Bagikan melalui

Mengonfigurasi elevasi sudo dan kunci SSH

Dengan Operations Manager, Anda dapat memberikan kredensial agar akun yang tidak memiliki hak istimewa ditingkatkan pada komputer UNIX atau Linux menggunakan sudo, yang memungkinkan pengguna menjalankan program atau mengakses file yang memiliki hak istimewa keamanan akun pengguna lain. Untuk pemeliharaan agen, Anda juga memiliki kemampuan untuk menggunakan kunci Secure Shell (SSH) alih-alih kata sandi untuk komunikasi yang aman antara Operations Manager dan komputer yang ditargetkan.

Nota

Operations Manager mendukung autentikasi berbasis Kunci SSH dengan data file kunci dalam format Kunci Privat (PPK) PuTTY. Saat ini mendukung kunci RSA SSH v.1 dan kunci RSA SSH v.2 dan DSA.

Untuk mendapatkan dan mengonfigurasi kunci SSH dari komputer UNIX dan Linux, Anda memerlukan perangkat lunak berikut di komputer berbasis Windows Anda:

  • Alat transfer file, seperti WinSCP, untuk mentransfer file dari komputer UNIX atau Linux ke komputer berbasis Windows.
  • Program PuTTY, atau program serupa, untuk menjalankan perintah di komputer UNIX atau Linux.
  • Program PuTTYgen untuk menyimpan kunci SHH privat dalam format OpenSSH pada komputer berbasis Windows.

Nota

Program sudo ada di lokasi yang berbeda pada sistem operasi UNIX dan Linux. Untuk menyediakan akses seragam ke sudo, skrip penginstalan agen UNIX dan Linux membuat tautan simbolis /etc/opt/microsoft/scx/conf/sudodir untuk menunjuk ke direktori yang diharapkan berisi program sudo. Agen kemudian menggunakan tautan simbolis ini untuk memanggil sudo. Ketika agen diinstal, tautan simbolis ini dibuat secara otomatis, tidak ada tindakan tambahan yang diperlukan pada konfigurasi UNIX dan Linux standar; namun, jika Anda telah menginstal sudo di lokasi non-standar, Anda harus mengubah tautan simbolis untuk menunjuk ke direktori tempat sudo diinstal. Jika Anda mengubah tautan simbolis, nilainya dipertahankan di seluruh operasi hapus instalan, instal ulang, dan tingkatkan dengan agen.

Mengonfigurasi akun untuk peningkatan hak akses sudo

Nota

Informasi yang diberikan di bagian ini menjelaskan cara mengonfigurasi contoh pengguna, scomuser, dan memberikan hak penuh pada komputer klien.

Jika Anda sudah memiliki akun pengguna dan/atau ingin menyiapkan Pemantauan Hak Istimewa Rendah, templat sudoers tersedia dan hanya memberikan izin yang diperlukan untuk operasi pemantauan dan pemeliharaan yang berhasil. Untuk informasi selengkapnya, lihat: Templat Sudoers untuk peningkatan hak akses dalam pemantauan UNIX/Linux

Langkah-langkah berikut membuat akun dan peningkatan hak sudo dengan menggunakan scomuser untuk nama pengguna.

Membuat pengguna

  1. Masuk ke komputer UNIX atau Linux sebagai root
  2. Menambahkan pengguna: useradd scomuser
  3. Tambahkan kata sandi dan konfirmasi kata sandi: passwd scomuser

Anda sekarang dapat mengonfigurasi elevasi sudo dan membuat kunci SSH untuk scomuser, seperti yang dijelaskan dalam prosedur berikut.

Mengonfigurasi elevasi sudo untuk pengguna

  1. Masuk ke komputer UNIX atau Linux sebagai root

  2. Gunakan program visudo untuk mengedit konfigurasi sudo di editor teks vi. Jalankan perintah berikut: visudo

  3. Temukan baris berikut: root ALL=(ALL) ALL

  4. Sisipkan baris berikut setelahnya: scomuser ALL=(ALL) NOPASSWD: ALL

  5. Alokasi TTY tidak didukung. Pastikan baris berikut dikomentari: # Defaults requiretty

    Penting

    Langkah ini diperlukan agar sudo berfungsi.

  6. Simpan file dan keluar dari visudo:

    • Tekan ESC lalu : (colon) diikuti dengan wq!, lalu tekan Enter untuk menyimpan perubahan Anda dan keluar dengan anggun.

  7. Uji konfigurasi dengan memasukkan dalam dua perintah berikut. Hasilnya harus berupa daftar direktori tanpa dimintai kata sandi:

    su - scomuser
sudo ls /etc

Sekarang Anda dapat mengakses akun scomuser dengan menggunakan kata sandi dan peningkatan hak akses sudo-nya, memungkinkan Anda menentukan kredensial dalam wizard tugas dan pendeteksian, serta dalam Akun RunAs.

Membuat kunci SSH untuk autentikasi

Saran

Kunci SSH hanya digunakan untuk operasi pemeliharaan agen dan tidak digunakan untuk pemantauan, pastikan Anda membuat kunci untuk pengguna yang benar jika menggunakan beberapa akun.

Prosedur berikut membuat kunci SSH untuk akun scomuser yang dibuat dalam contoh sebelumnya.

Membuat kunci SSH

  1. Masuk sebagai scomuser.
  2. Hasilkan kunci dengan menggunakan algoritma Digital Signature Algorithm (DSA): ssh-keygen -t dsa
    • Perhatikan frase sandi opsional jika Anda menyediakannya.

Utilitas ssh-keygen membuat direktori /home/scomuser/.ssh dengan id_dsa file kunci privat dan file kunci publik id_dsa.pub di dalamnya, file-file ini digunakan dalam prosedur berikut.

Mengonfigurasi akun pengguna untuk mendukung kunci SSH

  1. Pada command prompt, ketikkan perintah berikut. Untuk menavigasi ke direktori akun pengguna: cd /home/scomuser
  2. Tentukan akses pemilik eksklusif ke direktori: chmod 700 .ssh
  3. Navigasi ke direktori .ssh: cd .ssh
  4. Buat file kunci resmi dengan kunci publik: cat id_dsa.pub >> authorized_keys
  5. Berikan pengguna izin baca dan tulis ke file kunci yang diotorisasi: chmod 600 authorized_keys

Anda sekarang dapat menyalin kunci SSH privat ke komputer berbasis Windows, seperti yang dijelaskan dalam prosedur berikutnya.

Salin kunci SSH privat ke komputer berbasis Windows dan simpan dalam format OpenSSH

  1. Gunakan alat, seperti WinSCP, untuk mentransfer file kunci privat id_dsa (tanpa ekstensi) dari klien ke direktori di komputer berbasis Windows Anda.
  2. Jalankan PuTTYgen.
  3. Dalam kotak dialog Generator Kunci PuTTY, pilih tombol Muat, lalu pilih kunci privat id_dsa yang Anda transfer dari komputer UNIX atau Linux.
  4. Pilih Simpan kunci privat dan nama dan simpan file ke direktori yang diinginkan.
  5. Anda dapat menggunakan file yang diekspor dalam akun RunAs pemeliharaan yang dikonfigurasi untuk scomuser, atau saat melakukan tugas pemeliharaan melalui konsol.

Anda dapat menggunakan akun scomuser dengan menggunakan kunci SSH dan peninggian hak akses sudo untuk menentukan kredensial di wizard Operations Manager dan untuk mengonfigurasi akun Run As.

Penting

file PPK versi 2 adalah satu-satunya versi yang saat ini didukung untuk Manajer Operasi Pusat Sistem.

Secara default, PuTTYgen diatur untuk menggunakan file PPK versi 3. Anda dapat mengubah versi file PPK menjadi 2 dengan membuka toolbar dan memilih Parameter Kunci > untuk menyimpan file kunci..., lalu pilih tombol radio untuk versi file PPK 2.

Cuplikan layar PuTTY Key Generator memperlihatkan tempat memilih versi file PPK untuk kunci privat.

Langkah berikutnya