• Articolo

Come configurare sudo l'elevazione e chiavi SSH

 

Pubblicato: marzo 2016

Si applica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

A partire da System Center 2012 – Operations Manager, è possibile fornire le credenziali per un account senza privilegi da elevare utilizzando il programma sudo, che consente agli utenti di eseguire programmi con i privilegi di sicurezza di un altro account utente in un computer UNIX o Linux. Inoltre, è possibile utilizzare chiavi Secure Shell (SSH) invece di una password per le comunicazioni protette tra Operations Manager e il computer di destinazione.

In questo argomento vengono forniti esempi per la creazione di un account per un utente con privilegi limitati, l'implementazione di sudo e creazione di una chiave SSH in un computer che esegue Red Hat Enterprise Linux Server 6. Questi sono solo esempi e potrebbe non riflettere l'ambiente. Di seguito sono riportati un utente con accesso a un set completo di privilegi.

Per ottenere e configurare il SSH chiave dal computer UNIX e Linux, è necessario installare il software seguente nel computer basato su Windows:

  • Strumento trasferimento file, ad esempio WinSCP, trasferire file da computer UNIX o Linux per computer basati su Windows.

  • Il programma PuTTY, o un programma simile, per eseguire comandi sul computer UNIX o Linux.

  • Il programma PuTTYgen per salvare la chiave privata SHH in formato OpenSSH in computer basati su Windows.

Nota

Il programma sudo esiste in posizioni diverse nei sistemi operativi UNIX e Linux. Per fornire un accesso uniforme a sudo, lo script di installazione dell'agente UNIX e Linux crea il collegamento simbolico /etc/opt/microsoft/scx/conf/sudodir in modo che punti alla directory dovrebbe contenere il programma sudo. L'agente utilizza questo collegamento simbolico per richiamare sudo. Lo script di installazione crea automaticamente il collegamento simbolico, pertanto non è necessario intraprendere alcuna azione sul configurazioni UNIX e Linux standard. Tuttavia, se si dispone di sudo installato in una posizione non standard, è necessario modificare il collegamento simbolico per puntare alla directory in cui è installato sudo. Se si modifica il collegamento simbolico, il relativo valore viene mantenuto attraverso disinstallare, reinstallare e operazioni con l'agente di aggiornamento.

Configurare un Account con privilegi limitati per l'elevazione sudo

Nelle procedure riportate di seguito creano un'elevazione di privilegi di basso livello account e sudo utilizzando opsuser per un nome utente.

Per creare un utente con privilegi limitati

  1. Accedere al computer UNIX o Linux come root.

  2. Aggiungere l'utente:

    useradd opsuser

  3. Aggiungere una password e Conferma password:

    passwd opsuser

È ora possibile configurare l'elevazione sudo e creare una chiave SSH per opsuser, come descritto nelle procedure seguenti.

Per configurare l'elevazione sudo per l'utente con privilegi limitati

  1. Accedere al computer UNIX o Linux come root.

  2. Utilizzare il programma visudo per modificare la configurazione di sudo in un editor di testo vi. Eseguire il comando seguente:

    visudo

  3. Individuare la riga seguente:

    root ALL=(ALL) ALL

  4. Dopo di esso, inserire la riga seguente:

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. Allocazione TTY non è supportata. Assicurarsi che sia impostata come commento la riga seguente:

    # Defaults requiretty

    System_CAPS_importantImportante

    Questo passaggio è necessario per utilizzare sudo.

  6. Salvare il file e uscire visudo:

    Premere ESC +: (due punti) seguito da wq!, quindi premere INVIO.

  7. Test della configurazione immettendo i due comandi seguenti. Il risultato deve essere un elenco di directory senza che venga richiesta una password:

    su - opsuser

    sudo ls /etc

È possibile utilizzare il opsuser account tramite l'elevazione sudo e password per specificare le credenziali nelle procedure guidate di Operations Manager e per la configurazione degli account RunAs.

Creare una chiave SSH per l'autenticazione

Nelle procedure riportate di seguito creano una chiave SSH per il opsuser account creato negli esempi precedenti.

Per generare la chiave SSH

  1. Accedere come opsuser.

  2. Generare la chiave utilizzando l'algoritmo algoritmo DSA (Digital Signature):

    ssh-keygen –t dsa

    Si noti la passphrase facoltativa se è stato specificato.

Il ssh-keygen Crea il /home/opsuser/.ssh directory con il file di chiave privata (id_dsa) e il file di chiave pubblica (id_dsa.pub). È ora possibile configurare la chiave devono essere supportati da opsuser come descritto nella procedura successiva.

Per configurare un account utente per supportare la chiave SSH

  1. Al prompt dei comandi, digitare i comandi seguenti. Per passare alla directory dell'account utente:

    cd /home/opsuser

  2. Specificare l'accesso esclusivo proprietario della directory:

    chmod 700 .ssh

  3. Passare alla directory .ssh:

    cd .ssh

  4. Creare un file di chiavi autorizzati con la chiave pubblica:

    cat id_dsa.pub >> authorized_keys

  5. Assegnare l'utente di lettura e le autorizzazioni di scrittura nel file di chiavi autorizzati:

    chmod 600 authorized_keys

È ora possibile copiare la chiave privata SSH per computer basati su Windows, come descritto nella procedura successiva.

Per copiare la chiave privata SSH in computer basati su Windows e salvare in formato OpenSSH

  1. Utilizzare uno strumento, ad esempio, WinSCP per trasferire il file di chiave privato (id_dsa – senza estensione) dal computer UNIX o Linux per una directory nel computer basato su Windows.

  2. Eseguire PuTTYgen.

  3. Nel Generatore di chiavi di PuTTY nella finestra di dialogo fare clic su di carico pulsante e quindi selezionare la chiave privata (id_dsa) che è stato trasferito dal computer UNIX o Linux.

  4. Fare clic su Salva la chiave privata e denominare e salvare il file nella directory desiderata.

È possibile utilizzare il opsuser account tramite l'elevazione sudo e di chiave SSH per specificare le credenziali nelle procedure guidate di Operations Manager e per la configurazione degli account RunAs.