Sudo-emelési és SSH-kulcsok konfigurálása

Az Operations Managerrel megadhatja a unprivileged fiókhoz tartozó hitelesítő adatokat, hogy emelt szintűek legyenek UNIX vagy Linux rendszerű számítógépeken a sudo használatával, így a felhasználó futtathat programokat, vagy hozzáférhet olyan fájlokhoz, amelyek egy másik felhasználói fiók biztonsági jogosultságaival rendelkeznek. Az ügynökkarbantartáshoz a Secure Shell (SSH) kulcsokat is használhatja jelszó helyett az Operations Manager és a célzott számítógép közötti biztonságos kommunikációhoz.

Jegyzet

Az Operations Manager támogatja az SSH-kulcsalapú hitelesítést a kulcsfájl-adatokkal PuTTY Private Key (PPK) formátumban. Jelenleg támogatja az SSH v.1 RSA-kulcsokat, valamint az SSH v.2 RSA- és DSA-kulcsokat.

Az SSH-kulcs UNIX és Linux rendszerű számítógépről való beszerzéséhez és konfigurálásához a következő szoftverre van szüksége a Windows-alapú számítógépen:

• Egy fájlátviteli eszköz, például a WinSCP, a fájlok a UNIX vagy Linux rendszerű számítógépről a Windows-alapú számítógépre való átviteléhez.
• A PuTTY program vagy egy hasonló program parancsokat futtat a UNIX- vagy Linux-számítógépen.
• A PuTTYgen program, amely a privát SHH-kulcsot OpenSSH formátumban menti a Windows-alapú számítógépen.

Jegyzet

A sudo program a UNIX és Linux operációs rendszerek különböző helyeinél létezik. A sudo egységes eléréséhez a UNIX- és Linux-ügynök telepítési szkriptje létrehozza a szimbolikus hivatkozást, /etc/opt/microsoft/scx/conf/sudodir arra a könyvtárra mutat, amely várhatóan tartalmazza a sudo programot. Az ügynök ezután ezt a szimbolikus hivatkozást használja a sudo meghívásához. Az ügynök telepítésekor ez a szimbolikus hivatkozás automatikusan létrejön, a szabványos UNIX- és Linux-konfigurációkhoz nincs szükség további műveletekre; Ha azonban a sudo nem szabványos helyen van telepítve, a szimbolikus hivatkozást úgy kell módosítania, hogy a sudo telepítési könyvtárára mutasson. Ha módosítja a szimbolikus hivatkozást, annak értéke megmarad az ügynökkel végzett eltávolítási, újratelepítési és frissítési műveletek során.

A fiók konfigurálása a sudo jogosultságemeléshez

Jegyzet

Az ebben a szakaszban megadott információk végigvezetik egy példafelhasználó, scomuserkonfigurálását, és teljes jogokat biztosítanak az ügyfélszámítógépen.

Ha már rendelkezik felhasználói fiókkal, és/vagy Alacsony jogosultságú monitorozást szeretne beállítani, a sudoers-sablonok elérhetők, és csak a sikeres figyelési és karbantartási műveletekhez szükséges engedélyeket biztosítják. További információért lásd: Felemelkedési célú Sudoers-sablonok UNIX/Linux monitorozáshoz

Az alábbi eljárások létrehoznak egy fiókot és sudo jogosultsággal rendelkező jelentkezést scomuser felhasználónévként.

Felhasználó létrehozása

1. Jelentkezzen be a UNIX- vagy Linux-számítógépre root-ként.
2. Felhasználó hozzáadása: useradd scomuser
3. Adjon hozzá egy jelszót, és erősítse meg a jelszót: passwd scomuser

Most már konfigurálhatja a sudo szintemelést, és létrehozhat egy SSH-kulcsot scomuserszámára, az alábbi eljárásokban leírtak szerint.

Sudo-jogosultságszint-emelés konfigurálása a felhasználó számára

1. Jelentkezzen be a UNIX- vagy Linux-számítógépre root-ként.

2. A visudo program használatával szerkessze a sudo konfigurációt egy vi szövegszerkesztőben. Futtassa a következő parancsot: visudo

3. Keresse meg a következő sort: root ALL=(ALL) ALL

4. Szúrja be a következő sort utána: scomuser ALL=(ALL) NOPASSWD: ALL

5. A TTY-foglalás nem támogatott. Győződjön meg arról, hogy a következő sor ki van kommentelve: # Defaults requiretty

   Fontos

   Ez a lépés szükséges a sudo működéséhez.

6. Mentse a fájlt, és lépjen ki a visudo fájlból:

   • Nyomja le a ESC, majd a : (colon), majd a wq!, majd a Enter billentyűt a módosítások mentéséhez és a kecses kilépéshez.

7. Tesztelje a konfigurációt az alábbi két parancs beírásával. Az eredménynek a címtár egy listájának kell lennie anélkül, hogy jelszót kellene kérnie:

   su - scomuser
   sudo ls /etc
   

Mostantól hozzáférhet a scomuser-fiókhoz a jelszavával és sudo jogosultsággal, ami lehetővé teszi a hitelesítő adatok megadását a feladat- és felderítési varázslókban, valamint a RunAs fiókokban.

SSH-kulcs létrehozása hitelesítéshez

Tipp

Az SSH-kulcsok csak az ügynökkarbantartási műveletekhez használhatók, és nem használhatók monitorozásra, győződjön meg arról, hogy a kulcsot a megfelelő felhasználó számára hozza létre, ha több fiókot használ.

Az alábbi eljárások létrehoznak egy SSH-kulcsot az előző példákban létrehozott scomuser fiókhoz.

Az SSH-kulcs létrehozása

1. Jelentkezzen be scomuser.
2. A kulcs létrehozása a Digitális aláírási algoritmus (DSA) algoritmussal: ssh-keygen -t dsa
   • Ha megadta, jegyezze fel az opcionális jelszót.

Az ssh-keygen segédprogram létrehozza a /home/scomuser/.ssh könyvtárat a titkos kulcsfájllal id_dsa és a nyilvános kulcsú fájllal id_dsa.pub belül, ezeket a fájlokat az alábbi eljárás használja.

Felhasználói fiók konfigurálása az SSH-kulcs támogatásához

1. Írja be a következő parancsokat a parancssorba. A felhasználói fiók könyvtárához navigálás: cd /home/scomuser
2. Kizárólagos tulajdonosi hozzáférés megadása a címtárhoz: chmod 700 .ssh
3. Lépjen az .ssh könyvtárra: cd .ssh
4. Hitelesített kulcsfájl létrehozása nyilvános kulccsal: cat id_dsa.pub >> authorized_keys
5. Olvasási és írási engedélyek megadása a felhasználónak a jogosult kulcsfájlhoz: chmod 600 authorized_keys

Most már átmásolhatja a privát SSH-kulcsot a Windows-alapú számítógépre a következő eljárásban leírtak szerint.

Másolja a privát SSH-kulcsot a Windows-alapú számítógépre, és mentse OpenSSH formátumban

1. Egy olyan eszközzel, mint a WinSCP, átviheti a titkos kulcsfájlt id_dsa (kiterjesztés nélkül) az ügyfélről a Windows-alapú számítógép egyik könyvtárába.
2. Futtassa a PuTTYgent.
3. A PuTTY-kulcsgenerátor párbeszédpanelen válassza a betöltése gombot, majd válassza ki a UNIX vagy Linux rendszerű számítógépről átvitt titkos kulcsot id_dsa.
4. Válassza a Titkos kulcs mentése és név elemet, majd mentse a fájlt a kívánt könyvtárba.
5. Az exportált fájlt használhatja egy scomuserkonfigurált karbantartási futtató fiókban, vagy karbantartási feladatok konzolon keresztüli végrehajtásakor.

A scomuser-fiókot az SSH-kulcs és a sudo jogosultságemelés használatával alkalmazhatja az Operations Manager varázslók hitelesítő adatainak megadásához és a Run As fiókok konfigurálásához.

Fontos

A System Center Operations Manager jelenleg csak a 2. PPK-fájlverziót támogatja.

Alapértelmezés szerint a PuTTYgen a PPK-fájl 3-ás verziójára van beállítva. A PPK fájlverzióját 2-esre módosíthatja az eszköztárra lépve, és válassza a Kulcs > Paraméterek a kulcsfájlok mentéséhez... lehetőséget, majd válassza a 2 ppk-fájlverzióhoz tartozó választógombot.

Következő lépések

• Tekintse át UNIX- és Linux rendszerű számítógépekhez való hozzáféréshez szükséges hitelesítő adatokat a UNIX és Linux rendszerű számítógépek hitelesítésének és monitorozásának megismeréséhez.
• Tekintse át SSL-titkosítások konfigurálását, ha újra kell konfigurálnia az Operations Managert egy másik titkosítás használatára.