Configuración de la elevación sudo y claves SSHHow to configure sudo elevation and SSH keys

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

Con System Center 2016 - Operations Manager, puede proporcionar credenciales para una cuenta sin privilegios que se va a elevar en un equipo UNIX o Linux mediante el programa sudo, que permite a los usuarios ejecutar programas que tengan los privilegios de seguridad de otra cuenta de usuario.With System Center 2016 - Operations Manager, you can provide credentials for an unprivileged account to be elevated on a UNIX or Linux computer by using the sudo program, which allows users to run programs that have the security privileges of another user account. También puede usar las claves de Secure Shell (SSH) en lugar de una contraseña para una comunicación segura entre Operations Manager y el equipo de destino.You can also use Secure Shell (SSH) keys instead of a password for secure communication between Operations Manager and the targeted computer.

En este tema se proporcionan ejemplos para crear una cuenta para un usuario sin privilegios al implementar sudo y crear una clave SSH en un equipo que está ejecutando Red Hat Enterprise Linux Server 6.This topic provides examples for creating an account for a low-privileged user, implementing sudo, and creating an SSH key on a computer that is running Red Hat Enterprise Linux Server 6. Esto son solo ejemplos y puede que no reflejen su entorno.These are examples only, and might not reflect your environment. En los siguientes ejemplos se proporciona un usuario con acceso a un conjunto completo de privilegios.The following examples provide a user with access to a full set of privileges.

Para obtener y configurar la clave SSH del equipo UNIX o Linux, tiene que instalar el software siguiente en su equipo basado en Windows:To obtain and configure the SSH key from the UNIX and Linux computer, you have to install the following software on your Windows-based computer:

  • Una herramienta de transferencia de archivos, como WinSCP, para transferir archivos desde el equipo UNIX o Linux al equipo basado en Windows.A file transfer tool, such as WinSCP, to transfer files from the UNIX or Linux computer to the Windows-based computer.

  • El programa PuTTY, o uno similar, para ejecutar comandos en el equipo UNIX o Linux.The PuTTY program, or a similar program, to run commands on the UNIX or Linux computer.

  • El programa PuTTYgen para guardar la clave SHH privada en formato OpenSSH en el equipo basado en Windows.The PuTTYgen program to save the private SHH key in OpenSSH format on the Windows-based computer.

Nota

El programa sudo existe en diferentes ubicaciones en sistemas operativos UNIX y Linux.The sudo program exists at different locations on UNIX and Linux operating systems. Para proporcionar un acceso uniforme a sudo, el script de instalación del agente de UNIX y Linux crea el vínculo simbólico /etc/opt/microsoft/scx/conf/sudodir para indicar el directorio esperado que contiene el programa sudo.To provide uniform access to sudo, the UNIX and Linux agent installation script creates the symbolic link /etc/opt/microsoft/scx/conf/sudodir to point to the directory expected to contain the sudo program. El agente usa dicho vínculo simbólico para invocar sudo.The agent uses this symbolic link to invoke sudo. El script de instalación crea automáticamente el vínculo simbólico, de forma que no necesita realizar ninguna acción en las configuraciones estándar de UNIX y Linux. En cambio, si tiene sudo instalado en una ubicación no estándar, debe cambiar el vínculo simbólico para que indique el directorio donde está instalado sudo.The installation script automatically creates the symbolic link, so you do not need to take any action on standard UNIX and Linux configurations; however, if you have sudo installed at a non-standard location, you should change the symbolic link to point to the directory where sudo is installed. Si cambia el vínculo simbólico, su valor se conservará para las operaciones de desinstalación, reinstalación y actualización que se realicen con el agente.If you change the symbolic link, its value is preserved across uninstall, re-install, and upgrade operations with the agent.

Configuración de una cuenta sin privilegios para la elevación sudoConfigure a low-privileged account for sudo elevation

En los siguientes procedimientos se crea una cuenta sin privilegios y una elevación sudo al usar opsuser para un nombre de usuario.The following procedures create a low-privileged account and sudo elevation by using opsuser for a user name.

Para crear un usuario sin privilegiosTo create a low-privileged user

  1. Inicie sesión en el equipo Linux o UNIX como root.Log on to the UNIX or Linux computer as root.

  2. Agregue el usuario:Add the user:

    useradd opsuser

  3. Agregue una contraseña y confírmela:Add a password and confirm the password:

    passwd opsuser

Ahora puede configurar la elevación sudo y crear una clave SSH para opsuser, tal y como se describe en los siguientes procedimientos.You can now configure sudo elevation and create an SSH key for opsuser, as described in the following procedures.

Para configurar la elevación sudo para el usuario sin privilegiosTo configure sudo elevation for the low-privileged user

  1. Inicie sesión en el equipo Linux o UNIX como root.Log on to the UNIX or Linux computer as root.

  2. Use el programa visudo para editar la configuración sudo en un editor de texto vi.Use the visudo program to edit the sudo configuration in a vi text editor. Ejecute el comando siguiente:Run the following command:

    visudo

  3. Busque la línea siguiente:Find the following line:

    root ALL=(ALL) ALL

  4. Inserte la siguiente línea después de esta:Insert the following line after it:

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. No se admite la asignación TTY.TTY allocation is not supported. Asegúrese de que la siguiente línea está comentada:Ensure the following line is commented out:

    # Defaults requiretty

    Importante

    Este paso es necesario para que sudo funcione.This step is required for sudo to work.

  6. Guarde el archivo y cierre visudo:Save the file and exit visudo:

    Presione ESC + : (dos puntos) seguido de wq! y, después, presione ENTRAR.Press ESC + : (colon) followed by wq!, and then press Enter.

  7. Pruebe la configuración escribiendo los dos comandos siguientes.Test the configuration by entering in the following two commands. El resultado debe ser un listado del directorio sin que se le solicite una contraseña:The result should be a listing of the directory without being prompted for a password:

    su - opsuser

    sudo ls /etc

Puede usar la cuenta opsuser mediante la contraseña y la elevación sudo para especificar las credenciales en los asistentes de Operations Manager y para configurar cuentas de ejecución.You can use the opsuser account by using the password and sudo elevation for specifying credentials in Operations Manager wizards and for configuring Run As accounts.

Crear una clave SSH para autenticaciónCreate an SSH key for authentication

En los siguientes procedimientos se crea una clave SSH para la cuenta opsuser que se ha creado en los ejemplos anteriores.The following procedures create an SSH key for the opsuser account that was created in the previous examples.

Para generar la clave SSHTo generate the SSH key

  1. Inicie sesión como opsuser.Log on as opsuser.

  2. Genere la clave mediante el algoritmo de firma digital (DSA):Generate the key by using the Digital Signature Algorithm (DSA) algorithm:

    ssh-keygen -t dsa

    Anote la frase de contraseña opcional si se le ha proporcionado.Note the optional passphrase if you provided it.

ssh-keygen crea el directorio /home/opsuser/.ssh con el archivo de clave privada (id_dsa) y el archivo de clave pública (id_dsa.pub).The ssh-keygen creates the /home/opsuser/.ssh directory with the private key file (id_dsa) and the public key file (id_dsa.pub). Ahora puede configurar la clave para que sea compatible con opsuser tal y como se describe en el siguiente procedimiento.You can now configure the key to be supported by opsuser as described in the next procedure.

Para configurar una cuenta de usuario para que admita la clave SSHTo configure a user account to support the SSH key

  1. En el símbolo del sistema, escriba los comandos siguientes.At the command prompt, type the following commands. Para ir al directorio de la cuenta de usuario:To navigate to the user account directory:

    cd /home/opsuser

  2. Especifique el acceso de propietario exclusivo al directorio:Specify exclusive owner access to the directory:

    chmod 700 .ssh

  3. Vaya al directorio .ssh:Navigate to the .ssh directory:

    cd .ssh

  4. Cree un archivo de claves autorizadas con la clave pública:Create an authorized keys file with the public key:

    cat id_dsa.pub >> authorized_keys

  5. Proporcione al usuario permisos de lectura y escritura para el archivo de claves autorizadas:Give the user read and write permissions to the authorized keys file:

    chmod 600 authorized_keys

Ahora puede copiar la clave SSH privada en el equipo basado en Windows, como se describe en el procedimiento siguiente.You can now copy the private SSH key to the Windows-based computer, as described in the next procedure.

Para copiar la clave SSH privada en el equipo basado en Windows y guardarla en formato OpenSSHTo copy the private SSH key to the Windows-based computer and save in OpenSSH format

  1. Use una herramienta, como WinSCP, para transferir el archivo de clave privada (id_dsa - sin ninguna extensión) del equipo UNIX o Linux a un directorio de su equipo basado en Windows.Use a tool, such as WinSCP, to transfer the private key file (id_dsa - with no extension) from the UNIX or Linux computer to a directory on your Windows-based computer.

  2. Ejecute PuTTYgen.Run PuTTYgen.

  3. En el cuadro de diálogo PuTTY Key Generator, haga clic en el botón Cargar y, después, seleccione la clave privada (id_dsa) que ha transferido desde el equipo UNIX o Linux.In the PuTTY Key Generator dialog box, click the Load button, and then select the private key (id_dsa) that you transferred from the UNIX or Linux computer.

  4. Haga clic en Guardar clave privada, especifique un nombre y guarde el archivo en el directorio que quiera.Click Save private key and name and save the file to the desired directory.

Puede usar la cuenta opsuser mediante la clave SSH y la elevación sudo para especificar las credenciales en los asistentes de Operations Manager y para configurar cuentas de ejecución.You can use the opsuser account by using the SSH key and sudo elevation for specifying credentials in Operations Manager wizards and for configuring Run As accounts.

Pasos siguientesNext steps