Partilhar via

Configurar elevação do sudo e chaves SSH

Com o Operations Manager, você pode fornecer credenciais para que uma conta sem privilégios seja elevada em um computador UNIX ou Linux usando sudo, permitindo que o usuário execute programas ou acesse arquivos que tenham os privilégios de segurança de outra conta de usuário. Para manutenção do agente, você também tem a capacidade de usar chaves SSH (Secure Shell) em vez de uma senha para comunicação segura entre o Operations Manager e o computador de destino.

Observação

O Operations Manager oferece suporte à autenticação baseada em chave SSH com dados de arquivo de chave no formato PuTTY Private Key (PPK). Atualmente suporta chaves SSH v.1 RSA e chaves SSH v.2 RSA e DSA.

Para obter e configurar a chave SSH do computador UNIX e Linux, você precisa do seguinte software em seu computador baseado no Windows:

  • Uma ferramenta de transferência de arquivos, como WinSCP, para transferir arquivos do computador UNIX ou Linux para o computador baseado no Windows.
  • O programa PuTTY, ou um programa semelhante, para executar comandos no computador UNIX ou Linux.
  • O programa PuTTYgen para salvar a chave SHH privada no formato OpenSSH no computador baseado no Windows.

Observação

O programa sudo existe em diferentes locais nos sistemas operacionais UNIX e Linux. Para fornecer acesso uniforme ao sudo, o script de instalação do agente UNIX e Linux cria o link simbólico /etc/opt/microsoft/scx/conf/sudodir para que este aponte para o diretório onde se espera que o programa sudo esteja contido. O agente então usa esse link simbólico para invocar sudo. Quando o agente é instalado, esse link simbólico é criado automaticamente, não há ações adicionais necessárias nas configurações padrão do UNIX e Linux; No entanto, se você tiver o sudo instalado em um local não padrão, você deve alterar o link simbólico para apontar para o diretório onde o sudo está instalado. Se você alterar o link simbólico, seu valor será preservado nas operações de desinstalação, reinstalação e atualização com o agente.

Configurar uma conta para elevação de sudo

Observação

As informações fornecidas nesta seção explicam a configuração de um usuário de exemplo, scomusere concedem-lhe direitos totais no computador cliente.

Se já tiver contas de utilizador e/ou quiser configurar a monitorização de Baixo Privilégio, os modelos de sudoers estão disponíveis e concedem apenas as permissões necessárias para operações de monitorização e manutenção bem-sucedidas. Para obter mais informações, consulte: Modelos de sudoers para elevação na monitorização UNIX/Linux

Os procedimentos a seguir criam uma conta e elevam privilégios de sudo usando scomuser para um nome de utilizador.

Criar um utilizador

  1. Inicie sessão no computador UNIX ou Linux como root
  2. Adicione o usuário: useradd scomuser
  3. Adicione uma senha e confirme a senha: passwd scomuser

Agora você pode configurar a elevação sudo e criar uma chave SSH para scomuser, conforme descrito nos procedimentos a seguir.

Configurar elevação sudo para o usuário

  1. Inicie sessão no computador UNIX ou Linux como root

  2. Utilize o programa visudo para editar a configuração do sudo num editor de texto vi. Execute o seguinte comando: visudo

  3. Encontre a seguinte linha: root ALL=(ALL) ALL

  4. Insira a seguinte linha após ele: scomuser ALL=(ALL) NOPASSWD: ALL

  5. A atribuição TTY não é suportada. Certifique-se de que a seguinte linha seja incluída como comentário: # Defaults requiretty

    Importante

    Esta etapa é necessária para que o sudo funcione.

  6. Salve o arquivo e saia do visudo:

    • Prima ESC e, em seguida, : (colon) seguido de wq!e, em seguida, prima Enter para guardar as alterações e sair normalmente.

  7. Teste a configuração inserindo os dois comandos a seguir. O resultado deve ser uma listagem do diretório sem ser solicitada uma senha:

    su - scomuser
sudo ls /etc

Agora pode-se acessar a conta scomuser utilizando a sua palavra-passe e a elevação de privilégios com sudo, permitindo especificar credenciais nos assistentes de configuração de tarefas e descoberta, bem como nas Contas RunAs.

Criar uma chave SSH para autenticação

Dica

As chaves SSH são usadas apenas para operações de manutenção do agente e não são usadas para monitoramento, certifique-se de que você está criando a chave para o usuário correto se estiver usando várias contas.

Os procedimentos a seguir criam uma chave SSH para a conta scomuser que foi criada nos exemplos anteriores.

Gerar a chave SSH

  1. Inicie sessão como scomuser.
  2. Gere a chave usando o algoritmo DSA (Digital Signature Algorithm): ssh-keygen -t dsa
    • Observe a senha opcional se você a forneceu.

O utilitário ssh-keygen cria o diretório /home/scomuser/.ssh com o arquivo de chave privada id_dsa e o arquivo de chave pública id_dsa.pub dentro, esses arquivos são usados no procedimento a seguir.

Configurar uma conta de usuário para suportar a chave SSH

  1. No prompt de comando, digite os seguintes comandos. Para navegar até o diretório da conta de usuário: cd /home/scomuser
  2. Especifique o acesso exclusivo do proprietário ao diretório: chmod 700 .ssh
  3. Navegue até o diretório .ssh: cd .ssh
  4. Crie um arquivo de chaves autorizadas com a chave pública: cat id_dsa.pub >> authorized_keys
  5. Dê ao usuário permissões de leitura e gravação para o arquivo de chaves autorizadas: chmod 600 authorized_keys

Agora você pode copiar a chave SSH privada para o computador baseado no Windows, conforme descrito no próximo procedimento.

Copie a chave SSH privada para o computador baseado no Windows e salve no formato OpenSSH

  1. Use uma ferramenta, como o WinSCP, para transferir o arquivo de chave privada id_dsa (sem extensão) do cliente para um diretório no computador baseado no Windows.
  2. Execute PuTTYgen.
  3. Na caixa de diálogo do Gerador de Chaves PuTTY, selecione o botão Carregar e, em seguida, selecione a chave privada id_dsa que você transferiu do computador UNIX ou Linux.
  4. Selecione Salvar chave privada e nome, e salve o arquivo no diretório desejado.
  5. Você pode usar o arquivo exportado dentro de uma conta RunAs de manutenção configurada para scomuserou ao executar tarefas de manutenção por meio do console.

Você pode usar a conta scomuser usando a chave SSH e a elevação sudo para especificar credenciais nos assistentes do Operations Manager e para configurar contas Run As.

Importante

O arquivo PPK versão 2 é a única versão atualmente suportada para o System Center Operations Manager.

Por padrão, PuTTYgen está definido para usar o arquivo PPK versão 3. Você pode alterar a versão do arquivo PPK para 2 indo para a barra de ferramentas e selecionando Key > Parameters para salvar arquivos de chave, em seguida, selecione o botão de rádio para 2 para a versão do arquivo PPK.

Screenshot do PuTTY Key Generator mostrando onde selecionar a versão do arquivo PPK para a chave privada.

Próximos passos