Sudo jogosultságszint-emelés és SSH-kulcsok beállítása

Fontos

Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.

Az Operations Managerrel hitelesítő adatokat adhat meg egy unprivileged fiókhoz, amelyet a sudo használatával emelhet a UNIX vagy Linux rendszerű számítógépeken, lehetővé téve a felhasználó számára, hogy más felhasználói fiók biztonsági jogosultságaival rendelkező programokat vagy fájlokat futtasson. Az ügynökkarbantartáshoz a Secure Shell- (SSH-) kulcsokat is használhatja jelszó helyett az Operations Manager és a megcélzott számítógép közötti biztonságos kommunikációhoz.

Megjegyzés

Az Operations Manager támogatja az SSH-kulcsalapú hitelesítést a PuTTY titkos kulcs (PPK) formátumú kulcsfájl-adatokkal. Jelenleg az SSH v.1 RSA-kulcsokat, valamint az SSH v.2 RSA- és DSA-kulcsokat támogatja.

Az SSH-kulcs UNIX és Linux rendszerű számítógépről való beszerzéséhez és konfigurálásához a következő szoftverre van szükség a Windows-alapú számítógépen:

• Egy fájlátviteli eszköz (például WinSCP), amellyel át lehet vinni a fájlokat a UNIX- vagy Linux-számítógépről a Windows rendszerű számítógépre.
• A PuTTY vagy más hasonló program, amellyel parancsokat lehet futtatni a UNIX- vagy Linux-számítógépen.
• A PuTTYgen program, amellyel OpenSSH formátumban lehet menteni a titkos SHH-kulcsot a Windows rendszerű számítógépre.

Megjegyzés

A sudo program eltérő helyen található a UNIX és Linux operációs rendszereken. Hogy a két rendszeren ugyanúgy lehessen hozzáférni a sudo programhoz, az UNIX és a Linux ügynöktelepítési parancsprogramja létrehozza az /etc/opt/microsoft/scx/conf/sudodir szimbolikus hivatkozást, amely arra a könyvtárra mutat, amely várhatóan tartalmazza a programot. Az ügynök ezután ezt a szimbolikus hivatkozást használja a sudo meghívásához. Az ügynök telepítésekor ez a szimbolikus hivatkozás automatikusan létrejön, a szabványos UNIX- és Linux-konfigurációkhoz nincs szükség további műveletekre; Ha azonban a sudo nem szabványos helyen van telepítve, módosítsa a szimbolikus hivatkozást úgy, hogy arra a könyvtárra mutasson, ahol a sudo telepítve van. Ha módosítja a szimbolikus hivatkozást, annak értéke változatlan marad, és használható az ügynök eltávolításakor, újratelepítésekor és frissítésekor is.

Fiók konfigurálása sudo jogosultságszint-emeléshez

Megjegyzés

Az ebben a szakaszban megadott információk végigvezetik egy példafelhasználó konfigurálásán, scomuserés teljes jogokat biztosítanak neki az ügyfélszámítógépen.

Ha már rendelkezik felhasználói fiókkal, és/vagy alacsony jogosultságú monitorozást szeretne beállítani, a sudoers-sablonok elérhetők, és csak a sikeres monitorozási és karbantartási műveletekhez szükséges engedélyeket adják meg. További információkért lásd: Sudoers-sablonok a UNIX/Linux monitorozásban való jogosultságszint-emeléshez

A következő eljárások létrehoznak egy fiókot és egy sudo jogosultságszint-emelést egy felhasználónév használatával scomuser .

Felhasználó létrehozása

1. Jelentkezzen be a UNIX vagy Linux rendszerű számítógépbe a következőként: root
2. Adja hozzá a felhasználót: useradd scomuser
3. Adjon hozzá egy jelszót, és erősítse meg a jelszót: passwd scomuser

Mostantól beállíthatja a sudo jogosultságszint-emelést, és létrehozhat egy SSH-kulcsot az scomuser számára. E műveletek leírását alább találja meg.

Sudo jogosultságszint-emelés konfigurálása a felhasználó számára

1. Jelentkezzen be a UNIX vagy Linux rendszerű számítógépbe a következőként: root

2. A visudo program és egy vi szövegszerkesztő segítségével módosítsa a sudo konfigurációját. Futtassa a következő parancsot: visudo

3. Keresse meg a következő sort: root ALL=(ALL) ALL

4. Szúrja be a következő sort utána: scomuser ALL=(ALL) NOPASSWD: ALL

5. A TTY-foglalás nem támogatott. Győződjön meg arról, hogy a következő sor megjegyzésként van megfűzve: # Defaults requiretty

   Fontos

   Ez a lépés feltétlenül szükséges a sudo megfelelő működéséhez.

6. Mentse a fájlt, majd lépjen ki a visudo programból:

   • Nyomja le ESC a : (colon) billentyűt, majd a következőt: wq!, majd nyomja Enter le a billentyűt a módosítások mentéséhez és a szabályos kilépéshez.

7. A következő két parancs megadásával ellenőrizze a konfigurációt. Meg kell jelennie a könyvtár tartalmának, anélkül, hogy a rendszer kérné a jelszó megadását.

   su - scomuser
   sudo ls /etc
   

Most már elérheti a fiókot a jelszavával és a scomuser sudo jogosultságszint-emeléssel, lehetővé téve a hitelesítő adatok megadását a feladat- és felderítési varázslókban, valamint a futtató fiókokon belül.

SSH-kulcs létrehozása a hitelesítéshez

Tipp

Az SSH-kulcsok csak ügynökkarbantartási műveletekhez használatosak, és nem használhatók monitorozásra. Ha több fiókot használ, győződjön meg arról, hogy a megfelelő felhasználóhoz hozza létre a kulcsot.

Az alábbi eljárásokkal hozhatja létre az SSH-kulcsot az előző lépéseknél készített scomuser fiókhoz.

Az SSH-kulcs létrehozása

1. Jelentkezzen be a következőként: scomuser.
2. Hozza létre a kulcsot a Digitális aláírási algoritmus (DSA) algoritmus használatával: ssh-keygen -t dsa
   • Ha a nem kötelező jelszót is megadja, jegyezze fel azt.

Az ssh-keygen segédprogram létrehozza a /home/scomuser/.ssh titkos kulcsfájlt id_dsa és a benne lévő nyilvános kulcsfájlt id_dsa.pub tartalmazó könyvtárat. Ezeket a fájlokat a következő eljárásban használjuk.

Felhasználói fiók konfigurálása az SSH-kulcs támogatásához

1. Írja be az alábbi parancsokat a parancssorba. A felhasználói fiók könyvtárához való navigáláshoz: cd /home/scomuser
2. Adja meg a címtár kizárólagos tulajdonosi hozzáférését: chmod 700 .ssh
3. Lépjen az .ssh könyvtárba: cd .ssh
4. Hozzon létre egy engedélyezett kulcsfájlt a nyilvános kulccsal: cat id_dsa.pub >> authorized_keys
5. Adjon olvasási és írási engedélyeket a felhasználónak a jogosult kulcsfájlhoz: chmod 600 authorized_keys

Most már átmásolhatja a privát SSH-kulcsot a Windows-alapú számítógépre a következő eljárásban leírtak szerint.

Másolja a privát SSH-kulcsot a Windows-alapú számítógépre, és mentse OpenSSH formátumban

1. Használjon egy eszközt, például a WinSCP-t, amellyel a titkos kulcsfájlt id_dsa (kiterjesztés nélkül) átviheti az ügyfélről a Windows-alapú számítógép egyik könyvtárába.
2. Indítsa el a PuTTYgen programot.
3. A PuTTY-kulcsgenerátor párbeszédpanelen válassza a Betöltés gombot, majd válassza ki a UNIX vagy Linux rendszerű számítógépről átvitt titkos kulcsot id_dsa .
4. Válassza a Titkos kulcs és név mentése lehetőséget, és mentse a fájlt a kívánt könyvtárba.
5. Az exportált fájlt használhatja egy karbantartási futtató fiókban, amely a számára van konfigurálva scomuser, vagy ha karbantartási feladatokat hajt végre a konzolon keresztül.

Az scomuser fiók az SSH-kulcs és a sudo jogosultságszint-emelés használata mellett a hitelesítő adatok megadására is használható az Operations Manager varázslóiban, valamint a futtató fiókok konfigurálására.

Fontos

A System Center Operations Manager jelenleg csak a PPK-fájl 2-es verzióját támogatja.

Alapértelmezés szerint a PuTTYgen a PPK-fájl 3-ás verziójára van beállítva. A PPK-fájlverziót 2-esre módosíthatja, ha az eszköztáron a Kulcsparaméterek > lehetőséget választja a kulcsfájlok mentéséhez... majd válassza a 2 ppk-fájlverzió választógombját.

Következő lépések

• A UNIX- és Linux-számítógépek hitelesítésének és monitorozásának megismeréséhez tekintse át a UNIX- és Linux-számítógépekhez való hozzáféréshez szükséges hitelesítő adatokat .
• Tekintse át az SSL-titkosítások konfigurálását ismertető cikket, ha újra kell konfigurálnia az Operations Managert egy másik titkosítás használatához.