Comment configurer l’élévation sudo et les clés SSH

Important

Cette version d’Operations Manager a atteint la fin du support. Nous vous recommandons de mettre à niveau vers Operations Manager 2022.

Avec Operations Manager, vous pouvez fournir des informations d’identification pour qu’un compte non privilégié soit élevé sur un ordinateur UNIX ou Linux à l’aide de sudo, ce qui permet à l’utilisateur d’exécuter des programmes ou d’accéder à des fichiers qui disposent des privilèges de sécurité d’un autre compte d’utilisateur. Pour la maintenance de l’agent, vous avez également la possibilité d’utiliser des clés SSH (Secure Shell) au lieu d’un mot de passe pour sécuriser la communication entre Operations Manager et l’ordinateur ciblé.

Notes

Operations Manager prend en charge l’authentification basée sur une clé SSH avec les données de fichier de clé au format de clé privée PuTTY (PPK). Prend actuellement en charge les clés RSA SSH v.1 et les clés RSA et DSA SSH v.2.

Pour obtenir et configurer la clé SSH à partir de l’ordinateur UNIX et Linux, vous avez besoin des logiciels suivants sur votre ordinateur Windows :

• Un outil de transfert de fichiers, tel que WinSCP, pour transférer les fichiers de l’ordinateur UNIX ou Linux vers l’ordinateur Windows.
• Le programme PuTTY, ou un programme similaire, pour exécuter les commandes sur l’ordinateur UNIX ou Linux.
• Le programme PuTTYgen pour enregistrer la clé SSH privée au format OpenSSH sur l’ordinateur Windows.

Notes

Le programme sudo se trouve à différents emplacements sur les systèmes d’exploitation UNIX et Linux. Pour faciliter l’accès au programme sudo, le script d’installation de l’agent UNIX et Linux crée le lien symbolique /etc/opt/microsoft/scx/conf/sudodir qui pointe vers le répertoire devant contenir le programme sudo. L’agent utilise ensuite ce lien symbolique pour appeler sudo. Lorsque l’agent est installé, ce lien symbolique est créé automatiquement, aucune action supplémentaire n’est requise sur les configurations UNIX et Linux standard ; toutefois, si sudo est installé à un emplacement non standard, vous devez modifier le lien symbolique pour pointer vers le répertoire où sudo est installé. Si vous modifiez le lien symbolique, le nouveau lien est conservé et utilisé dans les opérations de désinstallation, de réinstallation et de mise à niveau de l’agent.

Configurer un compte pour l’élévation sudo

Notes

Les informations fournies dans cette section guident la configuration d’un exemple d’utilisateur, scomuser, et lui accordent des droits complets sur l’ordinateur client.

Si vous disposez déjà de comptes d’utilisateur et/ou que vous souhaitez configurer la surveillance à faible privilège , les modèles de sudoers sont disponibles et accordent uniquement les autorisations nécessaires pour des opérations de supervision et de maintenance réussies. Pour plus d’informations, consultez : Modèles Sudoers pour l’élévation dans la supervision UNIX/Linux

Les procédures suivantes créent un compte et une élévation sudo à l’aide scomuser d’un nom d’utilisateur.

Créer un utilisateur

1. Connectez-vous à l’ordinateur UNIX ou Linux en tant que root
2. Ajoutez l’utilisateur : useradd scomuser
3. Ajoutez un mot de passe et confirmez le mot de passe : passwd scomuser

Vous pouvez maintenant configurer l’élévation sudo et créer une clé SSH pour scomuser, comme décrit dans les procédures suivantes.

Configurer l’élévation sudo pour l’utilisateur

1. Connectez-vous à l’ordinateur UNIX ou Linux en tant que root

2. Utilisez le programme visudo pour modifier la configuration sudo dans un éditeur de texte vi. Exécutez la commande suivante : visudo

3. Recherchez la ligne suivante : root ALL=(ALL) ALL

4. Insérez la ligne suivante après : scomuser ALL=(ALL) NOPASSWD: ALL

5. L’allocation TTY n’est pas prise en charge. Vérifiez que la ligne suivante est commentée : # Defaults requiretty

   Important

   Cette étape est indispensable pour que le programme sudo fonctionne.

6. Enregistrez le fichier et quittez visudo :

   • Appuyez ESC ensuite : (colon) sur wq!, puis appuyez Enter sur pour enregistrer vos modifications et quitter correctement.

7. Testez la configuration en entrant les deux commandes suivantes. Le contenu du répertoire doit s’afficher sans demande de mot de passe :

   su - scomuser
   sudo ls /etc
   

Vous pouvez désormais accéder au compte à l’aide scomuser de son mot de passe et de son élévation sudo, ce qui vous permet de spécifier des informations d’identification dans les Assistants de tâche et de découverte, ainsi que dans les comptes d’identification.

Créer une clé SSH pour l’authentification

Conseil

Les clés SSH sont utilisées uniquement pour les opérations de maintenance de l’agent et ne sont pas utilisées pour la surveillance. Assurez-vous que vous créez la clé pour l’utilisateur approprié si vous utilisez plusieurs comptes.

Les procédures suivantes créent une clé SSH pour le compte scomuser qui a été créé dans les exemples précédents.

Générer la clé SSH

1. Connectez-vous en tant que scomuser.
2. Générez la clé à l’aide de l’algorithme DSA (Digital Signature Algorithm) : ssh-keygen -t dsa
   • Notez la phrase secrète (facultative) si vous en indiquez une.

L’utilitaire ssh-keygen crée le /home/scomuser/.ssh répertoire avec le fichier id_dsa de clé privée et le fichier id_dsa.pub de clé publique à l’intérieur. Ces fichiers sont utilisés dans la procédure suivante.

Configurer un compte d’utilisateur pour prendre en charge la clé SSH

1. À l’invite de commandes, tapez les commandes suivantes. Pour accéder au répertoire du compte d’utilisateur : cd /home/scomuser
2. Spécifiez un accès propriétaire exclusif au répertoire : chmod 700 .ssh
3. Accédez au répertoire .ssh : cd .ssh
4. Créez un fichier de clés autorisées avec la clé publique : cat id_dsa.pub >> authorized_keys
5. Accordez à l’utilisateur des autorisations de lecture et d’écriture sur le fichier de clés autorisées : chmod 600 authorized_keys

Vous pouvez maintenant copier la clé SSH privée sur l’ordinateur Windows, comme indiqué dans la procédure suivante.

Copiez la clé SSH privée sur l’ordinateur Windows et enregistrez au format OpenSSH

1. Utilisez un outil, tel que WinSCP, pour transférer le fichier id_dsa de clé privée (sans extension) du client vers un répertoire sur votre ordinateur Windows.
2. Exécutez PuTTYgen.
3. Dans la boîte de dialogue Générateur de clés PuTTY , sélectionnez le bouton Charger , puis sélectionnez la clé id_dsa privée que vous avez transférée à partir de l’ordinateur UNIX ou Linux.
4. Sélectionnez Enregistrer la clé privée et le nom, puis enregistrez le fichier dans le répertoire souhaité.
5. Vous pouvez utiliser le fichier exporté au sein d’un compte d’identification de maintenance configuré pour scomuserou lors de l’exécution de tâches de maintenance via la console.

Vous pouvez utiliser le compte scomuser avec la clé SSH et l’élévation sudo pour spécifier des informations d’identification dans les Assistants d’Operations Manager et pour configurer des comptes d’identification.

Important

Le fichier PPK version 2 est la seule version actuellement prise en charge pour System Center Operations Manager.

Par défaut, PuTTYgen est défini pour utiliser le fichier PPK version 3. Vous pouvez modifier la version du fichier PPK sur 2 en accédant à la barre d’outils et en sélectionnant Paramètres de clé > pour enregistrer les fichiers de clés..., puis sélectionnez la case d’option pour 2 pour la version du fichier PPK.

Étapes suivantes

• Consultez Les informations d’identification que vous devez avoir pour accéder aux ordinateurs UNIX et Linux pour comprendre comment authentifier et surveiller vos ordinateurs UNIX et Linux.
• Consultez Configuration des chiffrements SSL si vous devez reconfigurer Operations Manager pour utiliser un autre chiffrement.