Поделиться через

  • Статья

Как настроить sudo повышение и SSH-ключи

 

Опубликовано: Март 2016

Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Начиная с System Center 2012 — Operations Manager, можно предоставить учетные данные для непривилегированной учетной записи для повышения полномочий на компьютере под управлением UNIX или Linux с помощью программы sudo, что позволяет пользователям запускать программы, которые имеют права доступа учетной записи пользователя. Также можно использовать ключи Secure Shell (SSH) вместо пароля для безопасной связи между Operations Manager и целевого компьютера.

В этом разделе приведены примеры для создания учетной записи пользователя с низким уровнем привилегий, реализация sudo и создание ключа SSH на компьютере под управлением Red Hat Enterprise Linux Server 6. Это только примеры и может не отражать среды. Следующий пример предоставляет пользователю доступ к полный набор прав.

Чтобы получить и настроить SSH ключа с компьютера под управлением UNIX и Linux, необходимо установить следующее программное обеспечение на компьютере под управлением Windows:

  • Средство передачи файла, например WinSCP для передачи файлов с компьютера UNIX или Linux на компьютер под управлением Windows.

  • Программу PuTTY или аналогичную программу, для выполнения команд на компьютере с UNIX или Linux.

  • Программа PuTTYgen Сохранить закрытый ключ SHH в формате OpenSSH на компьютере под управлением Windows.

System_CAPS_noteПримечание

Программа sudo существует в разных местах в операционных системах UNIX и Linux. Для обеспечения унифицированного доступа к sudo, сценарий установки агентов UNIX и Linux создает символьную ссылку /etc/opt/microsoft/scx/conf/sudodir на каталог, предполагается нахождение программы sudo. Агент использует эту символьную ссылку для вызова sudo. Сценарий установки автоматически создает символьную ссылку, поэтому не нужно предпринимать никаких действий в стандартных конфигурациях UNIX и Linux; Однако при наличии sudo установлена в нестандартном месте, следует изменить символической ссылки указывают на место установки sudo каталог. Если вы измените символьную ссылку, его значение сохраняется для удаления, повторно установить и операций с агентом обновления.

Настройка непривилегированной учетной записью для уровня доступа sudo

Следующие процедуры создают непривилегированной учетной записи и sudo повышение прав с помощью opsuser для имени пользователя.

Создание пользователя с низким уровнем привилегий

  1. Войдите на компьютер под управлением UNIX или Linux, как root.

  2. Добавьте пользователя:

    useradd opsuser

  3. Добавить пароль и подтвердите пароль:

    passwd opsuser

Теперь можно настроить повышения прав sudo и создать ключ SSH для opsuser, как описано в следующих процедурах.

Чтобы настроить повышения прав sudo с низким уровнем привилегий пользователя

  1. Войдите на компьютер под управлением UNIX или Linux, как root.

  2. Используйте программу visudo изменение конфигурации sudo в текстовом редакторе vi. Выполните следующую команду:

    visudo

  3. Найдите следующую строку:

    root ALL=(ALL) ALL

  4. Вставьте следующую строку после него:

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. Выделение TTY не поддерживается. Убедитесь, что закомментированы следующую строку:

    # Defaults requiretty

    System_CAPS_importantВажно

    Этот шаг является обязательным для sudo для работы.

  6. Сохраните файл и закройте visudo:

    Нажмите клавишу ESC +: (двоеточие), за которым следует wq!, а затем нажмите клавишу ВВОД.

  7. Проверьте конфигурацию, введя в следующие две команды. Результат должен быть список каталогов, не вводя пароль:

    su - opsuser

    sudo ls /etc

Можно использовать opsuser учетной записи с помощью пароля и sudo повышение прав для указания учетных данных в мастерах Operations Manager, а также для настройки учетных записей запуска от имени.

Создание SSH-ключ для проверки подлинности

Следующие процедуры создают SSH-ключ для opsuser учетной записи, созданной в предыдущих примерах.

Для создания ключа SSH

  1. Войдите в систему как opsuser.

  2. Создайте ключ с помощью алгоритма цифровой подписи алгоритмом DSA:

    ssh-keygen –t dsa

    Если вы Обратите внимание необязательно парольную фразу.

ssh-keygen Создает /home/opsuser/.ssh каталог с файла закрытого ключа (id_dsa) и файл открытого ключа (id_dsa.pub). Теперь можно настроить ключ для поддержки opsuser как описано в следующей процедуре.

Чтобы настроить учетную запись пользователя для поддержки ключ SSH

  1. В командной строке введите следующие команды. Чтобы перейти в каталог учетной записи пользователя:

    cd /home/opsuser

  2. Укажите владельца монопольный доступ к каталогу.

    chmod 700 .ssh

  3. Перейдите в каталог .ssh:

    cd .ssh

  4. Создайте файл авторизованных ключей с помощью открытого ключа:

    cat id_dsa.pub >> authorized_keys

  5. Присвойте чтения пользователей и разрешения на запись в файл авторизованных ключей:

    chmod 600 authorized_keys

Теперь можно скопировать закрытый ключ SSH на компьютер под управлением Windows, как описано в следующей процедуре.

Копирование закрытый ключ SSH на компьютер под управлением Windows и сохранить в формате OpenSSH

  1. Использовать средства, например WinSCP, для передачи файла закрытого ключа (id_dsa — без расширения) с компьютера под управлением UNIX или Linux в каталог на компьютере под управлением Windows.

  2. Запустите PuTTYgen.

  3. В PuTTY ключ генератор диалоговое окно, нажмите кнопку нагрузки и затем выберите закрытый ключ (id_dsa), перенесенный с компьютера UNIX или Linux.

  4. Щелкните Сохранить закрытый ключ присвойте имя и сохраните файл в нужный каталог.

Можно использовать opsuser учетной записи с помощью SSH ключ и sudo повышение прав для указания учетных данных в мастерах Operations Manager, а также для настройки учетных записей запуска от имени.