Konfigurieren der Erhöhung der Rechte über „sudo“ und SSH-Schlüssel

Wichtig

Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.

Bei System Center – Operations Manager können Sie Anmeldeinformationen für ein nicht privilegiertes Konto angeben, die auf einem UNIX- oder Linux-Computer mithilfe des sudo-Programms erhöht werden können. Auf diese Weise können Benutzer Programme ausführen, die die Sicherheitsberechtigungen eines anderen Benutzerkontos aufweisen. Sie können für die sichere Kommunikation zwischen Operations Manager und dem Zielcomputer auch SSH-Schlüssel (Secure Shell) anstatt eines Kennworts verwenden.

Hinweis

Operations Manager unterstützt die auf SSH-Schlüsseln basierende Authentifizierung mit Schlüsseldateidaten im PuTTY Private Key-Format (PPK). Derzeit werden SSH v.1 RSA-Schlüssel und SSH v.2 RSA- und DSA-Schlüssel unterstützt.

Dieses Thema stellt Beispiele für folgende Aufgaben bereit: Erstellen eines Kontos für einen Benutzer mit niedrigen Berechtigungen, Implementieren von „sudo“ und Erstellen eines SSH-Schlüssels auf einem Computer, auf dem Red Hat Enterprise Linux Server 6 ausgeführt wird. Hierbei handelt es sich um Beispiele, die Ihre Umgebung möglicherweise nicht widerspiegeln. Mit den folgenden Beispielen wird einem Benutzer Zugriff auf einen vollständigen Satz von Berechtigungen gewährt.

Um den SSH-Schlüssel vom UNIX- bzw. Linux-Computer abzurufen und zu konfigurieren, müssen Sie die folgende Software auf Ihrem Windows-basierten Computer installieren:

  • Ein Dateiübertragungstool, z.B. WinSCP, zum Übertragen von Dateien vom UNIX- oder Linux-Computer auf den Windows-basierten Computer.

  • Das Programm PuTTY oder ein ähnliches Programm zum Ausführen von Befehlen auf dem UNIX- oder Linux-Computer.

  • Das Programm PuTTYgen zum Speichern des privaten SSH-Schlüssels im OpenSSH-Format auf dem Windows-basierten Computer.

Hinweis

Das sudo-Programm befindet sich an verschiedenen Stellen in UNIX- und Linux-Betriebssystemen. Um einen einheitlichen Zugriff auf „sudo“ bereitzustellen, erstellt das Skript für die Installation von Agents unter UNIX und Linux die symbolische Verknüpfung /etc/opt/microsoft/scx/conf/sudodir, um auf das Verzeichnis zu verweisen, das vermutlich das sudo-Programm enthalten wird. Der Agent verwendet diese symbolische Verknüpfung zum Aufrufen von „sudo“. Das Installationsskript erstellt die symbolische Verknüpfung automatisch, daher müssen Sie bei UNIX- und Linux-Standardkonfigurationen keine weiteren Aktionen ausführen. Wenn Sie „sudo“ allerdings an einem nicht standardmäßigen Speicherort installiert haben, müssen Sie die symbolische Verknüpfung so ändern, dass sie auf das Verzeichnis verweist, in dem „sudo“ installiert ist. Wenn Sie die symbolische Verknüpfung ändern, wird deren Wert für Deinstallations-, Neuinstallations- und Upgradevorgänge mit dem Agent beibehalten.

Konfigurieren eines Kontos mit niedrigen Berechtigungen für die Erhöhung per „sudo“

Mit den folgenden Verfahren erstellen Sie ein Konto mit niedrigen Berechtigungen und eine Erhöhung per „sudo“, indem Sie opsuser als Benutzernamen verwenden.

So erstellen Sie einen Benutzer mit niedrigen Berechtigungen

  1. Melden Sie sich als root beim UNIX- oder Linux-Computer an.

  2. Fügen Sie den Benutzer hinzu:

    useradd opsuser

  3. Fügen Sie ein Kennwort hinzu, und bestätigen Sie es:

    passwd opsuser

Jetzt können Sie die Erhöhung per „sudo“ konfigurieren und einen SSH-Schlüssel für opsuser erstellen, wie in den folgenden Verfahren beschrieben.

So konfigurieren Sie die Erhöhung per „sudo“ für den Benutzer mit niedrigen Berechtigungen

  1. Melden Sie sich als root beim UNIX- oder Linux-Computer an.

  2. Verwenden Sie das Programm „visudo“, um die sudo-Konfiguration in einem vi-Text-Editor zu bearbeiten. Führen Sie den folgenden Befehl aus:

    visudo

  3. Suchen Sie die folgende Zeile:

    root ALL=(ALL) ALL

  4. Fügen Sie danach die folgende Zeile ein:

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. Die TTY-Zuordnung wird nicht unterstützt. Stellen Sie sicher, dass die folgende Zeile auskommentiert ist:

    # Defaults requiretty

    Wichtig

    Dieser Schritt ist erforderlich, damit „sudo“ funktioniert.

  6. Speichern Sie die Datei, und beenden Sie das visudo-Programm:

    Drücken Sie ESC + : (Doppelpunkt), gefolgt von wq!, und drücken Sie dann die EINGABETASTE.

  7. Testen Sie die Konfiguration, indem Sie die folgenden beiden Befehle eingeben. Es sollte ohne Aufforderung zur Kennworteingabe eine Auflistung des Verzeichnisses angezeigt werden:

    su - opsuser

    sudo ls /etc

Sie können das opsuser-Konto verwenden, indem Sie das Kennwort und die Erhöhung per „sudo“ verwenden, um Anmeldeinformationen in Operations Manager-Assistenten anzugeben und ausführende Konten zu konfigurieren.

Erstellen eines SSH-Schlüssels zur Authentifizierung

Die folgenden Verfahren erstellen einen SSH-Schlüssel für das opsuser-Konto, das in den vorherigen Schritten erstellt wurde.

Generieren des SSH-Schlüssels

  1. Melden Sie sich als opsuser an.

  2. Generieren Sie den Schlüssel mithilfe des Digital Signature Algorithm (DSA):

    ssh-keygen -t dsa

    Beachten Sie die optionale Passphrase, falls Sie diese angegeben haben.

ssh-keygen erstellt das Verzeichnis mit der privaten Schlüsseldatei (id_dsa) und der öffentlichen Schlüsseldatei (id_dsa.pub). Sie können jetzt den Schlüssel konfigurieren, der von opsuser unterstützt werden soll, wie im nächsten Verfahren beschrieben.

Konfigurieren eines Benutzerkontos für die Unterstützung des SSH-Schlüssels

  1. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein. So navigieren Sie zum Verzeichnis mit dem Benutzerkonto:

    cd /home/opsuser

  2. Legen Sie den exklusiven Besitzerzugriff auf das Verzeichnis fest:

    chmod 700 .ssh

  3. Navigieren Sie zum Verzeichnis „.ssh“:

    cd .ssh

  4. Erstellen Sie eine autorisierte Schlüsseldatei mit dem öffentlichen Schlüssel:

    cat id_dsa.pub >> authorized_keys

  5. Gewähren Sie dem Benutzer Lese- und Schreibberechtigungen für die autorisierte Schlüsseldatei:

    chmod 600 authorized_keys

Jetzt können Sie den privaten SSH-Schlüssel auf den Windows-basierten Computer kopieren, wie im nächsten Verfahren beschrieben.

Kopieren des privaten SSH-Schlüssels auf den Windows-basierten Computer und Speichern des Schlüssels im OpenSSH-Format

  1. Verwenden Sie ein Tool wie z.B. WinSCP, um die private Schlüsseldatei (id_dsa – ohne Erweiterung) vom UNIX- oder Linux-Computer in ein Verzeichnis auf Ihrem Windows-basierten Computer zu übertragen.

  2. Führen Sie PuTTYgen aus.

  3. Klicken Sie im Dialogfeld PuTTY-Schlüsselgenerator auf die Schaltfläche Laden, und wählen Sie dann den privaten Schlüssel ) aus, den Sie vom UNIX- oder Linux-Computer übertragen haben.

  4. Klicken Sie auf Privaten Schlüssel speichern, und speichern Sie die Datei unter einem Namen Ihrer Wahl im gewünschten Verzeichnis.

Sie können das opsuser-Konto verwenden, indem Sie den SSH-Schlüssel und die Erhöhung per „sudo“ verwenden, um Anmeldeinformationen in Operations Manager-Assistenten anzugeben und ausführende Konten zu konfigurieren.

Nächste Schritte