Konfigurieren der Erhöhung der Rechte über „sudo“ und SSH-Schlüssel
Wichtig
Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.
Bei System Center – Operations Manager können Sie Anmeldeinformationen für ein nicht privilegiertes Konto angeben, die auf einem UNIX- oder Linux-Computer mithilfe des sudo-Programms erhöht werden können. Auf diese Weise können Benutzer Programme ausführen, die die Sicherheitsberechtigungen eines anderen Benutzerkontos aufweisen. Sie können für die sichere Kommunikation zwischen Operations Manager und dem Zielcomputer auch SSH-Schlüssel (Secure Shell) anstatt eines Kennworts verwenden.
Hinweis
Operations Manager unterstützt die auf SSH-Schlüsseln basierende Authentifizierung mit Schlüsseldateidaten im PuTTY Private Key-Format (PPK). Derzeit werden SSH v.1 RSA-Schlüssel und SSH v.2 RSA- und DSA-Schlüssel unterstützt.
Dieses Thema stellt Beispiele für folgende Aufgaben bereit: Erstellen eines Kontos für einen Benutzer mit niedrigen Berechtigungen, Implementieren von „sudo“ und Erstellen eines SSH-Schlüssels auf einem Computer, auf dem Red Hat Enterprise Linux Server 6 ausgeführt wird. Hierbei handelt es sich um Beispiele, die Ihre Umgebung möglicherweise nicht widerspiegeln. Mit den folgenden Beispielen wird einem Benutzer Zugriff auf einen vollständigen Satz von Berechtigungen gewährt.
Um den SSH-Schlüssel vom UNIX- bzw. Linux-Computer abzurufen und zu konfigurieren, müssen Sie die folgende Software auf Ihrem Windows-basierten Computer installieren:
Ein Dateiübertragungstool, z.B. WinSCP, zum Übertragen von Dateien vom UNIX- oder Linux-Computer auf den Windows-basierten Computer.
Das Programm PuTTY oder ein ähnliches Programm zum Ausführen von Befehlen auf dem UNIX- oder Linux-Computer.
Das Programm PuTTYgen zum Speichern des privaten SSH-Schlüssels im OpenSSH-Format auf dem Windows-basierten Computer.
Hinweis
Das sudo-Programm befindet sich an verschiedenen Stellen in UNIX- und Linux-Betriebssystemen. Um einen einheitlichen Zugriff auf „sudo“ bereitzustellen, erstellt das Skript für die Installation von Agents unter UNIX und Linux die symbolische Verknüpfung /etc/opt/microsoft/scx/conf/sudodir, um auf das Verzeichnis zu verweisen, das vermutlich das sudo-Programm enthalten wird. Der Agent verwendet diese symbolische Verknüpfung zum Aufrufen von „sudo“. Das Installationsskript erstellt die symbolische Verknüpfung automatisch, daher müssen Sie bei UNIX- und Linux-Standardkonfigurationen keine weiteren Aktionen ausführen. Wenn Sie „sudo“ allerdings an einem nicht standardmäßigen Speicherort installiert haben, müssen Sie die symbolische Verknüpfung so ändern, dass sie auf das Verzeichnis verweist, in dem „sudo“ installiert ist. Wenn Sie die symbolische Verknüpfung ändern, wird deren Wert für Deinstallations-, Neuinstallations- und Upgradevorgänge mit dem Agent beibehalten.
Konfigurieren eines Kontos mit niedrigen Berechtigungen für die Erhöhung per „sudo“
Mit den folgenden Verfahren erstellen Sie ein Konto mit niedrigen Berechtigungen und eine Erhöhung per „sudo“, indem Sie opsuser als Benutzernamen verwenden.
So erstellen Sie einen Benutzer mit niedrigen Berechtigungen
Melden Sie sich als
rootbeim UNIX- oder Linux-Computer an.Fügen Sie den Benutzer hinzu:
useradd opsuserFügen Sie ein Kennwort hinzu, und bestätigen Sie es:
passwd opsuser
Jetzt können Sie die Erhöhung per „sudo“ konfigurieren und einen SSH-Schlüssel für opsuser erstellen, wie in den folgenden Verfahren beschrieben.
So konfigurieren Sie die Erhöhung per „sudo“ für den Benutzer mit niedrigen Berechtigungen
Melden Sie sich als
rootbeim UNIX- oder Linux-Computer an.Verwenden Sie das Programm „visudo“, um die sudo-Konfiguration in einem vi-Text-Editor zu bearbeiten. Führen Sie den folgenden Befehl aus:
visudoSuchen Sie die folgende Zeile:
root ALL=(ALL) ALLFügen Sie danach die folgende Zeile ein:
opsuser ALL=(ALL) NOPASSWD: ALLDie TTY-Zuordnung wird nicht unterstützt. Stellen Sie sicher, dass die folgende Zeile auskommentiert ist:
# Defaults requirettyWichtig
Dieser Schritt ist erforderlich, damit „sudo“ funktioniert.
Speichern Sie die Datei, und beenden Sie das visudo-Programm:
Drücken Sie ESC + : (Doppelpunkt), gefolgt von
wq!, und drücken Sie dann die EINGABETASTE.Testen Sie die Konfiguration, indem Sie die folgenden beiden Befehle eingeben. Es sollte ohne Aufforderung zur Kennworteingabe eine Auflistung des Verzeichnisses angezeigt werden:
su - opsusersudo ls /etc
Sie können das opsuser-Konto verwenden, indem Sie das Kennwort und die Erhöhung per „sudo“ verwenden, um Anmeldeinformationen in Operations Manager-Assistenten anzugeben und ausführende Konten zu konfigurieren.
Erstellen eines SSH-Schlüssels zur Authentifizierung
Die folgenden Verfahren erstellen einen SSH-Schlüssel für das opsuser-Konto, das in den vorherigen Schritten erstellt wurde.
Generieren des SSH-Schlüssels
Melden Sie sich als
opsuseran.Generieren Sie den Schlüssel mithilfe des Digital Signature Algorithm (DSA):
ssh-keygen -t dsaBeachten Sie die optionale Passphrase, falls Sie diese angegeben haben.
ssh-keygen erstellt das Verzeichnis mit der privaten Schlüsseldatei (id_dsa) und der öffentlichen Schlüsseldatei (id_dsa.pub). Sie können jetzt den Schlüssel konfigurieren, der von opsuser unterstützt werden soll, wie im nächsten Verfahren beschrieben.
Konfigurieren eines Benutzerkontos für die Unterstützung des SSH-Schlüssels
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein. So navigieren Sie zum Verzeichnis mit dem Benutzerkonto:
cd /home/opsuserLegen Sie den exklusiven Besitzerzugriff auf das Verzeichnis fest:
chmod 700 .sshNavigieren Sie zum Verzeichnis „.ssh“:
cd .sshErstellen Sie eine autorisierte Schlüsseldatei mit dem öffentlichen Schlüssel:
cat id_dsa.pub >> authorized_keysGewähren Sie dem Benutzer Lese- und Schreibberechtigungen für die autorisierte Schlüsseldatei:
chmod 600 authorized_keys
Jetzt können Sie den privaten SSH-Schlüssel auf den Windows-basierten Computer kopieren, wie im nächsten Verfahren beschrieben.
Kopieren des privaten SSH-Schlüssels auf den Windows-basierten Computer und Speichern des Schlüssels im OpenSSH-Format
Verwenden Sie ein Tool wie z.B. WinSCP, um die private Schlüsseldatei (
id_dsa– ohne Erweiterung) vom UNIX- oder Linux-Computer in ein Verzeichnis auf Ihrem Windows-basierten Computer zu übertragen.Führen Sie PuTTYgen aus.
Klicken Sie im Dialogfeld PuTTY-Schlüsselgenerator auf die Schaltfläche Laden, und wählen Sie dann den privaten Schlüssel ) aus, den Sie vom UNIX- oder Linux-Computer übertragen haben.
Klicken Sie auf Privaten Schlüssel speichern, und speichern Sie die Datei unter einem Namen Ihrer Wahl im gewünschten Verzeichnis.
Sie können das opsuser-Konto verwenden, indem Sie den SSH-Schlüssel und die Erhöhung per „sudo“ verwenden, um Anmeldeinformationen in Operations Manager-Assistenten anzugeben und ausführende Konten zu konfigurieren.
Nächste Schritte
Informationen zum Authentifizieren und Überwachen Ihrer UNIX- und Linux-Computer finden Sie unter Anmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer.
Lesen Sie den Artikel Konfigurieren von SSL-Verschlüsselungen, wenn Sie Operations Manager für die Verwendung einer anderen Verschlüsselung neu konfigurieren müssen.