Share via

  • Article

Comment configurer sudo élévation et SSH clés

 

Publication: mars 2016

S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Commençant par System Center 2012 – Operations Manager, vous pouvez fournir des informations d'identification pour un compte non privilégié à élever à l'aide du programme sudo, ce qui permet aux utilisateurs d'exécuter des programmes qui ont les privilèges de sécurité d'un autre compte d'utilisateur sur un ordinateur UNIX ou Linux. Vous pouvez également utiliser des clés SSH (Secure Shell) au lieu d'un mot de passe pour sécuriser la communication entre Operations Manager et de l'ordinateur cible.

Cette rubrique fournit des exemples pour créer un compte d'utilisateur à faibles privilèges, l'implémentation sudo et créer une clé SSH sur un ordinateur fonctionnant sous Red Hat Enterprise Linux Server 6. Ces exemples uniquement et ne peuvent pas refléter votre environnement. Les exemples suivants fournissent un utilisateur ayant accès à un ensemble de privilèges.

Pour obtenir et configurer le SSH clé à partir de l'ordinateur UNIX et Linux, vous devez installer les logiciels suivants sur votre ordinateur Windows :

  • Un outil de transfert fichiers, tels que WinSCP, pour transférer des fichiers à partir de l'ordinateur UNIX ou Linux à l'ordinateur Windows.

  • Le programme PuTTY, ou un programme similaire, pour exécuter des commandes sur l'ordinateur UNIX ou Linux.

  • Le programme PuTTYgen pour enregistrer la clé privée SHH au format OpenSSH sur l'ordinateur Windows.

Notes

Le programme sudo existe à différents emplacements sur les systèmes d'exploitation UNIX et Linux. Pour fournir un accès uniforme aux sudo, le script d'installation de l'agent UNIX et Linux crée le lien symbolique /etc/opt/microsoft/scx/conf/sudodir pour pointer vers le répertoire doit contenir le programme sudo. L'agent utilise ce lien symbolique pour appeler sudo. Le script d'installation crée automatiquement le lien symbolique, vous n'avez pas besoin de prendre aucune action sur les configurations standard UNIX et Linux ; Toutefois, si vous avez sudo installé à un emplacement non standard, vous devez modifier le lien symbolique pour pointer vers le répertoire d'installation de sudo. Si vous modifiez le lien symbolique, sa valeur est conservée toute désinstaller, réinstaller et opérations avec l'agent de mise à niveau.

Configurer un compte à faibles privilèges pour sudo élévation

Les procédures suivantes créent une élévation de compte et sudo limités à l'aide de opsuser pour un nom d'utilisateur.

Pour créer un utilisateur à faibles privilèges

  1. Ouvrez une session sur l'ordinateur UNIX ou Linux en tant que root.

  2. Ajoutez l'utilisateur :

    useradd opsuser

  3. Ajouter un mot de passe et confirmer le mot de passe :

    passwd opsuser

Vous pouvez maintenant configurer l'élévation sudo et créer une clé SSH pour opsuser, comme décrit dans les procédures suivantes.

Pour configurer l'élévation sudo pour l'utilisateur à faibles privilèges

  1. Ouvrez une session sur l'ordinateur UNIX ou Linux en tant que root.

  2. Utilisez le programme visudo pour modifier la configuration dans un éditeur de texte vi sudo. Exécutez la commande suivante :

    visudo

  3. Recherchez la ligne suivante :

    root ALL=(ALL) ALL

  4. Après cela, insérez la ligne suivante :

    opsuser ALL=(ALL) NOPASSWD: ALL

  5. Allocation TTY n'est pas pris en charge. Vérifiez que la ligne suivante est commentée :

    # Defaults requiretty

    Important

    Cette étape est requise pour sudo fonctionne.

  6. Enregistrez le fichier et quittez visudo :

    Appuyez sur ÉCHAP +: (deux-points) suivie wq!, puis appuyez sur ENTRÉE.

  7. Tester la configuration en entrant dans les deux commandes suivantes. Le résultat doit être une liste de l'annuaire sans être invité à entrer un mot de passe :

    su - opsuser

    sudo ls /etc

Vous pouvez utiliser la opsuser compte à l'aide de l'élévation sudo et le mot de passe pour la spécification des informations d'identification dans les Assistants d'Operations Manager et la configuration des comptes d'identification.

Créer une clé SSH pour l'authentification

Les procédures suivantes créent une clé SSH pour le opsuser compte qui a été créé dans les exemples précédents.

Pour générer la clé SSH

  1. Connectez-vous en tant que opsuser.

  2. Générer la clé à l'aide de l'algorithme de l'algorithme de Signature numérique (DSA) :

    ssh-keygen –t dsa

    Notez le mot de passe facultatif si vous le fourni.

Le ssh-keygen crée le /home/opsuser/.ssh répertoire avec le fichier de clé privée (id_dsa) et le fichier de clé publique (id_dsa.pub). Vous pouvez maintenant configurer la clé doit prendre en charge opsuser comme décrit dans la procédure suivante.

Pour configurer un compte d'utilisateur pour prendre en charge la clé SSH

  1. À l'invite de commandes, tapez les commandes suivantes. Pour accéder à l'annuaire de compte d'utilisateur :

    cd /home/opsuser

  2. Spécifier l'accès propriétaire exclusif dans le répertoire :

    chmod 700 .ssh

  3. Accédez au répertoire .ssh :

    cd .ssh

  4. Créez un fichier de clés autorisées avec la clé publique :

    cat id_dsa.pub >> authorized_keys

  5. Donner à l'utilisateur de lire et écrire des autorisations dans le fichier de clés autorisées :

    chmod 600 authorized_keys

Vous pouvez maintenant copier la clé privée SSH sur l'ordinateur Windows, comme décrit dans la procédure suivante.

Pour copier la clé privée SSH sur l'ordinateur Windows et l'enregistrer au format OpenSSH

  1. Utilisez un outil, tel que WinSCP, pour transférer le fichier de clé privée (id_dsa – sans extension) de l'ordinateur UNIX ou Linux vers un répertoire sur votre ordinateur Windows.

  2. Exécutez PuTTYgen.

  3. Dans le Générateur de clés PuTTY boîte de dialogue, cliquez sur le charge bouton, puis sélectionnez la clé privée (id_dsa) que vous avez transféré à partir de l'ordinateur UNIX ou Linux.

  4. Cliquez sur clé privée enregistrer et nommez et enregistrez le fichier dans le répertoire de votre choix.

Vous pouvez utiliser la opsuser compte à l'aide de l'élévation de clé et sudo SSH pour spécifier des informations d'identification dans les Assistants d'Operations Manager et la configuration des comptes d'identification.