Cara mengonfigurasi elevasi sudo dan kunci SSH

Penting

Versi Operations Manager ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke Operations Manager 2022.

Dengan Operations Manager, Anda dapat memberikan kredensial untuk akun yang tidak istimewa untuk ditingkatkan pada komputer UNIX atau Linux menggunakan sudo, memungkinkan pengguna untuk menjalankan program atau mengakses file yang memiliki hak istimewa keamanan akun pengguna lain. Untuk pemeliharaan agen, Anda juga memiliki kemampuan untuk menggunakan kunci Secure Shell (SSH) alih-alih kata sandi untuk komunikasi yang aman antara Operations Manager dan komputer yang ditargetkan.

Catatan

Operations Manager mendukung autentikasi berbasis Kunci SSH dengan data file kunci dalam format Kunci Privat (PPK) PuTTY. Saat ini mendukung kunci RSA SSH v.1 dan kunci SSH v.2 RSA dan DSA.

Untuk mendapatkan dan mengonfigurasi kunci SSH dari komputer UNIX dan Linux, Anda memerlukan perangkat lunak berikut di komputer berbasis Windows Anda:

• Alat transfer file, seperti WinSCP, untuk mentransfer file dari komputer UNIX atau Linux ke komputer berbasis Windows.
• Program PuTTY, atau program serupa, untuk menjalankan perintah di komputer UNIX atau Linux.
• Program PuTTYgen untuk menyimpan kunci SHH privat dalam format OpenSSH pada komputer berbasis Windows.

Catatan

Program sudo ada di lokasi yang berbeda pada sistem operasi UNIX dan Linux. Untuk menyediakan akses seragam ke sudo, skrip penginstalan agen UNIX dan Linux membuat tautan /etc/opt/microsoft/scx/conf/sudodir simbolis untuk menunjuk ke direktori yang diharapkan berisi program sudo. Agen kemudian menggunakan tautan simbolis ini untuk memanggil sudo. Ketika agen diinstal, tautan simbolis ini dibuat secara otomatis, tidak ada tindakan tambahan yang diperlukan pada konfigurasi UNIX dan Linux standar; namun, jika Anda telah menginstal sudo di lokasi non-standar, Anda harus mengubah tautan simbolis untuk menunjuk ke direktori tempat sudo diinstal. Jika Anda mengubah tautan simbolis, nilainya dipertahankan di seluruh operasi penghapusan instalasi, penginstalan ulang, dan peningkatan dengan agen.

Mengonfigurasi akun untuk elevasi sudo

Catatan

Informasi yang diberikan di bagian ini berjalan melalui konfigurasi contoh pengguna, scomuser, dan memberikan hak penuh pada komputer klien.

Jika Anda sudah memiliki akun pengguna dan/atau ingin menyiapkan pemantauan Hak Istimewa Rendah , templat sudoers tersedia dan hanya memberikan izin yang diperlukan untuk operasi pemantauan dan pemeliharaan yang berhasil. Untuk informasi selengkapnya, lihat: Templat Sudoers untuk elevasi dalam pemantauan UNIX/Linux

Prosedur berikut membuat akun dan elevasi sudo dengan menggunakan scomuser untuk nama pengguna.

Buat pengguna

1. Masuk ke komputer UNIX atau Linux sebagai root
2. Tambahkan pengguna: useradd scomuser
3. Tambahkan kata sandi dan konfirmasi kata sandi: passwd scomuser

Anda sekarang dapat mengonfigurasi elevasi sudo dan membuat kunci SSH untuk scomuser, seperti yang dijelaskan dalam prosedur berikut.

Mengonfigurasi elevasi sudo untuk pengguna

1. Masuk ke komputer UNIX atau Linux sebagai root

2. Gunakan program visudo untuk mengedit konfigurasi sudo di editor teks vi. Jalankan perintah berikut: visudo

3. Temukan baris berikut: root ALL=(ALL) ALL

4. Sisipkan baris berikut setelahnya: scomuser ALL=(ALL) NOPASSWD: ALL

5. Alokasi TTY tidak didukung. Pastikan baris berikut dikomentari: # Defaults requiretty

   Penting

   Langkah ini diperlukan agar sudo berfungsi.

6. Simpan file dan keluar dari visudo:

   • Tekan ESC lalu : (colon) diikuti oleh wq!, lalu tekan Enter untuk menyimpan perubahan Anda dan keluar dengan anggun.

7. Uji konfigurasi dengan memasukkan dalam dua perintah berikut. Hasilnya harus berupa daftar direktori tanpa dimintai kata sandi:

   su - scomuser
   sudo ls /etc
   

Sekarang Anda dapat mengakses scomuser akun dengan menggunakan kata sandi dan elevasi sudonya, memungkinkan Anda menentukan kredensial dalam wizard tugas dan penemuan, dan dalam Akun RunAs.

Membuat kunci SSH untuk autentikasi

Tip

Kunci SSH hanya digunakan untuk operasi pemeliharaan agen dan tidak digunakan untuk pemantauan, pastikan Anda membuat kunci untuk pengguna yang benar jika menggunakan beberapa akun.

Prosedur berikut membuat kunci SSH untuk scomuser akun yang dibuat dalam contoh sebelumnya.

Membuat kunci SSH

1. Masuk sebagai scomuser.
2. Hasilkan kunci dengan menggunakan algoritma Digital Signature Algorithm (DSA): ssh-keygen -t dsa
   • Perhatikan frasa sandi opsional jika Anda menyediakannya.

Utilitas ssh-keygen membuat /home/scomuser/.ssh direktori dengan file kunci privat dan file id_dsaid_dsa.pub kunci publik di dalamnya, file-file ini digunakan dalam prosedur berikut.

Mengonfigurasi akun pengguna untuk mendukung kunci SSH

1. Pada prompt perintah, ketik perintah berikut. Untuk menavigasi ke direktori akun pengguna: cd /home/scomuser
2. Tentukan akses pemilik eksklusif ke direktori: chmod 700 .ssh
3. Navigasi ke direktori .ssh: cd .ssh
4. Buat file kunci yang diotorisasi dengan kunci publik: cat id_dsa.pub >> authorized_keys
5. Berikan pengguna izin baca dan tulis ke file kunci yang diotorisasi: chmod 600 authorized_keys

Anda sekarang dapat menyalin kunci SSH privat ke komputer berbasis Windows, seperti yang dijelaskan dalam prosedur berikutnya.

Salin kunci SSH privat ke komputer berbasis Windows dan simpan dalam format OpenSSH

1. Gunakan alat, seperti WinSCP, untuk mentransfer file id_dsa kunci privat (tanpa ekstensi) dari klien ke direktori di komputer berbasis Windows Anda.
2. Jalankan PuTTYgen.
3. Dalam kotak dialog Generator Kunci PuTTY , pilih tombol Muat , lalu pilih kunci id_dsa privat yang Anda transfer dari komputer UNIX atau Linux.
4. Pilih Simpan kunci privat dan nama dan simpan file ke direktori yang diinginkan.
5. Anda dapat menggunakan file yang diekspor dalam akun RunAs pemeliharaan yang dikonfigurasi untuk scomuser, atau saat melakukan tugas pemeliharaan melalui konsol.

Anda dapat menggunakan scomuser akun dengan menggunakan kunci SSH dan elevasi sudo untuk menentukan kredensial dalam wizard Manajer Operasi dan untuk mengonfigurasi akun Jalankan Sebagai.

Penting

File PPK versi 2 adalah satu-satunya versi yang saat ini didukung untuk Manajer Operasi Pusat Sistem.

Secara default, PuTTYgen diatur untuk menggunakan file PPK versi 3. Anda dapat mengubah versi file PPK menjadi 2 dengan membuka toolbar dan memilih Parameter Kunci > untuk menyimpan file kunci..., lalu pilih tombol radio untuk 2 untuk versi file PPK.

Langkah berikutnya

• Tinjau Kredensial yang Harus Anda Miliki untuk Mengakses UniX dan Komputer Linux untuk memahami cara mengautentikasi dan memantau komputer UNIX dan Linux Anda.
• Tinjau Mengonfigurasi Cipher SSL jika Anda perlu mengonfigurasi ulang Operations Manager untuk menggunakan cipher yang berbeda.