Настройка повышения прав sudo и ключей SSH

С помощью Operations Manager можно предоставить учетные данные для непривилегированных учетных записей, которые будут повышены на компьютере UNIX или Linux с помощью sudo, позволяя пользователю запускать программы или получать доступ к файлам, имеющим права безопасности другой учетной записи пользователя. Для обслуживания агента вы также можете использовать ключи Secure Shell (SSH) вместо пароля для безопасного обмена данными между Operations Manager и целевым компьютером.

Примечание.

Operations Manager поддерживает проверку подлинности на основе ключей SSH с данными файла ключей в формате PTTY Private Key (PPK). В настоящее время поддерживает ключи RSA версии 1 SSH и ключи RSA версии 2 и DSA SSH версии 2.

Чтобы получить и настроить ключ SSH на компьютере UNIX и Linux, вам потребуется следующее программное обеспечение на компьютере под управлением Windows:

• Средство передачи файлов, например WinSCP, для передачи файлов с компьютера UNIX или Linux на компьютер под управлением Windows.
• Программа PuTTY или аналогичная программа для выполнения команд на компьютере UNIX или Linux.
• Программа PuTTYgen для сохранения закрытого ключа SHH в формате OpenSSH на компьютере под управлением Windows.

Примечание.

Программа sudo существует в разных расположениях в операционных системах UNIX и Linux. Чтобы обеспечить универсальный доступ к sudo, скрипт установки агента UNIX и Linux создает символьную ссылку /etc/opt/microsoft/scx/conf/sudodir , чтобы указать каталог, который должен содержать программу sudo. Затем агент использует эту символьную ссылку для вызова sudo. При автоматическом создании этой символьной ссылки агент не требует дополнительных действий в стандартных конфигурациях UNIX и Linux; Однако если вы установили sudo в нестандартном расположении, необходимо изменить символьную ссылку, чтобы указать каталог, где устанавливается sudo. При изменении символьной ссылки его значение сохраняется во время удаления, повторной установки и обновления операций с агентом.

Настройка учетной записи для повышения прав sudo

Примечание.

Сведения, предоставленные в этом разделе, описывают настройку примера пользователя и scomuserпредоставляют ему полные права на клиентском компьютере.

Если у вас уже есть учетные записи пользователей и (или) требуется настроить мониторинг с низким уровнем привилегий , шаблоны sudoers доступны и предоставляют только разрешения, необходимые для успешных операций мониторинга и обслуживания. Дополнительные сведения см. в статье : Шаблоны Sudoers для повышения прав в мониторинге UNIX/Linux

В следующих процедурах создается учетная запись и повышение прав sudo с помощью scomuser имени пользователя.

Создание пользователя

1. Войдите на компьютер UNIX или Linux как root
2. Добавьте пользователя: useradd scomuser
3. Добавьте пароль и подтвердите пароль: passwd scomuser

Теперь вы можете настроить повышение прав sudo и создать ключ SSH для scomuser, как описано в следующих процедурах.

Настройка повышения прав sudo для пользователя

1. Войдите на компьютер UNIX или Linux как root

2. Используйте программу visudo для изменения конфигурации sudo в текстовом редакторе vi. Выполните следующую команду: visudo

3. Найдите следующую строку: root ALL=(ALL) ALL

4. Вставьте следующую строку после нее: scomuser ALL=(ALL) NOPASSWD: ALL

5. Выделение TTY не поддерживается. Убедитесь, что следующая строка закомментирована: # Defaults requiretty

   Внимание

   Этот шаг необходим для работы sudo.

6. Сохраните файл и закройте visudo:

   • wq!: (colon) Нажмите ESC затем, а затем нажмитеEnter, чтобы сохранить изменения и выйти из нее.

7. Проверьте конфигурацию, введя следующие две команды. Результатом должно быть перечисление каталога без запроса пароля:

   su - scomuser
   sudo ls /etc
   

Теперь вы можете получить доступ к учетной scomuser записи с помощью пароля и повышения прав sudo, позволяя указать учетные данные в мастерах задач и обнаружения, а также в учетных записях запуска.

Создание ключа SSH для проверки подлинности

Совет

Ключи SSH используются только для операций обслуживания агента и не используются для мониторинга, убедитесь, что вы создаете ключ для правильного пользователя при использовании нескольких учетных записей.

Следующие процедуры создают ключ SSH для scomuser учетной записи, созданной в предыдущих примерах.

Создание ключа SSH

1. Войдите как scomuser.
2. Создайте ключ с помощью алгоритма DSA: ssh-keygen -t dsa
   • Обратите внимание на необязательную парольную фразу, если вы указали ее.

Программа ssh-keygen создает /home/scomuser/.ssh каталог с файлом закрытого ключа и файлом id_dsa id_dsa.pub открытого ключа внутри, эти файлы используются в следующей процедуре.

Настройка учетной записи пользователя для поддержки ключа SSH

1. В командной строке введите следующие команды. Чтобы перейти к каталогу учетной записи пользователя, выполните следующие действия. cd /home/scomuser
2. Укажите эксклюзивный доступ владельца к каталогу: chmod 700 .ssh
3. Перейдите в каталог SSH: cd .ssh
4. Создайте авторизованный файл ключей с открытым ключом: cat id_dsa.pub >> authorized_keys
5. Предоставьте пользователю разрешения на чтение и запись в авторизованный файл ключей: chmod 600 authorized_keys

Теперь можно скопировать закрытый ключ SSH на компьютер Windows, как описано в следующей процедуре.

Скопируйте закрытый ключ SSH на компьютер под управлением Windows и сохраните его в формате OpenSSH

1. Используйте средство, например WinSCP, для передачи файла id_dsa закрытого ключа (без расширения) из клиента в каталог на компьютере под управлением Windows.
2. Запустите PuTTYgen.
3. В диалоговом окне "Генератор ключей PuTTY" нажмите кнопку "Загрузить" и выберите закрытый ключid_dsa, который вы передали с компьютера UNIX или Linux.
4. Выберите "Сохранить закрытый ключ " и "Имя" и сохраните файл в нужном каталоге.
5. Экспортированный файл можно использовать в учетной записи запуска обслуживания, настроенной для scomuserили при выполнении задач обслуживания через консоль.

Учетную запись можно использовать scomuser с помощью ключа SSH и повышения прав sudo для указания учетных данных в мастерах Operations Manager и настройки учетных записей запуска от имени.

Внимание

PPK-файл версии 2 — это единственная версия, поддерживаемая в настоящее время для System Center Operations Manager.

По умолчанию PuTTYgen использует PPK-файл версии 3. Вы можете изменить версию ФАЙЛА PPK на 2, перейдя на панель инструментов и выбрав параметры ключа > для сохранения файлов ключей..., а затем нажмите переключатель для версии файла PPK 2.

Следующие шаги

• Проверьте учетные данные, необходимые для доступа к компьютерам UNIX и Linux, чтобы понять, как выполнять проверку подлинности и отслеживать компьютеры UNIX и Linux.
• Проверьте настройку шифров SSL, если необходимо перенастроить Operations Manager для использования другого шифра.