Konfigurowanie podniesienia uprawnień sudo i kluczy SSH

Za pomocą programu Operations Manager można podać poświadczenia dla nieuprzywilejowanego konta, które ma zostać podniesione na komputerze z systemem UNIX lub Linux przy użyciu programu sudo, dzięki czemu użytkownik może uruchamiać programy lub uzyskiwać dostęp do plików z uprawnieniami zabezpieczeń innego konta użytkownika. W przypadku konserwacji agenta można również używać kluczy protokołu Secure Shell (SSH) zamiast hasła do bezpiecznej komunikacji między programem Operations Manager i komputerem docelowym.

Uwaga

Program Operations Manager obsługuje uwierzytelnianie oparte na kluczu SSH z danymi pliku klucza w formacie PuTTY Private Key (PPK). Obecnie obsługuje klucze RSA SSH v.1 i klucze RSA SSH v.2 RSA i DSA.

Aby uzyskać i skonfigurować klucz SSH z komputera z systemami UNIX i Linux, potrzebne jest następujące oprogramowanie na komputerze z systemem Windows:

• Narzędzie do transferu plików, takie jak WinSCP, do transferu plików z komputera z systemem UNIX lub Linux do komputera z systemem Windows.
• Program PuTTY lub podobny program do uruchamiania poleceń na komputerze z systemem UNIX lub Linux.
• Program PuTTYgen do zapisywania prywatnego klucza SHH w formacie OpenSSH na komputerze z systemem Windows.

Uwaga

Program sudo istnieje w różnych lokalizacjach w systemach operacyjnych UNIX i Linux. Aby zapewnić jednolity dostęp do programu sudo, skrypt instalacji agenta systemu UNIX i Linux tworzy link /etc/opt/microsoft/scx/conf/sudodir symboliczny wskazujący katalog, który ma zawierać program sudo. Następnie agent używa tego linku symbolicznego do wywołania polecenia sudo. Po zainstalowaniu agenta, ten link symboliczny jest tworzony automatycznie; w przypadku standardowych konfiguracji systemów UNIX i Linux nie są wymagane żadne dodatkowe akcje. Jeśli jednak program sudo jest zainstalowany w lokalizacji innej niż standardowa, należy zmienić link symboliczny, aby wskazywał katalog, w którym zainstalowano program sudo. Jeśli zmienisz link symboliczny, jego wartość zostanie zachowana w ramach operacji odinstalowywania, ponownego instalowania i uaktualniania agenta.

Konfiguracja konta do podniesienia uprawnień sudo

Uwaga

Informacje podane w tej sekcji krok po kroku przeprowadzają przez skonfigurowanie przykładowego użytkownika scomuser i przyznanie mu pełnych praw na komputerze klienckim.

Jeśli masz już konta użytkowników i/lub chcesz skonfigurować monitorowanie niskich uprawnień , szablony programu sudoers są dostępne i udzielają tylko uprawnień wymaganych do pomyślnego monitorowania i konserwacji. Aby uzyskać więcej informacji, zobacz: Sudoers templates for elevation in UNIX/Linux monitoring (Szablony sudoers pod kątem podniesienia uprawnień w monitorowaniu systemu UNIX/Linux)

Poniższe procedury umożliwiają utworzenie konta i podniesienie uprawnień sudo z użyciem nazwy użytkownika scomuser.

Tworzenie użytkownika

1. Zaloguj się na komputerze z systemem UNIX lub Linux jako root
2. Dodaj użytkownika: useradd scomuser
3. Dodaj hasło i potwierdź hasło: passwd scomuser

Teraz można dokonać eskalacji uprawnień sudo i utworzyć klucz SSH dla scomuser, zgodnie z opisem w poniższych procedurach.

Konfigurowanie podniesienia uprawnień sudo dla użytkownika

1. Zaloguj się na komputerze z systemem UNIX lub Linux jako root

2. Użyj programu visudo, aby edytować konfigurację sudo w edytorze tekstów vi. Uruchom następujące polecenie: visudo

3. Znajdź następujący wiersz: root ALL=(ALL) ALL

4. Wstaw następujący wiersz po nim: scomuser ALL=(ALL) NOPASSWD: ALL

5. Alokowanie TTY nie jest obsługiwane. Upewnij się, że następujący wiersz został skomentowany: # Defaults requiretty

   Ważne

   Ten krok jest wymagany, aby program sudo działał.

6. Zapisz plik i wyjdź z edytora visudo.

   • ESC : (colon)Następnie naciśnij wq! , a następnie naciśnij Enter , aby zapisać zmiany i zakończyć bezpiecznie.

7. Przetestuj konfigurację, wprowadzając następujące dwa polecenia. Wynik powinien być wykazem katalogu bez konieczności podawania hasła.

   su - scomuser
   sudo ls /etc
   

Teraz możesz uzyskać dostęp do scomuser konta, używając jego hasła i podwyższenia uprawnień z użyciem polecenia sudo, co umożliwia określenie poświadczeń w kreatorach zadań i odnajdywania oraz w ramach kont RunAs.

Tworzenie klucza SSH na potrzeby uwierzytelniania

Napiwek

Klucze SSH są używane tylko na potrzeby operacji konserwacji agenta i nie są używane do monitorowania. Upewnij się, że tworzysz klucz dla poprawnego użytkownika, jeśli używasz wielu kont.

Poniższe procedury tworzą klucz SSH dla scomuser konta utworzonego w poprzednich przykładach.

Generowanie klucza SSH

1. Zaloguj się jako scomuser.
2. Wygeneruj klucz przy użyciu algorytmu DSA (Digital Signature Algorithm): ssh-keygen -t dsa
   • Zwróć uwagę na opcjonalne hasło, jeśli je podałeś/podałaś.

Narzędzie ssh-keygen tworzy /home/scomuser/.ssh katalog z plikiem id_dsa klucza prywatnego i plikiem id_dsa.pub klucza publicznego wewnątrz, te pliki są używane w poniższej procedurze.

Konfigurowanie konta użytkownika w celu obsługi klucza SSH

1. W wierszu polecenia wpisz następujące polecenia. Aby przejść do katalogu konta użytkownika: cd /home/scomuser
2. Określ wyłączny dostęp właściciela do katalogu: chmod 700 .ssh
3. Przejdź do katalogu .ssh: cd .ssh
4. Utwórz plik autoryzowanych kluczy przy użyciu klucza publicznego: cat id_dsa.pub >> authorized_keys
5. Nadaj użytkownikowi uprawnienia do odczytu i zapisu do pliku autoryzowanych kluczy: chmod 600 authorized_keys

Teraz możesz skopiować prywatny klucz SSH na komputer z systemem Windows, zgodnie z opisem w następnej procedurze.

Skopiuj prywatny klucz SSH na komputer z systemem Windows i zapisz go w formacie OpenSSH

1. Użyj narzędzia, takiego jak WinSCP, aby przenieść plik id_dsa klucza prywatnego (bez rozszerzenia) z klienta do katalogu na komputerze z systemem Windows.
2. Uruchom program PuTTYgen.
3. W oknie dialogowym Generator kluczy PuTTY wybierz przycisk Załaduj, a następnie wybierz klucz id_dsa prywatny przesłany z komputera z systemem UNIX lub Linux.
4. Wybierz pozycję Zapisz klucz prywatny i nazwę i zapisz plik w żądanym katalogu.
5. Wyeksportowanego pliku można użyć w ramach konta RunAs skonfigurowanego dla scomuser, lub podczas wykonywania zadań konserwacyjnych za pośrednictwem konsoli.

Możesz użyć konta scomuser z wykorzystaniem klucza SSH oraz podniesienia uprawnień sudo do określania poświadczeń w kreatorach programu Operations Manager, a także do konfigurowania kont Uruchom jako.

Ważne

Plik PPK w wersji 2 jest jedyną wersją obecnie obsługiwaną przez program System Center Operations Manager.

Domyślnie program PuTTYgen ma używać pliku PPK w wersji 3. Możesz zmienić wersję pliku PPK na 2, przechodząc do paska narzędzi i wybierając pozycję Parametry klucza > do zapisywania plików kluczy..., a następnie wybierz przycisk radiowy 2 dla wersji pliku PPK.

Następne kroki

• Zapoznaj się z Poświadczeniami, które musisz posiadać, aby uzyskać dostęp do komputerów z systemami UNIX i Linux, aby zrozumieć, jak uwierzytelniać i monitorować komputery z systemami UNIX i Linux.
• Zapoznaj się z tematem Konfigurowanie szyfrów SSL, jeśli musisz ponownie skonfigurować program Operations Manager, aby użyć innego szyfru.