Sudo jogosultságszint-emelés és SSH-kulcsok beállítása
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
Az Operations Managerrel hitelesítő adatokat adhat meg egy unprivileged fiókhoz, amelyet a sudo használatával emelhet a UNIX vagy Linux rendszerű számítógépeken, lehetővé téve a felhasználó számára, hogy más felhasználói fiók biztonsági jogosultságaival rendelkező programokat vagy fájlokat futtasson. Az ügynökkarbantartáshoz a Secure Shell- (SSH-) kulcsokat is használhatja jelszó helyett az Operations Manager és a megcélzott számítógép közötti biztonságos kommunikációhoz.
Megjegyzés
Az Operations Manager támogatja az SSH-kulcsalapú hitelesítést a PuTTY titkos kulcs (PPK) formátumú kulcsfájl-adatokkal. Jelenleg az SSH v.1 RSA-kulcsokat, valamint az SSH v.2 RSA- és DSA-kulcsokat támogatja.
Az SSH-kulcs UNIX és Linux rendszerű számítógépről való beszerzéséhez és konfigurálásához a következő szoftverre van szükség a Windows-alapú számítógépen:
- Egy fájlátviteli eszköz (például WinSCP), amellyel át lehet vinni a fájlokat a UNIX- vagy Linux-számítógépről a Windows rendszerű számítógépre.
- A PuTTY vagy más hasonló program, amellyel parancsokat lehet futtatni a UNIX- vagy Linux-számítógépen.
- A PuTTYgen program, amellyel OpenSSH formátumban lehet menteni a titkos SHH-kulcsot a Windows rendszerű számítógépre.
Megjegyzés
A sudo program eltérő helyen található a UNIX és Linux operációs rendszereken. Hogy a két rendszeren ugyanúgy lehessen hozzáférni a sudo programhoz, az UNIX és a Linux ügynöktelepítési parancsprogramja létrehozza az /etc/opt/microsoft/scx/conf/sudodir
szimbolikus hivatkozást, amely arra a könyvtárra mutat, amely várhatóan tartalmazza a programot. Az ügynök ezután ezt a szimbolikus hivatkozást használja a sudo meghívásához.
Az ügynök telepítésekor ez a szimbolikus hivatkozás automatikusan létrejön, a szabványos UNIX- és Linux-konfigurációkhoz nincs szükség további műveletekre; Ha azonban a sudo nem szabványos helyen van telepítve, módosítsa a szimbolikus hivatkozást úgy, hogy arra a könyvtárra mutasson, ahol a sudo telepítve van. Ha módosítja a szimbolikus hivatkozást, annak értéke változatlan marad, és használható az ügynök eltávolításakor, újratelepítésekor és frissítésekor is.
Fiók konfigurálása sudo jogosultságszint-emeléshez
Megjegyzés
Az ebben a szakaszban megadott információk végigvezetik egy példafelhasználó konfigurálásán, scomuser
és teljes jogokat biztosítanak neki az ügyfélszámítógépen.
Ha már rendelkezik felhasználói fiókkal, és/vagy alacsony jogosultságú monitorozást szeretne beállítani, a sudoers-sablonok elérhetők, és csak a sikeres monitorozási és karbantartási műveletekhez szükséges engedélyeket adják meg. További információkért lásd: Sudoers-sablonok a UNIX/Linux monitorozásban való jogosultságszint-emeléshez
A következő eljárások létrehoznak egy fiókot és egy sudo jogosultságszint-emelést egy felhasználónév használatával scomuser
.
Felhasználó létrehozása
- Jelentkezzen be a UNIX vagy Linux rendszerű számítógépbe a következőként:
root
- Adja hozzá a felhasználót:
useradd scomuser
- Adjon hozzá egy jelszót, és erősítse meg a jelszót:
passwd scomuser
Mostantól beállíthatja a sudo jogosultságszint-emelést, és létrehozhat egy SSH-kulcsot az scomuser
számára. E műveletek leírását alább találja meg.
Sudo jogosultságszint-emelés konfigurálása a felhasználó számára
Jelentkezzen be a UNIX vagy Linux rendszerű számítógépbe a következőként:
root
A visudo program és egy vi szövegszerkesztő segítségével módosítsa a sudo konfigurációját. Futtassa a következő parancsot:
visudo
Keresse meg a következő sort:
root ALL=(ALL) ALL
Szúrja be a következő sort utána:
scomuser ALL=(ALL) NOPASSWD: ALL
A TTY-foglalás nem támogatott. Győződjön meg arról, hogy a következő sor megjegyzésként van megfűzve:
# Defaults requiretty
Fontos
Ez a lépés feltétlenül szükséges a sudo megfelelő működéséhez.
Mentse a fájlt, majd lépjen ki a visudo programból:
- Nyomja le
ESC
a: (colon)
billentyűt, majd a következőt:wq!
, majd nyomjaEnter
le a billentyűt a módosítások mentéséhez és a szabályos kilépéshez.
- Nyomja le
A következő két parancs megadásával ellenőrizze a konfigurációt. Meg kell jelennie a könyvtár tartalmának, anélkül, hogy a rendszer kérné a jelszó megadását.
su - scomuser sudo ls /etc
Most már elérheti a fiókot a jelszavával és a scomuser
sudo jogosultságszint-emeléssel, lehetővé téve a hitelesítő adatok megadását a feladat- és felderítési varázslókban, valamint a futtató fiókokon belül.
SSH-kulcs létrehozása a hitelesítéshez
Tipp
Az SSH-kulcsok csak ügynökkarbantartási műveletekhez használatosak, és nem használhatók monitorozásra. Ha több fiókot használ, győződjön meg arról, hogy a megfelelő felhasználóhoz hozza létre a kulcsot.
Az alábbi eljárásokkal hozhatja létre az SSH-kulcsot az előző lépéseknél készített scomuser
fiókhoz.
Az SSH-kulcs létrehozása
- Jelentkezzen be a következőként:
scomuser
. - Hozza létre a kulcsot a Digitális aláírási algoritmus (DSA) algoritmus használatával:
ssh-keygen -t dsa
- Ha a nem kötelező jelszót is megadja, jegyezze fel azt.
Az ssh-keygen segédprogram létrehozza a /home/scomuser/.ssh
titkos kulcsfájlt id_dsa
és a benne lévő nyilvános kulcsfájlt id_dsa.pub
tartalmazó könyvtárat. Ezeket a fájlokat a következő eljárásban használjuk.
Felhasználói fiók konfigurálása az SSH-kulcs támogatásához
- Írja be az alábbi parancsokat a parancssorba. A felhasználói fiók könyvtárához való navigáláshoz:
cd /home/scomuser
- Adja meg a címtár kizárólagos tulajdonosi hozzáférését:
chmod 700 .ssh
- Lépjen az .ssh könyvtárba:
cd .ssh
- Hozzon létre egy engedélyezett kulcsfájlt a nyilvános kulccsal:
cat id_dsa.pub >> authorized_keys
- Adjon olvasási és írási engedélyeket a felhasználónak a jogosult kulcsfájlhoz:
chmod 600 authorized_keys
Most már átmásolhatja a privát SSH-kulcsot a Windows-alapú számítógépre a következő eljárásban leírtak szerint.
Másolja a privát SSH-kulcsot a Windows-alapú számítógépre, és mentse OpenSSH formátumban
- Használjon egy eszközt, például a WinSCP-t, amellyel a titkos kulcsfájlt
id_dsa
(kiterjesztés nélkül) átviheti az ügyfélről a Windows-alapú számítógép egyik könyvtárába. - Indítsa el a PuTTYgen programot.
- A PuTTY-kulcsgenerátor párbeszédpanelen válassza a Betöltés gombot, majd válassza ki a UNIX vagy Linux rendszerű számítógépről átvitt titkos kulcsot
id_dsa
. - Válassza a Titkos kulcs és név mentése lehetőséget, és mentse a fájlt a kívánt könyvtárba.
- Az exportált fájlt használhatja egy karbantartási futtató fiókban, amely a számára van konfigurálva
scomuser
, vagy ha karbantartási feladatokat hajt végre a konzolon keresztül.
Az scomuser
fiók az SSH-kulcs és a sudo jogosultságszint-emelés használata mellett a hitelesítő adatok megadására is használható az Operations Manager varázslóiban, valamint a futtató fiókok konfigurálására.
Fontos
A System Center Operations Manager jelenleg csak a PPK-fájl 2-es verzióját támogatja.
Alapértelmezés szerint a PuTTYgen a PPK-fájl 3-ás verziójára van beállítva. A PPK-fájlverziót 2-esre módosíthatja, ha az eszköztáron a Kulcsparaméterek > lehetőséget választja a kulcsfájlok mentéséhez... majd válassza a 2 ppk-fájlverzió választógombját.
Következő lépések
- A UNIX- és Linux-számítógépek hitelesítésének és monitorozásának megismeréséhez tekintse át a UNIX- és Linux-számítógépekhez való hozzáféréshez szükséges hitelesítő adatokat .
- Tekintse át az SSL-titkosítások konfigurálását ismertető cikket, ha újra kell konfigurálnia az Operations Managert egy másik titkosítás használatához.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: