共用方式為

  • 發行項

如何設定 sudo 提高權限,以及 SSH 機碼

 

發佈時間: 2016年3月

適用於: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

從開始 System Center 2012 – Operations Manager, ,您可以提供至 UNIX 或 Linux 的電腦上使用 sudo 程式,可讓使用者執行應用程式具有另一個使用者帳戶的安全性權限更高特殊權限帳戶的認證。 您也可以使用安全殼層 (SSH) 金鑰來取代密碼,Operations Manager 與目標的電腦之間的安全通訊。

本主題提供建立低權限使用者帳戶、 實作 sudo,和建立執行 Red Hat Enterprise Linux 伺服器 6 的電腦上的 SSH 金鑰的範例。 這些是僅範例和可能不會反映您的環境。 下列範例會提供一組完整的權限存取的使用者。

若要取得及設定 SSH 金鑰在 UNIX 和 Linux 的電腦上您必須在您的 Windows 電腦上安裝下列軟體:

  • 檔案傳輸工具,例如 WinSCP,從 UNIX 或 Linux 電腦的檔案傳送給 Windows 電腦。

  • PuTTY 程式或類似的程式,在 UNIX 或 Linux 的電腦上執行命令。

  • PuTTYgen 程式將私密金鑰 SHH OpenSSH 格式儲存在 Windows 電腦上。

System_CAPS_note注意事項

Sudo 程式存在於上 UNIX 和 Linux 作業系統的不同位置。 若要提供統一的存取權 sudo,UNIX 和 Linux 的代理程式安裝指令碼會建立符號連結 /etc/opt/microsoft/scx/conf/sudodir 指向必須要包含 sudo 程式的目錄。 代理程式會使用此符號連結以叫用 sudo。 安裝指令碼會自動建立符號連結,因此您不需要採取任何動作上標準的 UNIX 和 Linux 設定。不過,如果您有安裝在非標準位置 sudo,您應該變更符號的連結指向 sudo 安裝所在的目錄。 如果您變更符號連結,會保留其值跨解除安裝、 重新安裝和升級代理程式作業。

設定低權限帳戶的 sudo 提高權限

下列程序建立使用低權限帳戶和 sudo 提高權限 opsuser 使用者名稱。

若要建立低權限使用者

  1. 登入 UNIX 或 Linux 電腦做為 root。

  2. 將使用者加入:

    useradd opsuser

  3. 加入密碼並確認密碼:

    passwd opsuser

您現在可以設定 sudo 提高權限和建立的 SSH 金鑰 opsuser, ,如下列程序中所述。

若要設定為低權限使用者 sudo 提高權限

  1. 登入 UNIX 或 Linux 電腦做為 root。

  2. 若要編輯 sudo 組態,vi 文字編輯器中的使用 visudo 程式。 執行下列命令:

    visudo

  3. 尋找下列一行:

    root ALL=(ALL) ALL

  4. 其後插入下面這一行:

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. 不支援 TTY 配置。 請確認下面這一行標記為註解:

    # Defaults requiretty

    System_CAPS_important重要事項

    若要使用 sudo 需要此步驟。

  6. 儲存檔案並結束 visudo:

    請按 esc 鍵 +: (冒號) 後面跟著 wq!, ,然後按 enter 鍵。

  7. 在下列兩個命令中輸入測試設定。 結果應該不會提示輸入密碼的目錄清單:

    su - opsuser

    sudo ls /etc

您可以使用 opsuser 使用供您指定在 Operations Manager 精靈中的認證以及設定執行身分帳戶的密碼和 sudo 提高權限的帳戶。

建立驗證 SSH 金鑰

下列程序建立的 SSH 金鑰 opsuser 上述範例中所建立的帳戶。

若要產生 SSH 金鑰

  1. 以登入 opsuser。

  2. 使用數位簽章演算法 (DSA) 演算法來產生金鑰:

    ssh-keygen –t dsa

    如果您在提供附註的選擇性的複雜密碼。

ssh-keygen 建立 /home/opsuser/.ssh 私密金鑰檔案的目錄 (id_dsa) 和公開金鑰檔案 (id_dsa.pub)。 您現在可以設定成所支援的索引鍵 opsuser 下一個程序中所述。

若要設定使用者帳戶來支援 SSH 金鑰

  1. 在命令提示字元中輸入下列命令。 若要瀏覽至使用者帳戶的目錄:

    cd /home/opsuser

  2. 指定目錄的獨佔的擁有者權限:

    chmod 700 .ssh

  3. 瀏覽至.ssh 目錄:

    cd .ssh

  4. 建立授權的金鑰檔案的公開金鑰:

    cat id_dsa.pub >> authorized_keys

  5. 提供使用者讀取和寫入權限授權的金鑰檔案:

    chmod 600 authorized_keys

您現在可以將私用的 SSH 金鑰複製到 Windows 電腦中下, 一個程序中所述。

複製到 Windows 電腦的 SSH 私密金鑰和儲存 OpenSSH 格式

  1. 使用工具 (例如 WinSCP,) 來傳送私密金鑰檔 (id_dsa – 不含副檔名) 從 UNIX 或 Linux 電腦到您的 Windows 電腦上的目錄。

  2. 執行 PuTTYgen。

  3. PuTTY 金鑰產生器 ] 對話方塊中按一下 負載 按鈕,然後再選取 [私用金鑰 (id_dsa) 已從 UNIX 或 Linux 電腦傳輸。

  4. 按一下 儲存私密金鑰 命名並將檔案儲存到所需的目錄。

您可以使用 opsuser 在 Operations Manager 精靈中指定認證和設定執行身分帳戶使用 SSH 金鑰和 sudo 提高權限的帳戶。