertoire :
chmod 700 .ssh
- Accédez au répertoire .ssh :
cd .ssh
- Créez un fichier de clés autorisées avec la clé publique :
cat id_dsa.pub >> authorized_keys
- Accordez à l’utilisateur des autorisations de lecture et d’écriture sur le fichier de clés autorisées :
chmod 600 authorized_keys
Vous pouvez maintenant copier la clé SSH privée sur l’ordinateur Windows, comme indiqué dans la procédure suivante.
Copiez la clé SSH privée sur l’ordinateur Windows et enregistrez au format OpenSSH
- Utilisez un outil, tel que WinSCP, pour transférer le fichier
id_dsa
de clé privée (sans extension) du client vers un répertoire sur votre ordinateur Windows. - Exécutez PuTTYgen.
- Dans la boîte de dialogue Générateur de clés PuTTY , sélectionnez le bouton Charger , puis sélectionnez la clé
id_dsa
privée que vous avez transférée à partir de l’ordinateur UNIX ou Linux. - Sélectionnez Enregistrer la clé privée et le nom, puis enregistrez le fichier dans le répertoire souhaité.
- Vous pouvez utiliser le fichier exporté au sein d’un compte d’identification de maintenance configuré pour
scomuser
ou lors de l’exécution de tâches de maintenance via la console.
Vous pouvez utiliser le compte scomuser
avec la clé SSH et l’élévation sudo pour spécifier des informations d’identification dans les Assistants d’Operations Manager et pour configurer des comptes d’identification.
Important
Le fichier PPK version 2 est la seule version actuellement prise en charge pour System Center Operations Manager.
Par défaut, PuTTYgen est défini pour utiliser le fichier PPK version 3. Vous pouvez modifier la version du fichier PPK sur 2 en accédant à la barre d’outils et en sélectionnant Paramètres de clé > pour enregistrer les fichiers de clés..., puis sélectionnez la case d’option pour 2 pour la version du fichier PPK.
Étapes suivantes
- Consultez Les informations d’identification que vous devez avoir pour accéder aux ordinateurs UNIX et Linux pour comprendre comment authentifier et surveiller vos ordinateurs UNIX et Linux.
- Consultez Configuration des chiffrements SSL si vous devez reconfigurer Operations Manager pour utiliser un autre chiffrement.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour